For å kunne behandle personopplysninger må man ha et juridisk grunnlag. Dette gjelder all behandling av enhver personopplysning.
Personvernforordningen regner opp seks mulige behandlingsgrunnlag, og fire av dem er mest aktuelle for bedrifter:
- den registrerte personen har gitt bedriften samtykke til behandlingen
- det er nødvendig for bedriften for å oppfylle en avtale med den registrerte personen
- det er nødvendig for å overholde lover og regler
- bedriften har en berettiget interesse i behandlingen, som er nødvendig og som er viktigere enn å beskytte personopplysningene for den registrerte
Det er bedriften selv som må vurdere om den har behandlingsgrunnlag i hvert enkelt tilfelle. Hvis behandlingsgrunnlaget er samtykke (nr. 1) eller berettiget interesse (nr. 4) er det egne krav til dokumentasjon.
Merk at behandlingen må være "nødvendig" i de tre siste tilfellene. Dette er mindre strengt enn det kan høres ut. Bedriften må vurdere konkret om det er snakk om en målrettet og forholdsmessig behandling, og om det er mulig å oppnå formålet på annen måte.
Har ikke bedriften et av de fire behandlingsgrunnlagene kan den heller ikke behandle opplysningene.