Az adatkezelés jogszerűségének nagyon fontos eleme, hogy az adatkezelésre milyen jogalapon kerül sor. Az adatkezelő kötelezettsége ugyanis, hogy az adatkezelés vonatkozásában gondoskodjon a megfelelő jogalap meglétéről. A Rendelet preambuluma (40) szerint:
Annak érdekében, hogy a személyes adatok kezelése jogszerű legyen, annak az érintett hozzájárulásán kell alapulnia, vagy valamely egyéb jogszerű, jogszabály által megállapított – akár e rendeletben, akár más, az e rendeletben említettek szerinti uniós vagy tagállami jogban foglalt – alappal kell rendelkeznie, ideértve az adatkezelőre vonatkozó jogi kötelezettségeknek való megfelelés szükségességét, az érintett által kötött esetleges szerződés teljesítését, illetve az érintett által kért, a szerződéskötést megelőzően megteendő lépéseket.
Ahogy egy korábbi posztomban már írtam róla, sok adatkezelő a hozzájárulást tekinti az adatkezelés elsődleges jogalapjának, így gyakran olyan esetekben is hozzájárulás beszerzésére törekszenek, amikor erre nincs szükség. Érdemes tehát áttekinteni, hogy a hozzájárulás mellett milyen egyéb jogalapok állnak rendelkezésre. Különösen fontos lehet ez Magyarországon, hiszen a 95/46/EK irányelv ("Irányelv") jogalapokra vonatkozó rendelkezéseinek nem megfelelő átültetése miatt hosszú időn át jelentős jogalkalmazási nehézségeket okozott a megfelelő jogalap meghatározása.
Az Irányelv 7. cikke határozta meg azokat a jogalapokat, amelyekre jogszerű adatkezelést lehet alapozni. A GDPR 6. cikkében meghatározott adatkezelési jogalapok lényegében megegyeznek az Irányelv 7. cikkében szereplő jogalapokkal. Ami lényeges újdonságot jelent az eddigiekhez képest, hogy a Rendelet közvetlen hatálya miatt nem kerül sor tagállami átültetésre és így elkerülhetők lesznek azok az esetek, amikor az elmaradt vagy nem megfelelő tagállami átültetés miatt az Irányelv közvetlen hatályára kellett hivatkozni (pl. ASNEF-ügy).