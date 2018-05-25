GDPR mendefinisikan dasar hukum yang dapat digunakan perusahaan untuk memproses data pribadi. Setidaknya salah satu dari syarat-syarat ini harus dipenuhi, jika tidak, maka pemrosesan tersebut ilegal.

Subjek data menyetujui datanya diproses. Perusahaan dapat memproses data seseorang jika mereka menyetujuinya. Persetujuan hanya sah jika diinformasikan, ditegaskan dan diberikan secara sukarela.

Agar persetujuan dapat diberikan, perusahaan harus menjelaskan dengan jelas data apa yang dikumpulkan dan cara perusahaan akan menggunakan data tersebut. Agar persetujuan menjadi tegas, pengguna harus mengambil tindakan secara sadar untuk menunjukkan persetujuan mereka, seperti dengan menandatangani pernyataan atau mencentang kotak. Persetujuan tidak bisa menjadi opsi default. Hal-hal seperti kotak yang sudah dicentang sebelumnya melanggar GDPR. Agar persetujuan dapat diberikan secara bebas, perusahaan tidak dapat memengaruhi atau memaksa subjek dengan cara apa pun. Perusahaan tidak dapat meminta persetujuan untuk menggunakan layanan kecuali jika pemrosesan diperlukan agar layanan dapat berfungsi. Sebagai contoh, sebuah perusahaan mungkin membutuhkan nomor kartu kredit seseorang untuk menjual sesuatu kepada mereka, tetapi mungkin tidak membutuhkan alamat IP mereka.

Perusahaan tidak dapat menggabungkan persetujuan jika data sedang diproses untuk beberapa tujuan. Subjek harus dapat menerima atau menolak setiap aktivitas pemrosesan secara individual. Organisasi harus menyimpan catatan persetujuan. Subjek dapat menarik persetujuannya kapan pun. Jika ya, pemrosesan harus dihentikan.

Data harus diproses untuk melaksanakan kontrak dengan subjek data atau atas nama subjek. Misalnya, jika seseorang mengajukan pinjaman, bank mungkin perlu memproses data keuangan dan riwayat pekerjaan mereka.

Pengontrol mempunyai kewajiban hukum untuk memproses data. Misalnya, beberapa peraturan layanan kesehatan mewajibkan rumah sakit untuk menyimpan data pasien.

Data harus diproses untuk melindungi kepentingan vital subjek atau orang lain. Hal ini mengacu pada situasi di mana data harus diproses untuk menyelamatkan nyawa seseorang atau mencegah bahaya.

Data harus diproses untuk melaksanakan tugas yang merupakan kepentingan publik atau bagian dari wewenang resmi pengontrol. Jurnalisme adalah contoh klasik dari alasan kepentingan publik untuk memproses data pribadi. Instansi pemerintah dapat memproses data pribadi untuk menjalankan fungsi resminya.

Data harus diproses untuk memenuhi kepentingan yang sah dari pengontrol atau pihak ketiga. Kepentingan yang sah adalah manfaat yang dapat diperoleh perusahaan melalui pemrosesan data. Contohnya, melakukan pemeriksaan latar belakang karyawan atau melacak alamat IP di jaringan perusahaan untuk tujuan keamanan siber. Pemrosesan harus diperlukan untuk dihitung sebagai kepentingan yang sah. Perusahaan tidak dapat mengklaim kepentingan yang sah jika perusahaan dapat menyelesaikan tugas tanpa data yang dimaksud. Subjek data juga harus secara wajar mengharapkan pemrosesan tersebut. Jika subjek akan terkejut mendengar bahwa data mereka digunakan dengan cara tertentu, kemungkinan besar perusahaan tidak memiliki alasan kepentingan yang sah. Hak-hak subjek data umumnya mengalahkan kepentingan sah perusahaan.

Organisasi harus menetapkan dan mendokumentasikan basis data mereka sebelum mengumpulkan data. Mereka harus mengomunikasikan basis ini kepada pengguna. Perusahaan tidak dapat mengubah basis data mereka setelah fakta tanpa persetujuan subjek.