با تصویب مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR) در خصوص حمایت از داده شخصی در سال 2016 و لازم الاجرا شدن آن در سال 2018، تمامی کشورهای عضو اتحادیه اروپا ملزم به حمایت حداکثری از داده های شخصی و اشخاص موضوع داده شدند. حمایت های حداکثری این مقررات در مواد مختلفی بیان شده است که نسبت به بسترهای قانونی سابق در اتحادیه اروپا و سایر کشورها نسبت به حمایت از داده شخصی دقیق تر، سخت گیرانه تر و در مقام عمل کاربردی تر است. در جهت تحقق کامل چنین حمایتی، این مقررات اسباب متعددی را برای مشروعیت پردازش داده شخصی با عنوان مبانی حقوقی پردازش داده شخصی بیان کرده است. به موجب ماده مربوطه، اشخاص پردازش کننده داده باید مبنای حقوقی معتبر برای پردازش داده های شخصی داشته باشند. پژوهش حاضر با تبیین مبانی حقوقی پیش گفته، به دنبال امکان سنجی جریان این مبانی در حقوق ایران است. به دیگر سخن، پاسخ به این مسئله که در نظام حقوقی ایران با وجود کدام اسباب می توان داده های شخصی را پردازش کرد. بر اساس برآمد بررسی ها، چگونگی جریان مبانی حقوقی مذکور در مقررات اروپایی حفاظت از داده - یعنی رضایت، ضرورت قراردادی، پردازش به موجب تعهد قانونی کنترل کننده، پردازش به دلیل حفاظت از منافع حیاتی افراد و پردازش به علت غلبه منافع مشروع کنترل کننده یا شخص ثالث - به دلیل فقدان قانونی ایرانی در خصوص حفاظت از داده های شخصی، باید از مسیر منابع مختلف حقوق ایران بررسی شود. هم چنین نتایج حکایت از این دارد که مبانی مذکور، در حقوق ایران نیز قابلیت جریان دارد؛ لیکن تحقق کامل آن با تصریح قانون حاصل می شود.