Må vi bruge oplysningerne til andre formål?

Svar

Ja, men kun i visse tilfælde. Hvis jeres  virksomhed/organisation har indsamlet oplysningerne ud fra en legitim interesse, en kontrakt eller vitale interesser, kan de bruges til et andet formål, men kun efter at have kontrolleret, at det nye formål er foreneligt med det oprindelige formål.

I skal overveje følgende:

• tilknytningen mellem det oprindelige formål og det nye/kommende formål
• i hvilken sammenhæng oplysningerne blev indsamlet (hvad er forholdet mellem jeres virksomhed/organisation og enkeltpersonen?)
• oplysningernes type og art (er de følsomme?)
• mulige konsekvenser ved den påtænkte yderligere behandling (hvordan vil det påvirke enkeltpersonen?)
• om der er iværksat passende sikkerhedsforanstaltninger (som f.eks. kryptering eller pseudonymisering).

Hvis jeres virksomhed/organisation vil bruge oplysningerne til statistik eller videnskabelig forskning, er det ikke nødvendigt, at køre forenelighedstesten.

Hvis jeres virksomhed/organisation har indsamlet oplysningerne på baggrund af samtykke eller et lovkrav, er det ikke tilladt at behandle oplysningerne til andre formål end dem, der er omfattet af det oprindelige samtykke eller lovkravet. Yderligere behandling vil kræve, at der indhentes nyt samtykke eller anvendes et andet retsgrundlag.

Eksempler

Yderligere behandling er tilladt

En bank har indgået en aftale med en kunde om at give kunden en bankkonto og et privatlån. Efter det første år anvender banken kundens personoplysninger til at kontrollere, om vedkommende kan tilbydes en bedre låntype og en opsparingsordning. Banken giver kunden besked om dette. Banken må gerne behandle kundens oplysninger på ny, da det nye formål er foreneligt med det oprindelige formål.

Yderligere behandling er ikke tilladt

Den samme bank vil gerne dele kundens oplysninger med forsikringsselskaber, ud fra den samme aftale om en bankkonto og et privatlån. Denne behandling er ikke tilladt uden kundens udtrykkelige samtykke, da formålet ikke er foreneligt med det oprindelige formål med at behandle oplysningerne.

Referencer

• Artikel 5, stk. 1, litra b, artikel 6, stk. 4, artikel 89, stk. 1; betragtning 39, 50
• Artikel 29-gruppens udtalelse nr. 03/2013 om formålsbegrænsning af 2. april 2013 (WP 203)

Further processing is possible

A bank has a contract with a client to provide the client with a bank account and a personal loan. At the end of the first year the bank uses the client’s personal data to check whether they are eligible for a better type of loan and a savings scheme. It informs the client. The bank can process the data of the client again as the new purposes are compatible with the initial purposes.

Further processing isn’t possible

The same bank wants to share the client’s data with insurance firms, based on the same contract for a bank account and personal loan. That processing isn’t permitted without the explicit consent of the client as the purpose isn’t compatible with the original purpose for which the data was processed.

• Article 5(1)(b) and Articles 6(4) and 89(1) and Recitals (39) and (50) of the GDPR
• Article 29 Working Party Opinion 03/2013 on purpose limitation (WP 203)