Een kernvereiste van GDPR is dat elke verwerking van persoonlijke gegevens een geldig zakelijk doel EN een van de zes juridische grondslagen moet hebben die GDPR toestaat.
U moet uw zakelijke doel en juridische grondslag bepalen voordat u met de verwerking begint, en u moet dit documenteren in uw GDPR register en uw privacybeleid. Uw keuze van de rechtsgrondslag hangt af van het doel van de gegevensverwerking.
Het is mogelijk dat u dezelfde set persoonsgegevens voor een aantal verschillende doeleinden moet verwerken. Elk van deze doeleinden moet een geldige rechtsgrond hebben (niet noodzakelijk dezelfde).
U moet uw juridische basis voor het verwerken van persoonlijke gegevens kunnen uitleggen in uw privacybeleid en wanneer u een verzoek om gegevenstoegang beantwoordt. Er zijn zes beschikbare rechtsgrondslagen om een verwerking van gegevens vermeld in artikel 6 AVG te motiveren:
- Toestemming
- Uitvoering van een contract (inclusief het nemen van stappen om een contract aan te gaan)
- Wettelijke verplichting
- Vitale belang van de betrokkene of een ander individu
- Taak van algemeen belang
- Gerechtvaardigd belang van de gegevensbeheerder
Welke het meest geschikt is, hangt af van de context van uw verwerking.
Vijf van de zes rechtsgrondslagen spreken voor zich. Als u wilt verwijzen naar het legitieme belang van de gegevensbeheerder, moet u nadenken en een test uitvoeren om te bepalen of deze rechtsgrondslag geschikt is. Lees hierover meer in ons kennis bank item over gerechtvaardigd belang.
