De lagliga grunderna är:
Rättslig förpliktelse
Personuppgifter får behandlas om det är nödvändigt för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, alltså en skyldighet som följer av lag. Ett exempel på det är bokföringsskyldigheten som följer av bokföringslagen.
Avtal
Det är tillåtet att behandla personuppgifter om det är nödvändigt för att fullgöra ett avtal där personen är part eller för att vidta åtgärder på begäran av personen innan ett sådant avtal ingås. Två exempel på behandlingar som är nödvändiga i samband med avtal är behandling av personuppgifter i kund- och personaladministrativa system för fakturering och löneberäkning.
Skydd för grundläggande intressen
Det är tillåtet att behandla personuppgifter för att skydda grundläggande intressen. För att denna grund för behandling ska få användas måste det handla om ett intresse som är av avgörande betydelse för den registrerades eller någon annan persons liv. Det skulle kunna röra sig om en personuppgiftsbehandling som är nödvändig för livsavgörande vård i akuta situationer då den registrerade inte kan lämna sitt samtycke. Denna lagliga grund gäller även för behandling av känsliga personuppgifter.
Uppgift av allmänt intresse
Personuppgifter får behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. För att behandlingen ska vara tillåten enligt denna grund måste den uppgift som den personuppgiftsansvariga utför:
- Vara en del av allmänt intresse eller utgöra ett led i myndighetsutövning
- Vara fastställd i enlighet med unionsrätten eller den nationella rätten
- Vara nödvändig (proportionerlig) för ett ändamål som är nödvändigt för att utföra uppgiften
Berättigat intresse
Det kan vara tillåtet att behandla personuppgifter efter en intresseavvägning, om behandlingen är nödvändig för personuppgiftsansvariges eller tredje parts berättigade intressen, och de väger tyngre än personens intressen eller grundläggande rättigheter och friheter. Med tredje part menas en person som varken är personuppgiftsansvarig eller personuppgiftsbiträde.
Enligt dataskyddsförordningen är direktmarknadsföring ett sådant berättigat intresse, om nyttan väger tyngre än risken.
Samtycke
Samtycke innebär att en person går med på att personuppgifter behandlas för ett visst ändamål. Ett giltigt samtycke ska vara ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerade om att den godkänner behandlingen av personuppgifterna. Den registrerade har alltid rätt att dra tillbaka sitt samtycke.