Alla organisationers hantering av personuppgifter måste ha stöd i någon av de sex lagliga grunder som finns i GDPR. De fyra grunder som framförallt är aktuella för bostadsrättsföreningens personuppgiftsbehandlingar finna beskrivna nedan.
Fullgöra avtal med den enskilde
Behandlingen är nödvändig för att fullgöra ett avtal i vilket den enskilde är part eller för att vidta åtgärder på begäran av den enskilde innan ett sådant avtal ingås.
Kommentar: Exempelvis kan kontouppgifter behöva inhämtas om betalning ska ske till den enskilde enligt avtalet.
Fullgöra en rättslig förpliktelse
Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som den personuppgiftsansvarige har.
Kommentar: Den rättsliga förpliktelsen kan t.ex. följa av bostadsrättslagen eller någon annan lag. Ett exempel på sådan rättslig förpliktelse enligt bostadsrättslagen är att bostadsrättsföreningen är skyldig att föra en lägenhetsförteckning (som enligt krav i lagen ska innehålla flera olika personuppgifter). Föreningen har alltså en laglig grund för hanteringen av dessa personuppgifter i lägenhetsförteckningen.
Samtycke
Den enskilde har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
Kommentar: Samtycke bör väljas i sista hand som laglig grund då det ställs höga administrativa krav kring införskaffande av samtycke och då ett samtycke alltid kan tas tillbaka av den enskilde.
Intresseavvägning
Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den enskildes intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
Kommentar: Om det inte går att hitta någon annan lämplig grund kan det övervägas om intresseavvägningen kan vara en grund. I sådana fall ska bostadsrättsföreningens intresse väga tyngre än den enskildes.