Artikel 5, stk. 1, litra b), i GDPR

Databeskyttelsesprincippet om formålsbegrænsning i henhold til GDPR

En virksomhed skal altid have et forudbestemt formål med behandlingen af personoplysninger. Det er derfor ikke tilladt i henhold til GDPR at behandle personoplysninger uden noget formål.

Formålet skal være klart

Det pågældende formål skal være specifikt og klart, hvilket betyder, at formålet ikke må være diffust, for bredt eller uklart. Desuden er det ikke tilladt at behandle flere personoplysninger, end det faktisk er nødvendigt for at opfylde formålet.

Formålet skal også være fastslået, inden virksomheden begynder at foretage behandlingen. Det betyder, at det ikke er muligt at indsamle mange personoplysninger, “bare fordi det kan være nyttigt at have dem i fremtiden”, og efter indsamlingen begynder at bestemme formålene med behandlingen af personoplysningerne.

Husk også at følge de andre principper.

Bemærk, at virksomheden også skal overholde de andre grundlæggende databeskyttelsesprincipper, såsom principperne om lovlighed, rimelighed og gennemsigtighed.

Informere de registrerede om formålet med behandlingen

Ved at underrette de registrerede om formålet med behandlingen af deres personoplysninger skal de registrerede bl.a. forstå følgende:

Kompatible formål

I nogle tilfælde kan en virksomhed behandle personoplysninger ud over det tidligere etablerede formål med brug til et nyt formål. I sådanne tilfælde skal det nye formål imidlertid være foreneligt med det oprindelige formål med anvendelsen. I sådanne tilfælde er det ikke nødvendigt for virksomheden at have et særskilt retsgrundlag end det, der blev brugt til det oprindelige formål med behandlingen. Bemærk venligst, at virksomheden også altid skal overholde de øvrige regler i GDPR og anden relevant lovgivning ved behandling af personoplysninger.

Nedenfor kan du læse nogle eksempler på behandlinger, der kan være kompatible med hinanden, forudsat at virksomheden overholder sikkerhedsforanstaltningerne i GDPR. Når der foretages yderligere forarbejdning for:

Eksempler på, hvornår et nyt formål med behandlingen af de samme personoplysninger ikke er foreneligt eller foreneligt med det oprindelige formål med anvendelsen:

For yderligere oplysninger om kompatible formål henvises til betragtning 50 i GDPR.

Hvis retsgrundlaget er samtykke

Samtykke er et relativt almindeligt lovkrav, som virksomheder skal bruge, når de behandler personoplysninger. Når retsgrundlaget er samtykke, skal virksomheder i de fleste tilfælde indhente et nyt samtykke for at behandle personoplysninger til andre kompatible formål. Bemærk, at behandlingen ophører, hvis samtykket trækkes tilbage.

Tekniske og organisatoriske sikkerhedsforanstaltninger

Virksomheder skal træffe passende tekniske og organisatoriske sikkerhedsforanstaltninger for at overholde GDPR og frem for alt sikre overholdelse af princippet om dataminimering. Med andre ord ikke at behandle flere personoplysninger end nødvendigt til formålet. Virksomhederne er nødt til at træffe stærkere og højere sikkerhedsforanstaltninger, jo mere følsomme personoplysningerne er. Virksomheden kan f.eks.:

Bemærk, at virksomheder i nogle tilfælde kan anonymisere personoplysninger og efterfølgende bruge anonyme data. Anonyme data er ikke længere personoplysninger, og derfor er anonyme data ikke længere omfattet af GDPR.

Undersøge, om det nye anvendelsesformål er foreneligt med det oprindelige formål med behandlingen

Neda følger nogle eksempler på spørgsmål, som virksomheder kan besvare i forbindelse med virksomhedens vurdering af, om en behandling af de samme personoplysninger til et andet formål er forenelig med det oprindelige formål med anvendelsen:

Forbindelsen

Hvad er forbindelsen mellem den nye behandling og den oprindelige?

Baggrund

I hvilken sammenhæng har virksomheden indsamlet personoplysningerne?

Karakteristika

Hvad er karakteren af personoplysningerne? (f.eks. hvis behandlingen vedrører personoplysninger, der er følsomme over for privatlivets fred eller følsomme personoplysninger).

Konsekvenser

Hvilke konsekvenser kan behandlingen have for de registrerede?

Tekniske og organisatoriske foranstaltninger

Hvilke tekniske og organisatoriske sikkerhedsforanstaltninger træffer virksomheden? (f.eks. kryptering af personoplysninger og gennemførte interne procedurer for mulige brud på persondatasikkerheden).

Behandle personoplysninger til et nyt formål

I visse tilfælde kan virksomheder behandle personoplysninger til et nyt formål. På den anden side skal virksomheden overholde følgende:

Virksomheden skal have indhentet samtykke fra den registrerede eller påvise, at GDPR eller anden relevant lovgivning tillader behandling til det nye formål.
Ud over ovennævnte krav skal virksomheden også informere de registrerede om behandlingen. Oplysningerne skal gives, inden virksomheden påbegynder behandlingen. De registrerede bør f.eks. informeres om deres rettigheder og det nye formål med anvendelsen. Der kan dog i visse tilfælde være undtagelser fra oplysningspligten.

Flere principper i GDPR

Det grundlæggende databeskyttelsesprincip for dataminimering

Når en virksomhed behandler personoplysninger, skal den sikre, at personoplysningerne er korrekte, væsentlige og begrænsede. Med andre ord må virksomheder ikke behandle flere personoplysninger end nødvendigt til det formål, hvortil de har givet de registrerede. Først og fremmest skal virksomheden analysere formålet med behandlingen. De kan derefter afgøre, om personoplysningerne er nødvendige for at opfylde formålet med behandlingen.

Princippet om dataminimering betyder således, at mængden af data, som virksomhederne behandler, skal minimeres og dermed begrænses til dem, der er nødvendige for at behandle. Virksomheder bør ikke behandle unødvendige personoplysninger, som ikke er nødvendige.