Personvernforordningen regner opp seks mulige behandlingsgrunnlag, og fire av dem er mest aktuelle for bedrifter:
- den registrerte personen har gitt bedriften samtykke til behandlingen
- det er nødvendig for bedriften for å oppfylle en avtale med den registrerte personen
- det er nødvendig for å overholde lover og regler
- bedriften har en berettiget interesse i behandlingen, som er nødvendig og som er viktigere enn å beskytte personopplysningene for den registrerte
Disse behandlingsgrunnlagene er likestilte, det er altså ikke slik at for eksempel samtykke er det "beste" grunnlaget, selv om man hører det av og til.
Det er bedriften selv som må vurdere om den har behandlingsgrunnlag i hvert enkelt tilfelle. Hvis behandlingsgrunnlaget er samtykke (nr. 1) eller berettiget interesse (nr. 4) er det egne krav til dokumentasjon.
Merk at behandlingen må være "nødvendig" i de tre siste tilfellene. Dette er mindre strengt enn det kan høres ut. Bedriften må vurdere konkret om det er snakk om en målrettet og forholdsmessig behandling, og om det er mulig å oppnå formålet på annen måte.
Har ikke bedriften et av de fire behandlingsgrunnlagene kan den heller ikke behandle opplysningene.
Hvis bedriften skal behandle sensitive personopplysninger, må den ha ytterligere grunnlag for den behandlingen.