Kan uppgifter användas för något annat ändamål?

Svar

Ja, men bara i vissa fall. Om ert företag/er organisation har samlat in uppgifter utifrån ett berättigat intresse, ett avtal eller utifrån grundläggande intressen kan de användas för ett annat ändamål, men först efter att det har kontrollerats att det nya ändamålet är förenligt med det ursprungliga ändamålet.

Följande punkter  ska beaktas:

• sambandet mellan det ursprungliga ändamålet och det nya/kommande ändamålet
• i vilket sammanhang uppgifterna samlades in (vilket är förhållandet mellan ert företag/er organisation och den enskilda personen?),
• uppgifternas typ och karaktär (är de känsliga?),
• möjliga konsekvenser av den avsedda vidare behandlingen (hur kommer den att påverka den enskilda personen?),
• huruvida det har vidtagits  lämpliga skyddsåtgärder (såsom kryptering eller pseudonymisering).

Om ert företag/er organisation vill använda uppgifterna för statistik eller vetenskaplig forskning er det inte nödvändigt att utföra förenlighetstestet.

Om ert företag/er organisation har samlat in uppgifterna grundat på samtycke eller enligt ett lagstadgat krav, är ingen vidare behandling möjlig utanför de områden som omfattas av det ursprungliga samtycket eller lagkravet. Vidare behandling skulle kräva  ett nytt samtycke eller en ny rättslig grund.

Exempel

Vidare behandling är möjlig

En bank har ett avtal med en kund för att förse kunden med ett bankkonto och ett personligt lån. I slutet av det första året använder banken kundens personuppgifter för att kontrollera om kunden är berättigad till en bättre typ av lån och en sparplan. Banken informerar kunden. Banken får behandla kundens uppgifter igen, eftersom de nya ändamålen är förenliga med de ursprungliga.

Vidare behandling är inte möjlig

Samma bank vill dela kundens uppgifter med försäkringsbolag, baserat på samma avtal om bankkonto och personligt lån. Denna behandling är inte tillåten utan kundens uttryckliga samtycke, eftersom ändamålet inte är förenligt med det ursprungliga ändamål som uppgifterna behandlades för.

Referenser

• Artikel 5.1 b, 6.4, 89.1; skäl 39, 50
• Artikel 29-arbetsgruppens yttrande 03/2013 om ändamålsbegränsning (WP 203)

Further processing is possible

A bank has a contract with a client to provide the client with a bank account and a personal loan. At the end of the first year the bank uses the client’s personal data to check whether they are eligible for a better type of loan and a savings scheme. It informs the client. The bank can process the data of the client again as the new purposes are compatible with the initial purposes.

Further processing isn’t possible

The same bank wants to share the client’s data with insurance firms, based on the same contract for a bank account and personal loan. That processing isn’t permitted without the explicit consent of the client as the purpose isn’t compatible with the original purpose for which the data was processed.

• Article 5(1)(b) and Articles 6(4) and 89(1) and Recitals (39) and (50) of the GDPR
• Article 29 Working Party Opinion 03/2013 on purpose limitation (WP 203)