A GDPR 6. cikke szerint az adatkezelés kizárólag akkor és annyiban jogszerű, amennyiben az adatkezelő a Rendeletben meghatározott valamely jogalappal rendelkezik az adatok kezelésére.
Ez természetesen már az Infotv. vonatkozásában is szükséges volt, azonban az Infotv. nevesített jogalapjain túl a GDPR rugalmasabb és életszerűbb lehetőséget biztosít az adatkezelők számára.
A GDPR alapján tehát az adatkezelés jogalapja lehet
- érintett hozzájárulása (egy vagy több konkrét célból);
- szerződés teljesítése – az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél (ide értve a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges adatkezelést is);
- jogi kötelezettség teljesítése – ha az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (uniós jog vagy tagállami jog rendelkezése alapján);
- létfontosságú érdek védelme – az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
- közhatalmi jogosítvány gyakorlása – az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges (uniós jog vagy tagállami jog rendelkezése alapján);
- jogos érdek – az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.