(45) Якщо опрацювання здійснюють відповідно до встановленого законом зобов’язання контролера, або якщо це необхідно для виконання завдання в суспільних інтересах або здійснення офіційних повноважень, його необхідно проводити на підставі нормативно-правового акту Союзу чи держави-члена.

Цей Регламент не вимагає ухвалення спеціального нормативно-правового акту для кожного окремого опрацювання.

Нормативно-правового акту як основи для здійснення декількох операцій з опрацювання, що ґрунтуються на виконанні встановленого законом зобов’язання контролера, або, за умов необхідності, виконанні завдання в суспільних інтересах чи здійсненні офіційних повноважень, може бути достатньо.

Ціль опрацювання повинен встановлювати безпосередньо нормативно-правовий акт Союзу або держави-члена.

Крім того, такий нормативно-правовий акт може зазначати загальні умови цього Регламенту, що регулюють законність опрацювання персональних даних, встановлювати технічні вимоги до визначення контролера, тип персональних даних, що підлягають опрацюванню, відповідних суб’єктів даних, установи, яким можна розкривати персональні дані, цільові обмеження, період зберігання та інші заходи для забезпечення законного та правомірного опрацювання.

Також саме нормативно-правовий акт Союзу або держави-члена визначає, чи повинен контролер, що виконує завдання в суспільних інтересах або для здійснення офіційних повноважень, бути органом публічної влади або ще однією фізичною або юридичною особою, діяльність якої регулюється публічним правом, або, якщо це є в суспільних інтересах, у тому числі для цілей здоров’я таких як охорона суспільного здоров’я та соціальний захист і управління послугами в сфері охорони здоров’я, приватним правом, зокрема професійною асоціацією.