Artikkel 5 (1) (B) GDPR
Databeskyttelsesprinsippet om formålsbegrensning i henhold til GDPR
Et selskap må alltid ha et forhåndsbestemt formål for behandling av personopplysninger. GDPR tillater derfor ikke behandling av personopplysninger til noe formål.
Hensikten må være tydelig
Det aktuelle formålet må være konkret og klart, noe som betyr at formålet ikke må være diffust, for bredt eller uklart. Det er heller ikke tillatt å behandle flere personopplysninger enn det som faktisk er nødvendig for å oppfylle formålet. Formålet må også fastsettes før virksomheten begynner å utføre behandlingen.
Dette betyr at det ikke er mulig å samle inn mye personopplysninger «bare fordi det kan være nyttig å ha det i fremtiden» og å begynne å bestemme etter innsamling hvilke formål personopplysningene skal behandles for.
Ikke glem å følge de andre prinsippene også
Vær oppmerksom på at foretaket også må overholde de andre grunnleggende prinsippene for databeskyttelse, for eksempel prinsippet om lovlighet, rettferdighet og åpenhet.
Informere de registrerte om formålet med behandlingen
Ved å informere de registrerte om formålet med behandlingen av deres personopplysninger, skal de registrerte blant annet forstå følgende:
- Hvorfor: Årsaken til at selskapet behandler personopplysningene.
- Effektivt: hensiktsmessigheten av behandlingen i forhold til bruken.
- Rettigheter: Om den registrerte er i stand til å påvirke behandlingen i kraft av den registrertes rettigheter i henhold til GDPR.
Forenlige formål
I noen tilfeller kan et selskap behandle personopplysninger utover det tidligere etablerte bruksformålet, for et nytt formål. I slike tilfeller må imidlertid det nye formålet være forenlig med det opprinnelige bruksformålet. I slike tilfeller er det ikke nødvendig for foretaket å ha et annet rettslig grunnlag enn det som ble brukt til det opprinnelige formålet med behandlingen. Vær oppmerksom på at selskapet også alltid må overholde de andre reglene i GDPR og andre relevante lover ved behandling av personopplysninger.
Nedenfor finner du noen eksempler på behandlingsoperasjoner som kan være kompatible med hverandre, forutsatt at selskapet overholder sikkerhetstiltakene i GDPR. Når den videre behandlingen utføres for:
- Arkivering i allmennhetens interesse.
- Historiske forskningsformål; Det samme gjelder for forskningsformål.
- Statistiske formål.
Eksempel når et nytt formål med behandlingen av de samme personopplysningene ikke er kompatibelt eller kompatibelt med det opprinnelige bruksformålet:
- Om endringen i bruksformålet er for omfattende.
- Når den registrerte ikke kan forvente behandlingen.
- Dersom konsekvensene av behandlingen ikke er rettferdige for den registrerte.
For mer informasjon om kompatible formål, se betraktning 50 i GDPR.
Dersom det rettslige grunnlaget er samtykke
Samtykke er et relativt vanlig juridisk instrument for bedrifter å bruke ved behandling av personopplysninger. Når det juridiske grunnlaget er samtykke, trenger bedrifter i de fleste tilfeller nytt samtykke til å behandle personopplysninger for andre kompatible formål. Vær oppmerksom på at hvis samtykket trekkes tilbake, skal behandlingen opphøre.
Tekniske og organisatoriske sikkerhetstiltak
Bedrifter må implementere hensiktsmessige tekniske og organisatoriske sikkerhetstiltak for å overholde GDPR og spesielt for å sikre overholdelse av prinsippet om dataminimering. Det vil si at vi ikke behandler flere personopplysninger enn det som er nødvendig for formålet. Bedrifter må implementere sterkere og høyere sikkerhetstiltak jo mer sensitive personopplysningene er. Foretaket kan for eksempel
- Krypter personopplysningene.
- Pseudonymiser personopplysningene.
- Arkiver personopplysningene.
Vær oppmerksom på at selskaper i noen tilfeller kan anonymisere personopplysninger og deretter bruke anonyme data. Anonyme data er ikke lenger personopplysninger, og anonyme data er derfor ikke lenger omfattet av GDPR.
Undersøke om det nye bruksformålet er forenlig med det opprinnelige formålet med behandlingen
Neda gir noen eksempler på spørsmål som bedrifter kan svare på, i sammenheng med å vurdere om en behandling av de samme personopplysningene for en annen bruk er kompatibel med den opprinnelige bruken:
Link
Hva er sammenhengen mellom den nye behandlingen og den opprinnelige?
Kontekst
Hva er konteksten der selskapet ditt samlet inn personopplysningene dine?
Karakter
Hva er arten av personopplysningene? (For eksempel hvis behandlingen gjelder personvernsensitive eller sensitive personopplysninger).
Konsekvenser
Hva er konsekvensene av behandlingen for de registrerte?
Tekniske og organisatoriske tiltak
Hvilke tekniske og organisatoriske sikkerhetsforanstaltninger tar din bedrift? (F.eks. kryptering av personopplysninger og implementerte interne prosedyrer for mulige brudd på personopplysningssikkerheten).
Behandle personopplysninger for ny bruk
Selskaper kan i visse tilfeller behandle personopplysninger for et nytt formål. På den annen side må foretaket oppfylle følgende krav:
- Selskapet må ha innhentet samtykke fra den registrerte eller demonstrere at GDPR eller annen relevant lovgivning tillater behandling for det nye formålet.
- I tillegg til de ovennevnte kravene må selskapet også informere de registrerte om behandlingen. Opplysningene skal framlegges før foretaket starter behandlingen. De registrerte bør for eksempel informeres om sine rettigheter og den nye bruken. På den annen side kan det være unntak fra opplysningsplikten i visse tilfeller.
Flere prinsipper i GDPR
Det grunnleggende databeskyttelsesprinsippet for dataminimering
Ved behandling av personopplysninger må selskapene sørge for at personopplysningene er nøyaktige, betydelige og begrensede. Selskaper må med andre ord ikke behandle flere personopplysninger enn det som er nødvendig for det formålet de har angitt for de registrerte. Først av alt må selskapet analysere formålet med behandlingen. De kan da avgjøre om personopplysningene er nødvendige for å oppnå formålet med behandlingen.