• Formål: Hva er formålet med innsamlingen og behandlingen av personopplysningene?
• Utlevering: Vil virksomheten utlevere opplysningne til andre og hvem er i såfall mottakerne? Dersom virksomheten er utenfor EØS eller en internasjonal organisasjon hvilke garantier finnes for personvernet?
• Lagring: Hvor lenge lagrer virksomheten opplysningene? Dersom det ikke er mulig å komme med en endelig lagringstid - hva avgjør hvor lenge opplysningene lagres?
• Rettigheter: Hvilke rettigheter har den som er registrert knyttet til retting, sletting, begrensning, klagebehandling, eller til å protestere mot behandlingen?
• Innsamling: Dersom ikke opplysningene er samlet inn fra den registrerte selv - hvor der de samlet inn fra?
• Automatisert system: Tar virksomheten automatiserte individuelle avgjørelser? og i så fall hvilken logikk ligger bak og hvilke følger kan det ha?