Det finns sex rättsliga grunder:
- Samtycke
- Avtal
- Intresseavvägning
- Rättslig förpliktelse
- Myndighetsövning
- Uppgift av allmänt intresse och grundläggande intresse
Samtycke: Den registrerade har sagt ja till personuppgiftsbehandlingen. Samtycke kan användas till exempel när man ska skicka ut nyhetsbrev till prenumeranter.
Det är oftast inte lämpligt eller ens möjligt att använda samtycke som rättslig grund. Tänk alltid över de andra rättsliga grunderna först!
Avtal: Den registrerade har ett avtal eller ska sluta ett avtal med den personuppgiftsansvariga. Avtal kan användas till exempel när en arbetsgivare behandlar personuppgifter om en anställd för att kunna uppfylla anställningsavtalet eller för att behandla personuppgifter som behövs för att administrera en beställning vid köp av vara.
Intresseavvägning: Den personuppgiftsansvarige får behandla personuppgifter om den personuppgiftsansvariges intressen väger tyngre än den registrerades och om behandlingen är nödvändig för att uppnå det aktuella ändamålet. Intresseavvägning kan användas till exempel i direkt marknadsföring, kvalitetsutveckling och statistikföring.
Rättslig förpliktelse: Det finns lagar eller regler som gör att den personuppgiftsansvariga måste behandla vissa personuppgifter i sin verksamhet. Några exempel är bankers skyldighet att föra register över sina kunder, bokföringsskyldighet som anges i bokföringslagen eller arbetsgivares skyldighet att redovisa skatter och sociala avgifter beträffande sina arbetstagare.
Myndighetsutövning och uppgift av allmänt intresse: Den personuppgiftsansvariges behandling är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Ett exempel är för att tillhandahålla hälso-och sjukvård.
Grundläggande intresse: Den personuppgiftsansvariges behandling är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Denna rättsliga grund används främst inom sjukvården när det till exempel skulle behövas för att rädda en persons liv genom att ta del av känsliga personuppgifter som blodgrupp.