Isikuandmete töötlemise õiguslikud alused on reguleeritud isikuandmete kaitse üldmääruse (GDPR) artiklis 6. Isikuandmete töötlemisel peab vähemalt üks järgmistest tingimustest olema täidetud.
Nõusolek
Inimene on andnud selgesõnalise nõusoleku ettevõttele tema isikuandmete töötlemiseks konkreetsel eesmärgil. Nõusolek peab selgelt eristuma muudest küsimustest, et inimesele oleks arusaadav, milliseid andmeid temalt kogutakse ja kuidas neid kasutatakse. Inimesel on õigus oma nõusolek igal ajal tagasi võtta ning ettevõte on kohustatud sellest lähtuma ja lõpetama isikuandmete töötlemise. Nõusoleku tagasivõtmine peab toimuma samal viisil ning olema sama lihtne kui nõusoleku andmine. Ettevõte peab tõendama, et inimene on nõustunud oma isikuandmete töötlemisega. Kui isikuandmeid kasutatakse mitmel erineval eesmärgil, on vaja inimese eraldi nõusolekut iga töötlemiseesmärgi jaoks.
Leping
Andmetöötlus on vajalik ettevõttega sõlmitud lepingu täitmiseks või inimese taotlusel lepingu sõlmimisele eelnevate toimingute tegemiseks. Inimene on andnud nõusoleku isikuandmete töötlemiseks, kui ta sõlmib lepingu, mis eeldab isikuandmete töötlemist. Sellest hoolimata on ettevõte kohustatud inimest teavitama, milliseid isikuandmeid ja kuidas töödeldakse.
Seadusest tulenev kohustus
Isikuandmete töötlemine on vajalik juriidiliste tohustuste täitmiseks. s. Andmetöötluse kohustused võivad tuleneda siseriiklikest seadustest. Näiteks Eesti raamatupidamise seaduse järgi on ettevõtted kohustatud raamatupidamisdokumente säilitama 7 aastat. Avaliku sektori asutused töötlevad isikuandmeid seadusest tulenevate ülesannete täitmiseks. Näiteks on andmetöötlus määrava tähtsusega maksuameti, politsei ja teiste uurimisorganite töös.
Elulised huvid
Andmetöötlus on vajalik inimese eluliste huvide kaitsmiseks, kui inimene on ohus või tal puudub võimalus nõusoleku andmiseks. Näiteks on kiirabil õigus pääseda ligi inimese meditsiinilistele andmetele, kui on toimunud õnnetus ning inimene on teadvuseta. Eluliste huvides kaitsmiseks vajalik andmetöötlus puudutab eelkõige äärmuslikke tingimusi ja olukordi.
Avalik huvi
Andmetöötlus on vajalik avalikes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks, kui vastava ülesanne või tegevus on seaduses selgelt kirjas.
Õigustatud huvi
Andmetöötlus on vajalik ettevõtte või kolmanda isiku õigustatud huvi korral, välja arvatud kui sellise huvi kaaluvad üles inimese huvid või põhiõigused ja -vabadused, mille nimel tuleb isikuandmeid kaitsta. Õigustatud huvi andmetöötluses puudutab üksnes olukordi, kus esineb asjakohane suhe inimese ja andmetöötleja vahel. Näiteks esineb taoline suhe kliendi ja teenusepakkuja vahel, kui inimene võib mõistlikult eeldada, et teenuse pakkumise käigus tema isikuandmeid töödeldakse. Õigustatud huviks võib olla andmete edastamine ettevõtete grupi siseselt administratiivsetel eesmärkidel. Avaliku sektori asutuste ülesannete täitmiseks vajalik andmetöötlus ei saa lähtuda õigustatud huvist.
Lahendused isikuandmete töötlemise toimingute registreerimiseks
Nõuded isikuandmete töötlemise toimingute registreerimiseks on esitatud GDPR artiklis 30.
GDPR Register on lahendus, mis võimaldab tüüpmalle kasutades andmetöötluse toiminguid lihtsalt ja mugavalt registreerida.
Vt GDPR artiklit 6, mis sätestab andmetöötluse õiguslikud alused.