Toestemming voor dataverwerking is alleen vereist wanneer er geen andere geldige wettelijke grondslag bestaat. In de praktijk betekent dit dat organisaties persoonsgegevens mogen verwerken zonder expliciete toestemming als dat noodzakelijk is voor de uitvoering van een overeenkomst, het voldoen aan een wettelijke verplichting, het beschermen van vitale belangen of een gerechtvaardigd belang dat zwaarder weegt dan het privacybelang van de betrokkene. Toestemming is daarmee geen standaardvereiste, maar een specifieke keuze wanneer andere grondslagen ontbreken.
Toestemming wél nodig is vooral bij verwerkingen die niet strikt noodzakelijk zijn, zoals marketing, tracking of het combineren van data voor nieuwe doeleinden. In die gevallen moet toestemming vrij gegeven, specifiek, geïnformeerd en ondubbelzinnig zijn, en net zo eenvoudig kunnen worden ingetrokken als gegeven. Stilzwijgende instemming of vooraf aangevinkte opties volstaan niet.
Een belangrijke vuistregel is dat toestemming een zwakke grondslag is: wie erop leunt, moet kunnen stoppen zodra die wordt ingetrokken, en kan de verwerking dan niet voortzetten op een andere basis.