Das PDPB enthält Beschränkungen zur Datenminimierung, wonach personenbezogene Daten „nur in dem Umfang erhoben werden dürfen, der für die Zwecke der Verarbeitung dieser personenbezogenen Daten erforderlich ist“.
Das Gesetz sieht außerdem bestimmte Speicherbeschränkungen vor und verlangt die Löschung von Daten, sofern die Aufbewahrung nicht gesetzlich vorgeschrieben ist oder keine Einwilligung zur Aufbewahrung vorliegt.
Aufgrund der strengen Aufbewahrungsanforderungen des PDPB ist es erforderlich, interne Richtlinien zur Datenaufbewahrung festzulegen, auf die Unternehmen schnell reagieren können – und die gleichzeitig in der Lage sind, doppelte und redundante Daten zu identifizieren.