Det faktiska användandet av personuppgifter, vilket kan vara allt från att samla in, lagra eller förstöra personuppgifter. Behandling av personuppgifter är det primära villkoret som måste vara uppfyllt för att GDPR ska bli tillämplig.

Behandling definieras i artikel 4(2) GDPR som:

“[E]n åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring[.]”