En personuppgiftsansvarig får behandla personuppgifter endast när det finns en laglig grund för behandlingen. När man hänvisar till dessa grunder används också ofta begreppen behandlingsgrund eller rättslig grund. Behandlingsgrunderna begränsar de ändamål för vilka den personuppgiftsansvariga kan behandla uppgifter, och behandlingsgrunden kan inte ändras under behandlingens gång. Behandlingsgrunden inverkar också på vilka rättigheter den registrerade kan ha. I dataskyddsförordningen finns bindande stadganden om behandlingsgrunder, som det inte är möjligt att avvika från till exempel genom avtal.
Anordnaren av verksamheten ska identifiera och fastställa tydliga behandlingsgrunder innan behandlingen inleds. När behandlingsgrunderna fastställs är det bra att ta i beaktande att grunderna inte har någon inbördes prioritetsordning och att det för behandlingen samtidigt kan finnas flera olika behandlingsgrunder. Anordnaren ska också fästa uppmärksamhet vid att alla behandlingsgrunder inte är tillgängliga för alla anordnare, eftersom en del av grunderna är begränsade att användas endast av myndigheter och en del av andra än myndigheter. En behandlingsgrund ger inte heller obegränsad rätt att behandla uppgifterna, utan behandlingen ska därtill också vara förenlig med de allmänna dataskyddsprinciperna som behandlats i ett annat avsnitt av den här dataskyddsguiden. För behandlingen av särskilda kategorier av personuppgifter och personbeteckningar finns några tilläggsvillkor, som behandlas längre ner på denna sida.
Behandlingsgrunderna är
- den registrerades samtycke,
- avtal,
- rättslig förpliktelse som åvilar den personuppgiftsansvariga,
- skydd av intressen som är av grundläggande betydelse,
- uppgift av allmänt intresse eller som ett led i myndighetsutövning, samt
- ändamål som rör den personuppgiftsansvarigas eller en tredje parts berättigade intressen.
Behandling av personuppgifter som en anordnare av småbarnspedagogik eller utbildning utför grundar sig i regel på att uppfylla en rättslig förpliktelse som hör till den personuppgiftsansvariga. Behandlingen kan också grunda sig på att utföra en uppgift av allmänt intresse eller utgöra ett led i den personuppgiftsansvarigas myndighetsutövning. Inom myndighetsverksamhet är utgångspunkten att behandlingen av personuppgifter baserar sig på dessa behandlingsgrunder.