2.1 Rättsliga grunder för behandling av personuppgifter
Personuppgifter kan behandlas lagligt på följande grunder:
a. Den registrerades samtycke
En enskild person kan lämna sitt samtycke till behandling av sina personuppgifter för ett specifikt ändamål. Man kan lämna sitt samtycke skriftligen eller muntligen eller genom någon annan entydig bekräftande handling, till exempel att en ruta kryssas i vid besök på en internetsida. Man ska kunna återkalla sitt samtycke lika enkelt som man kan lämna det. Läs mer om samtycke i nästa avsnitt.
b. Avtal
När den registrerade är part i ett avtal får hens personuppgifter behandlas för att fullgöra avtalet. Om en person till exempel beställer en munkjacka för supporter av en idrottsförening kan föreningen behandla personens adressuppgifter så att munkjackan kan levereras. Det är viktigt att fastställa avtalets innehåll och syfte noga i och med att det bedöms utifrån dem om det är nödvändigt att behandla uppgifter. Endast nödvändiga personuppgifter får behandlas.
c. Fullgörande av en rättslig förpliktelse som åvilar den personuppgiftsansvariga
Fullgörandet av den personuppgiftsansvarigas rättsliga förpliktelser kan förutsätta att den personuppgiftsansvariga behandlar personuppgifter. Personuppgiftsansvariga i både den privata och den offentliga sektorn kan ha rättsliga förpliktelser. En lagstadgad förpliktelse kan endast grunda sig på EU-lagstiftningen eller nationell lagstiftning.
d. Skydd av intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person
Behandling av personuppgifter är tillåten när den är nödvändig för att skydda ett intresse som är av avgörande betydelse för den registrerades eller en annan fysisk persons liv. Denna grund lämpar sig för situationer där det är fråga om liv och död eller om hot som skulle kunna leda till skador eller annars vara skadliga för hälsan. Behandling av personuppgifter kan tjäna intressen som är av grundläggande betydelse i humanitära nödsituationer såsom naturkatastrofer eller epidemier. Behandling av personuppgifter kan vara nödvändig bland annat för att övervaka epidemier och deras spridning.
e. Utförande av en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvarigas myndighetsutövning
Personuppgifter får behandlas när allmänt intresse eller myndighetsutövning som den personuppgiftsansvariga har fått i uppgift att utföra förutsätter det. Detta kan vara en tillämplig grund för behandlingen både i den privata och den offentliga sektorn i situationer som handlar om EU:s eller en stats allmänna intresse eller myndighetsutövning. En uppgift som gäller ett allmänt intresse eller offentlig makt ska grunda sig på lagen eller andra rättsliga bestämmelser. Behandling utifrån ett allmänt intresse kan utgöras av till exempel behandling av personuppgifter för vetenskaplig eller historisk forskning eller för statistiska ändamål.
f. Berättigat intresse
Det är tillåtet att behandla personuppgifter då det är nödvändigt för att tillgodose berättigade intressen hos den personuppgiftsansvariga eller en tredje part. Huruvida ett intresse kan anses vara berättigat, avgörs med ett så kallat jämviktstest. I detta vägs den personuppgiftsansvarigas eller en tredje parts intressen mot den registrerades intressen och grundläggande fri- och rättigheter. Ett berättigat intresse kan föreligga till exempel när den registrerade är kund eller anställd hos den personuppgiftsansvariga.
