Asmens duomenys gali būti renkami, kaupiami ir kitaip tvarkomi tik tuomet, jeigu tam egzistuoja teisinis pagrindas. Kada gali būti tvarkomi asmens duomenys, nustatyta Asmens duomenų teisinės apsaugos įstatyme. Šio įstatymo 5 straipsnyje (įvardintame „Asmens duomenų teisėto tvarkymo kriterijai“) pateiktas baigtinis sąrašas aplinkybių, sudarančių teisinį pagrindą asmens duomenų tvarkymui. Sąraše pirmuoju pagrindu, leidžiančiu tvarkyti asmens duomenis, nurodytas duomenų subjekto sutikimas, tai yra asmens duomenys gali būti tvarkomi, jeigu duomenų subjektas duoda sutikimą. Tačiau tiek teoriniu, tiek praktiniu požiūriu duomenų subjekto sutikimas minėtame sąraše turėtų būti nurodytas paskutiniuoju ir turėtų būti taikomas tik tuomet, kai negalima pasiremti jokiu kitu sąraše nurodytu pagrindu. Kodėl duomenų subjekto sutikimas turėtų būti laikomas kraštutine priemone, paaiškina keltas toliau pateikiamų aplinkybių.
Pirmiausia, visi kiti Asmens duomenų teisinės apsaugos įstatymo 5 straipsnio 1 dalyje minimi asmens duomenų tvarkymo pagrindai (asmens duomenų teisėto tvarkymo kriterijai) išreiškia vieną ar kitą aplinkybę, kuri pripažįstama tiek svarbia, kad pateisina duomenų subjekto teisių apribojimą ir jos pagrindu leidžiamas duomenų subjekto asmens duomenų tvarkymas. Tokios svarbos aplinkybėmis įstatyme laikoma, pavyzdžiui, paties duomenų subjekto esminių interesų apsauga, valstybės ar savivaldybės institucijai suteiktų oficialių įgaliojimų vykdymas, su duomenų subjektu sudarytos sutarties vykdymas. Jeigu neegzistuoja minėtų Asmens duomenų teisinės apsaugos įstatyme nustatytų svarbių aplinkybių tvarkyti asmens duomenis, belieka kreiptis į duomenų subjektą, kad jis duotų sutikimą dėl jo asmens duomenų tvarkymo. Kreipimasis į duomenų subjektą dėl sutikimo savaime išreiškia, kad neegzistuoja svarbių ir teisiniu požiūriu pateisinamų priežasčių pradėti tvarkyti asmens duomenis. Vienintelė aplinkybė, kuri šiuo atveju leistų tvarkyti duomenų subjekto asmens duomenis, – tai paties duomenų subjekto sutikimas apriboti savo teisę į privatų gyvenimą bei kitas teises. Tai akivaizdžiai parodo, kad sutikimas – kraštutinė priemonė, norint tvarkyti asmens duomenis. Šis kraštutinumas itin aktualus duomenų subjektui – jeigu jis neduos sutikimo, jo asmens duomenys negalės būti tvarkomi, todėl duodamas sutikimą dėl jo asmens duomenų tvarkymo, duomenų subjektas tampa bendrininku veiksmų, kuriais apribojamos jo paties teisės.
Sutikimas dėl asmens duomenų tvarkymo neturėtų būti itin patrauklus nei duomenų subjektui, nes padidėja jo paties atsakomybė už tinkamą jo asmens duomenų tvarkymą, nei duomenų valdytojui, nes galimybė tvarkyti asmens duomenis tampa visiškai priklausoma nuo duomenų subjekto valios. Ši priklausomybė neretai pamirštama, nors sudaro duomenų subjekto sutikimo esmę. Išimtinai nuo duomenų subjekto valios priklauso ne tik tai, ar bus pradėtas asmens duomenų tvarkymas, bet ir tai, kokia apimtimi, kokiomis sąlygomis jis galės būti vykdomas, kada turės būti nutrauktas. Duomenų subjekto sutikimas, kaip bus aptarta vėliau, kad galiotų, privalo būti konkretus. Tai yra, duomenų subjektas gali duoti sutikimą, kad tam tikras duomenų valdytojas tvarkytų tam tikrus jo asmens duomenis tam tikrais tikslais tam tikromis sąlygomis ir tam tikrą laikotarpį. Taigi, dėl asmens duomenų tvarkymo apimties ir turinio sprendžia duomenų subjektas. Jis, pavyzdžiui, gali kelti sąlygą, kad jo asmens duomenys nebūtų teikiami tretiesiems asmenims, kad nebūtų tvarkomi tiesioginės rinkodaros tikslais, kad būtų tvarkomi tik vienerius metus, kad kiekvieną kartą, prieš panaudojant jo asmens duomenis, būtų gaunamas papildomas jo sutikimas ir pan. Duomenų valdytojui belieka tik sutikti su duomenų subjekto keliamomis sąlygomis. Jeigu šios sąlygos duomenų valdytojo netenkintų – jam tektų atsisakyti ketinimo tvarkyti duomenų subjekto asmens duomenis. Taip pat svarbu pažymėti, kad duomenų subjektas turi teisę bet kuriuo metu atšaukti sutikimą dėl jo asmens duomenų tvarkymo. Kadangi sutikimas – laisvos valios aktas, tai duomenų subjektas savo paties nuožiūra sprendžia, kada tokį sutikimą duoti ir kada jį atšaukti. Todėl duomenų valdytojas, pradėdamas tvarkyti asmens duomenis duomenų subjekto sutikimo pagrindu, negali būti tikras, kad galės šiuos duomenis tvarkyti tiek laiko, kiek duomenys jam bus reikalingi. Dėl šios priežasties, prieš pradedant asmens duomenų tvarkymą, būtina įvertinti, ar neegzistuoja kuris nors kitas Asmens duomenų teisinės apsaugos įstatymo 5 straipsnio 1 dalies 2-6 punktuose numatytas asmens duomenų tvarkymo pagrindas, kuris garantuotų stabilesnį ir labiau planuojamą asmens duomenų tvarkymą.
Galiausiai, kad asmens duomenys galėtų būti tvarkomi duomenų subjekto sutikimo pagrindu, šis sutikimas turi būti gautas, laikantis tam tikrų sąlygų. Šių sąlygų neatitinkantis duomenų subjekto sutikimas laikomas negaliojančiu ir negali pateisinti duomenų subjekto asmens duomenų tvarkymo. Duomenų subjekto sutikimo galiojimo sąlygos yra šios: 1) nėra abejonių, kad sutikimą davė būtent duomenų subjektas; 2) sutikimas duotas laisva valia; 3) sutikimas duotas, duomenų subjektui suvokiant sutikimo padarinius; 4) sutikimas aiškiai išreiškia duomenų subjekto valią; 5) sutikimas duotas, turint pakankamai informacijos apie numatomą vykdyti asmens duomenų tvarkymą; 6) sutikimas yra konkretus. Detaliau šios sąlygos aptariamos kituose tekstuose.
