De AVG beschrijft verschillende grondslagen die bepalen wanneer het is toegestaan om persoonsgegevens te verwerken.
In de AVG worden voor het verwerken van persoonsgegevens de volgende grondslagen genoemd:
- Toestemming.
De betrokkene heeft toestemming gegeven voor de verwerking van zijn of haar persoonsgegevens.
- Noodzakelijkheid voor de uitvoering van een overeenkomst.
De verwerking is nodig om een overeenkomst uit te voeren, of om op verzoek van de betrokkene stappen te ondernemen voordat een overeenkomst wordt gesloten.
- Naleving van een wettelijke verplichting.
De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die geldt voor de verwerkingsverantwoordelijke.
- Bescherming van vitale belangen.
De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een ander persoon te beschermen.
- Uitvoering van een taak van algemeen belang of uitoefening van openbaar gezag.
Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen
- Gerechtvaardigd belang.
Het is noodzakelijk om gegevens te verwerken voor het gerechtvaardigde belang van de betrokkene.
Het verwerken van bijzondere persoonsgegevens is verboden. Bijzondere persoonsgegevens zijn onder andere gegevens over ras, etnische afkomst, politieke opvattingen en gezondheidsgegevens. In de AVG worden wel een aantal uitzonderingen voor het verwerkingsverbod genoemd:
- Toestemming.
Iemand heeft uitdrukkelijk toestemming gegeven voor de verwerking van deze bijzondere persoonsgegevens.
- Uitvoering van verplichtingen op het gebied van arbeidsrecht en sociaalzekerheidsrecht.
De verwerking is noodzakelijk voor de uitvoering van verplichtingen en het uitoefenen van specifieke rechten op het gebied van arbeidsrecht en sociaalzekerheidsrecht.
- Bescherming van vitale belangen.
De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een ander persoon te beschermen. Dit geldt alleen wanneer diegene fysiek of juridisch niet in staat is om toestemming te geven.
- Verwerking door een stichting, vereniging of een andere rechtspersoon zonder winstoogmerk.
De verwerking is verricht door een stichting, vereniging, of een andere rechtspersoon zonder winstoogmerk.
- De gegevens zijn doelbewust door de betrokkene openbaar gemaakt.
- De verwerking is nodig om een juridische claim in te dienen, uit te oefenen of te onderbouwen.
Ook de rechtspraak mag bijzondere persoonsgegevens verwerken als dat nodig is voor het uitvoeren van haar taken.
- De verwerking is noodzakelijk voor een zwaarwegend algemeen belang.
Dit kan alleen als dit in de wet staat.
- De verwerking is nodig voor doelen van preventieve of (arbeids)geneeskundige aard.
Bijv. voor het verstrekken van gezondheidszorg. Dit kan alleen als dit in de wet staat of als er een overeenkomst is gesloten met een zorgaanbieder.
- De verwerking is noodzakelijk voor de volksgezondheid.
Dit kan alleen als dit in de wet staat.
- De verwerking is noodzakelijk voor archivering in het algemeen belang, wetenschappelijk/historisch onderzoek of statistische doeleinden.
Dit kan alleen als dit in de wet staat.