Voidaanko tietoja käyttää muuhun tarkoitukseen?

Vastaus

Kyllä, mutta vain joissain tapauksissa. Jos tietojen keruu yrityksessä/organisaatiossa perustuu oikeutettuun etuun, sopimukseen tai elintärkeisiin etuihin, se voi käyttää niitä myös muuhun tarkoitukseen mutta vasta tarkistettuaan, että uusi tarkoitus on yhteensopiva alkuperäisen tarkoituksen kanssa.

Seuraavat seikat on otettava huomioon:

• alkuperäisen ja myöhemmän käsittelytarkoituksen välinen yhteys
• tietojen keruun asiayhteys (mikä on yrityksesi/organisaatiosi ja yksilön välinen suhde)
• tietojen tyyppi ja luonne (onko se arkaluonteista?)
• aiotun jatkokäsittelyn mahdolliset seuraukset (miten se vaikuttaa yksilöön?)
• asianmukaisten suojatoimien (kuten salaamisen tai pseudonymisoinnin) olemassaolo.

Jos yrityksesi/organisaatiosi aikoo käyttää tietoja tieteellisiä tutkimustarkoituksia tai tilastollisia tarkoituksia varten, yhteensopivuutta ei tarvitse testata.

Jos yrityksesi/organisaatiosi on kerännyt tiedot suostumuksen tai lakisääteisen vaatimuksen perusteella, jatkokäsittely muussa kuin alkuperäisen suostumuksen tarkoituksessa tai laissa säädetyissä tarkoituksissa ei ole mahdollista. Jatkokäsittely edellyttää uutta suostumusta tai uutta oikeusperustaa.

Esimerkkejä

Jatkokäsittely on mahdollista

Pankilla on asiakkaan kanssa sopimus pankkitilistä ja henkilökohtaisesta lainasta. Ensimmäisen vuoden lopussa pankki käyttää asiakkaan henkilötietoja tarkistaakseen, voisiko asiakkaalle myöntää paremman lainan tai voisiko tämä liittyä säästöohjelmaan. Pankki ilmoittaa asiasta asiakkaalle. Pankki voi käsitellä asiakkaan tietoja uudelleen, koska uusi tarkoitus on yhteensopiva alkuperäisen tarkoituksen kanssa.

Jatkokäsittely ei ole mahdollista

Sama pankki haluaa jakaa asiakkaan tiedot vakuutusyhtiöille saman pankkitiliä ja lainaa koskevan sopimuksen pohjalta. Kyseinen käsittely ei ole sallittua ilman asiakkaan nimenomaista suostumusta, koska tarkoitus ei ole yhteensopiva tietojenkäsittelyn alkuperäisen tarkoituksen kanssa.

Viitteet

• Artiklat 5(1)(b), 6(4), 89(1); johdanto-osan kappaleet 39, 50
• Artiklan 29 mukaisen työryhmän lausunto 03/2013 käyttötarkoitussidonnaisuudesta, 2.4.2013, (WP 203)

Further processing is possible

A bank has a contract with a client to provide the client with a bank account and a personal loan. At the end of the first year the bank uses the client’s personal data to check whether they are eligible for a better type of loan and a savings scheme. It informs the client. The bank can process the data of the client again as the new purposes are compatible with the initial purposes.

Further processing isn’t possible

The same bank wants to share the client’s data with insurance firms, based on the same contract for a bank account and personal loan. That processing isn’t permitted without the explicit consent of the client as the purpose isn’t compatible with the original purpose for which the data was processed.

• Article 5(1)(b) and Articles 6(4) and 89(1) and Recitals (39) and (50) of the GDPR
• Article 29 Working Party Opinion 03/2013 on purpose limitation (WP 203)