Mogen gegevens voor een ander doel worden gebruikt?

Antwoord

Ja, maar enkel in bepaalde gevallen. Als uw onderneming/organisatie gegevens heeft verzameld op basis van gerechtvaardigd belang, een overeenkomst of vitale belangen, mogen deze gegevens worden gebruikt voor een ander doel, maar alleen nadat is gecontroleerd of het nieuwe doel verenigbaar is met het oorspronkelijke doel.

Er moet daarbij op de volgende punten worden gelet:

• het verband tussen het oorspronkelijke doel en het nieuwe/toekomstige doel;
• de context waarin de gegevens zijn verzameld (wat is de relatie tussen uw onderneming/organisatie en de persoon?);
• de soort en aard van de gegevens (betreft het gevoelige gegevens?);
• de mogelijke gevolgen van de voorgenomen verdere verwerking (welke zijn de gevolgen de betrokkene?);
• het bestaan van passende waarborgen (zoals versleuteling of pseudonimisering).

Als uw onderneming/organisatie de gegevens wenst te gebruiken voor statistieken of voor wetenschappelijk onderzoek hoeft u geen verenigbaarheidstoets uit te voeren.

Als uw onderneming/organisatie gegevens heeft verzameld op basis van toestemming of op grond van een wettelijk vereiste, is verdere verwerking buiten de gebieden die vallen onder de oorspronkelijke toestemming of de wettelijke bepaling, niet mogelijk. Voor verdere verwerking is nieuwe toestemming of een nieuwe rechtsgrond nodig.

Voorbeelden

Verdere verwerking is mogelijk

Een bank heeft een overeenkomst met een klant voor een bankrekening en een persoonlijke lening. Aan het eind van het eerste jaar controleert de bank aan de hand van de persoonsgegevens van klanten of ze in aanmerking komen voor een betere krediet- en spaarregeling. De bank informeert de klant. De bank mag de gegevens van de klant opnieuw verwerken omdat de nieuwe doeleinden verenigbaar zijn met de oorspronkelijke doeleinden.

Verdere verwerking is niet mogelijk

Dezelfde bank wil de klantgegevens delen met verzekeringsmaatschappijen, op basis van dezelfde overeenkomst voor een bankrekening en persoonlijke lening. Die verwerking is niet toegestaan zonder uitdrukkelijke toestemming van de klant, aangezien het doel niet verenigbaar is met het oorspronkelijke doel waarvoor de gegevens zijn verwerkt.

Referenties

• Artikel 5, lid 1, onder b, 6, lid 4, 89, lid 1; overweging 39 en 50 van de AVG
• Advies 03/2013 van de Groep gegevensbescherming artikel 29 over doelbinding (WP 203)

Further processing is possible

A bank has a contract with a client to provide the client with a bank account and a personal loan. At the end of the first year the bank uses the client’s personal data to check whether they are eligible for a better type of loan and a savings scheme. It informs the client. The bank can process the data of the client again as the new purposes are compatible with the initial purposes.

Further processing isn’t possible

The same bank wants to share the client’s data with insurance firms, based on the same contract for a bank account and personal loan. That processing isn’t permitted without the explicit consent of the client as the purpose isn’t compatible with the original purpose for which the data was processed.

• Article 5(1)(b) and Articles 6(4) and 89(1) and Recitals (39) and (50) of the GDPR
• Article 29 Working Party Opinion 03/2013 on purpose limitation (WP 203)