Bundenhet till användningsändamålet
Syftet med behandlingen av personuppgifter ska planeras och fastställas tydligt innan behandlingen inleds. Personuppgifter får samlas in enbart för ett visst, uttryckligt och lagligt syfte. Uppgifter får inte senare behandlas på ett sätt som inte är kompatibelt med det ursprungliga syftet.
Syftet med behandlingen av personuppgifter ska specificeras, dokumenteras och redogöras för den registrerade. Definition av användningsändamålet hjälper den registrerade att
- förstå varför hans eller hennes uppgifter behövs
- bedöma ändamålsenligheten i användningsändamålet
- besluta om han eller hon vill påverka behandlingen av egna personuppgifter genom att utöva sina dataskyddsrättigheter.
Behandling av personuppgifter enligt det definierade användningsändamålet är en väsentlig del av upprätthållandet av förtroendet mellan den personuppgiftsansvarige och den registrerade. Avgränsning av syftet med behandlingen främjar efterlevnad av principerna om lagenlighet, korrekthet och transparens.
Kompatibelt användningsändamål
Personuppgifter kan vid sidan om det fastställda användningsändamålet också behandlas för ett användningsändamål som anses vara kompatibelt med det ursprungliga användningsändamålet. Behandlingen ska också vara lagenlig ur övriga dataskyddsbestämmelsers synvinkel; ett kompatibelt användningsändamål berättigar inte den personuppgiftsansvarige att avvika från övriga dataskyddsbestämmelser.
Behandling av personuppgifter för
- arkivering enligt ett allmänt intresse
- vetenskapliga eller historiska forskningsändamål eller
- statistiska ändamål
är kompatibelt om skyddsåtgärderna i dataskyddsförordningen följs på behörigt sätt.
Skyddsåtgärderna ska täcka såväl tekniska som organisatoriska åtgärder, med vilka i synnerhet principen om uppgiftsminimering efterlevs. Som skyddsåtgärder kan man använda till exempel kryptering, pseudonymisering eller aggregering av personuppgifter till en statistisk nivå. Personuppgifter får inte behandlas, om syftet med behandlingen kan uppfyllas med anonyma uppgifter. Principen om minimering förutsätter också en maximalt kort lagringstid. Som skyddsåtgärd kan de registrerade också informeras om ett kompatibelt användningsändamål och de tillgängliga dataskyddsrättigheterna, med vilka de kan påverka behandlingen av deras personuppgifter om de så önskar. När lämpliga skyddsåtgärder kartläggs, ska den personuppgiftsansvarige också beakta den riskbaserade metoden. Ju känsligare personuppgifter det handlar om, desto kraftigare ska skyddsåtgärderna vara. Läs mer om riskbedömningen
En personuppgiftsansvarig kan också i övriga fall bedöma om behandling av personuppgifter för ett nytt användningsändamål är kompatibelt med det ursprungliga användningsändamålet. Den personuppgiftsansvarige ska i så fall beakta:
- kopplingar mellan de ändamål för vilka personuppgifterna samlats in och ändamålen med den avsedda ytterligare behandlingen.
- det sammanhang inom vilket personuppgifterna samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige.
- personuppgifternas karaktär, i synnerhet behandling av särskilda kategorier av personuppgifter
- eventuella konsekvenser för de registrerade av den planerade fortsatta behandlingen
- förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.”
Om personuppgifter samlats in med ett samtycke, behövs ofta ett nytt samtycke också för kompatibla användningsändamål, så att lagenligheten och ändamålsenligheten i behandlingen av personuppgifter kan säkerställas. Också informationen om behandlingen av personuppgifter ska uppdateras, för att behandlingen av personuppgifter ska vara transparent.
Behandling strider mot det ursprungliga användningsändamålet om
- användningsändamålet ändras väsentligt
- behandlingen är oväntad ur den registrerades synvinkel eller
- behandlingen orsakar orättvisa följder för de registrerade
I så fall handlar det om ett nytt användningsändamål, och ett samtycke ska inhämtas för behandlingen, förutom om en behandlingsgrund enligt lagstiftningen föreligger.
Nytt användningsändamål
Behandling av personuppgifter för ett nytt syfte som avviker från det ursprungliga användningsändamålet är möjligt då det planerade användningsändamålet är förenligt med dataskyddsbestämmelserna och
- samtycke av den registrerade fås för det nya användningsändamålet innan behandlingen inleds eller
- en tydlig behandlingsgrund för behandlingen finns i lagstiftningen.
När en personuppgiftsansvarig avser behandla personuppgifter för ett annat än det ursprungliga användningsändamålet, ska den registrerade underrättas om detta innan behandlingen börjar. Den registrerade ska underrättas om det nya användningsändamålet, den registrerades rättigheter och alla andra uppgifter som hör till ärendet, förutom om det finns en lagstadgad grund för avvikelse från informationsplikten.
Läs mer:
När får personuppgifter behandlas?
Berätta om behandlingen till den registrerade