Het begrip rechtsgrondslag verwijst naar de rechtsgronden of rechtvaardigingen voor het verzamelen en verwerken van persoonsgegevens. Volgens de gegevensbeschermingswetgeving moeten organisaties een rechtsgrondslag hebben voor het verzamelen en verwerken van persoonsgegevens. Met andere woorden, zij moeten aantonen dat zij daarvoor een legitieme reden hebben.
Er zijn verschillende rechtsgronden die organisaties kunnen gebruiken om het verzamelen en verwerken van persoonsgegevens te rechtvaardigen, afhankelijk van het toepasselijke rechtskader en de specifieke omstandigheden en context. Enkele veel voorkomende voorbeelden van rechtsgrondslagen zijn:
Toestemming: Dit is misschien wel de meest voorkomende rechtsgrondslag voor het verzamelen en verwerken van persoonsgegevens. Wil een organisatie toestemming als rechtsgrondslag gebruiken, dan moet de betrokkene uitdrukkelijk, uit vrije wil en met kennis van zaken toestemming hebben gegeven voor het verzamelen en verwerken van zijn persoonsgegevens.
Contract: Als een organisatie persoonsgegevens moet verzamelen en verwerken om een contract met een persoon na te komen, kan zij het contract als rechtsgrondslag gebruiken. Stel bijvoorbeeld dat een persoon een contract heeft gesloten met een organisatie om een product of dienst te kopen. In dat geval kan de organisatie de persoonsgegevens van de betrokkene (bijvoorbeeld een leveringsadres) verzamelen en verwerken om dat contract uit te voeren.
Wettelijke verplichting: In sommige gevallen kan de wet een organisatie verplichten om persoonsgegevens te verzamelen en te verwerken. Een organisatie kan bijvoorbeeld verplicht zijn persoonsgegevens te verzamelen en te verwerken om te voldoen aan belasting- of arbeidswetgeving. In deze gevallen kan de wettelijke verplichting worden gebruikt als rechtsgrondslag voor het verzamelen en verwerken van persoonsgegevens.
Als je nieuwsgierig bent naar rechtsgrondslagen in de GDPR, hebben we een blog geschreven over dit onderwerp en een verdiepende blog over toestemming.