Artikel 5(1)(B) i GDPR
Dataskyddsprincipen om ändamålsbegränsning enligt GDPR
Ett företag måste alltid ha ett förutbestämt syfte med en behandling av personuppgifter. Det är därmed enligt GDPR inte tillåtet att behandla personuppgifter utan något syfte.
Syftet måste vara tydligt
Syftet i fråga måste vara specifikt och tydligt, vilket innebär att syftet inte får vara diffust, för brett eller otydligt. Vidare är det inte heller tillåtet att behandla fler personuppgifter än vad som faktiskt är nödvändigt för att uppfylla syftet. Syftet ska också vara fastställt redan innan företaget börjar utföra behandlingen. Detta innebär att det inte är möjligt att samla in en massa personuppgifter “bara för att det kan vara bra att ha i framtiden” och att efter insamlingen börja bestämma syften med behandling av personuppgifterna.
Glöm inte att följa de andra principerna också
Observera att företaget även måste följa de övriga grundläggande dataskyddsprinciperna också, såsom principen om laglighet, korrekthet och transparens.
Informera de registrerade om syftet med behandlingen
Genom att informera de registrerade om ändamålet med behandlingen av deras personuppgifter, ska de registrerade bland annat förstå följande:
- Varför: Varför företaget behandlar personuppgifterna.
- Ändamålsenligt: Om behandlingen är ändamålsenligt i förhållande till användningen.
- Rättigheter: Huruvida den registrerade kan påverka behandlingen genom de rättigheter som registrerade har enligt GDPR.
Kompatibla ändamål
I vissa fall kan ett företag behandla personuppgifter vid sidan av det tidigare fastställda användningsändamålet, för ett nytt ändamål. Däremot måste det nya ändamålet vid sådana fall vara kompatibelt med det ursprungliga användningsändamålet. Vid sådana fall är det inte nödvändigt för företaget att ha en separat rättslig grund än det som blev använd för det ursprungliga ändamålet med behandlingen. Observera att företaget även alltid måste följa de övriga reglerna i GDPR och andra relevanta lagar vid all behandling av personuppgifter.
Nedan kan du läsa några exempel på behandlingar som kan vara kompatibla med varandra, förutsatt företaget följer skyddsåtgärderna i GDPR. När den ytterligare behandlingen sker för:
- Arkivering av ett allmänt intresse.
- Historiska forskningsändamål. Detsamma gäller vetenskapliga forskningsändamål.
- Statistiska ändamål.
Exempel på när ett nytt syfte med behandlingen av samma personuppgifter inte är förenligt eller kompatibelt med det ursprungliga användningsändamålet:
- Om förändringen av användningsändamålet är för väsentlig.
- Ifall den registrerade inte kan förvänta sig behandlingen.
- När konsekvenserna av behandlingen inte är rättvis gentemot den registrerade.
Mer information om kompatibla ändamål finns att läsa i skäl 50 i GDPR.
Om den rättsliga grunden är samtycke
Samtycke är en relativt vanlig rättslig för företag att använda vid behandling av personuppgifter. När den rättsliga grunden är samtycke behöver företag i de flesta fall få ett nytt samtycke för att få behandla personuppgifter för andra kompatibla ändamål. Observera att behandlingen ska upphöra om samtycket blir återkallat.
Tekniska och organisatoriska säkerhetsåtgärder
Företag måste vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att följa GDPR och framförallt se till att följa principen om uppgiftsminimering. Alltså att inte behandla fler personuppgifter än nödvändigt för ändamålet. Företag måste vidta kraftigare och högre säkerhetsåtgärder ju känsligare personuppgifterna är. Till exempel kan företaget:
- Kryptera personuppgifterna.
- Pseudonymisera personuppgifterna.
- Arkivera personuppgifterna.
Observera att företag i vissa fall kan anonymisera personuppgifter och därefter använda anonyma uppgifter. Anonyma uppgifter är inte längre personuppgifter, och anonyma uppgifter omfattas därför inte längre av GDPR.
Utred om det nya användningsändamålet är kompatibelt med det ursprungliga ändamålet med behandlingen
Neda följer några exempel på frågor som företag kan besvara, i samband med att företaget gör en bedömning av huruvida en behandling av samma personuppgifter för ett annat användningsändamål är kompatibelt med det användningsändamål som var ursprungligt:
Vad är kopplingen mellan den nya behandlingen och den ursprungliga?
Vilket sammanhang företaget har samlat in personuppgifterna i?
Vilken karaktär har personuppgifterna? (Till exempel om behandlingen avser integritetskänsliga eller känsliga personuppgifter).
Vilka konsekvenser kan behandlingen innebära för de registrerade?
Vilka tekniska och organisatoriska säkerhetsåtgärder vidtar företaget? (Till exempel kryptering av personuppgifter och implementerade interna rutiner för eventuella personuppgiftsincidenter).
Behandla personuppgifter för ett nytt användningsändamål
Företag får i vissa fall behandla personuppgifter för ett nytt användningsändamål. Däremot måste företaget uppfylla följande:
- Företaget måste ha fått ett samtycke från den registrerade eller visa att GDPR eller annan relevant lagstiftning tillåter behandling för det nya ändamålet.
- Utöver ovanstående krav måste företaget också informera de registrerade om behandlingen. Informationen ska bli tillhandahållen innan företaget påbörjar behandlingen. Till exempel ska de registrerade få information om vilka rättigheter de har och det nya användningsändamålet. Däremot kan det i vissa fall förekomma undantag från informationsplikten.
Fler principer i GDPR
Den grundläggande dataskyddsprincipen om uppgiftsminimering
När ett företag behandlar personuppgifter ska de se till att personuppgifterna är korrekta, väsentliga och avgränsade. Med andra ord får företag inte behandla fler personuppgifter än nödvändigt för det ändamål som de angivit till de registrerade. Först och främst måste företaget analysera syftet med behandlingen. Därefter kan de fastställa huruvida personuppgifterna är nödvändiga för att uppnå syftet med behandlingen.
Principen om uppgiftsminimering innebär därmed att mängden uppgifter som företag behandlar ska vara minimerat, och därmed begränsat till de som är nödvändiga att behandla. Företag ska alltså inte behandla onödiga personuppgifter som inte behövs.