Verksamhet
Dataskydd Innovationsportalen Vi guidar dig Får vi göra något med personuppgifterna som inte var planerat från början?Ja, men bara om den nya personuppgiftsbehandlingen inte är oförenlig med de ursprungliga ändamålen.
Redan insamlade personuppgifter får som utgångspunkt bara behandlas för de ändamål som de samlades in för. Om ni vill behandla uppgifterna för andra ändamål så får de nya ändamålen inte vara oförenliga med de ursprungliga.
Hur vet man då det? Ni måste bedöma sambandet mellan den nya och den ursprungliga behandlingen. Ställ er frågorna:
- Finns det någon koppling mellan behandlingarna?
- Vad innebär den nya personuppgiftsbehandlingen för de personer vars uppgifter ni hanterar?
- Är det något som de aktuella personerna rimligen kan förutse och förvänta sig i förhållande till den information de fick från början om varför personuppgifterna samlades in?
- Handlar det om känsliga personuppgifter eller personuppgifter om lagöverträdelser?
- Vilka konsekvenser kan den nya personuppgiftsbehandlingen få för de registrerade?
Om den personuppgiftsansvariga vill behandla personuppgifter för följande ändamål anses det som regel förenligt med det ursprungliga ändamålet:
- arkivändamål av allmänt intresse
- vetenskapliga eller historiska forskningsändamål
- statistiska ändamål.
Bolag X
ExempelBolag X har startat en tjänst för reseplanering och får genom tjänsten, som tillhandahålls via en app, tillgång till användarnas personuppgifter för ändamålet att administrera appens funktioner. Användarna kan skapa reseprofiler och bolaget ger utifrån dessa profiler förslag på andra resmål. Personuppgifterna hanteras av bolaget för dessa ändamål vilket bolaget, enligt informationskravet i GDPR, även informerar användarna om.
Mer om informationskravet i GDPR
När reseplaneringtjänsten funnits en tid och en hel del personuppgifter behandlas i appen vill bolaget tjäna pengar på uppgifterna. Bolaget ställer sig frågan om det kan dela personuppgifter som samlats in i appen till andra aktörer i syfte att tjäna pengar.
Är det en personuppgiftsbehandling som har en nära koppling till de ursprungliga ändamålen, det vill säga kundernas reseplanering? Nej, det finns ingen koppling till de funktioner som erbjudits användarna och är alltså en ny behandling av personuppgifterna som är oförenlig med de ursprungliga ändamålen och som därför inte är tillåten.
En helt ny behandling
Vad gäller om vi vill behandla de redan insamlade uppgifterna på ett nytt sätt som vi bedömer är oförenligt med det ursprungliga ändamålet?
Det innebär att den nya behandlingen inte hänger samman med den ursprungliga behandlingen och är därför inte är tillåten utan exempelvis stöd av samtycke från de registrerade eller att behandlingen kan stödjas på en annan rättslig grund. En ny behandling kräver helt enkelt att man gör nya överväganden.