Vid behandling av personuppgifter ska företag ha en rättslig grund för att behandlingen ska vara laglig. Det framgår av en utav de grundläggande principerna, principen om laglighet, korrekthet och öppenhet. Det är tre begrepp som utgör en av sju grundläggande principer som företag måste följa vid all sin behandling av personuppgifter. Att behandlingen ska vara laglig innebär också att behandlingen inte får strida mot andra lagar och regler.
Vid behandling av personuppgifter ska företag ha en rättslig grund
Principen laglighet, korrekthet och öppenhet i GDPR innebär också att företaget ska informera de registrerade om behandlingen på ett tydligt och öppet sätt. Med andra ord ska de registrerade bland annat få veta syftet med behandlingen, vilka rättigheter de har och hur företaget ska använda personuppgifterna.
De sex rättsliga grunderna är följande:
- Samtycke
- Avtal
- Intresseavvägning
- Rättslig förpliktelse
- Grundläggande intresse
- Myndighetsutövning och uppgift av allmänt intresse
Företag ska bara använda en rättslig grund för varje enskild behandling. Men i vissa fall kan det vara nödvändigt att kombinera flera rättsliga grunder för samma personuppgifter, men då behandlingar sker för olika syften. Exempelvis kan företag behöva behandla namn och e-postadress med stöd av den rättsliga grunden avtal, om det är nödvändigt för att fullgöra avtalet. Däremot får företaget inte behandla dessa personuppgifter för andra syften än det som är nödvändigt för att fullgöra avtalet. Om företaget vill behandla dessa personuppgifter för andra syften, exempelvis för att skicka nyhetsbrev, behöver företaget använda en annan rättslig grund. Till exempel samtycke.