Ändamålen för behandling av personuppgifter måste vara specifika och inte för generella. Dessutom måste de vara angivna tydligt och uttryckligt för de registrerade. Ändamålet med behandling av personuppgifter är syftet med behandlingen. Med andra ord ska ändamålet beskriva varför företaget behandlar personuppgifterna ifråga.
Ändamålen för behandling av personuppgifter måste vara specifika
Principen om ändamålsbegränsning är en av sju (7) grundläggande dataskyddsprinciper i GDPR som företag måste följa. Observera att ändamålen inte får vara för breda, såsom att ”förbättra upplevelsen för användarna”. De får inte heller vara luddiga eller otydligt formulerade. Exempel på ett specifikt ändamål är att inhämta samtycke till behandling av e-postadresser ”för att skicka nyhetsbrev”. Däremot är det viktigt att tänka på att samtycket måste vara aktivt lämnat för att vara giltigt. Därför är det inte tillåtet att ha en förkryssad samtyckesruta.
Företag ska också dokumentera ändamålen med behandlingen skriftligen, för att kunna visa att företaget följer GDPR. Enligt principen om ansvarsskyldighet är det företag som behandlar personuppgifter som måste kunna visa att de följer GDPR. Det är alltså inte de registrerade eller IMY som behöver visa att företaget bryter mot GDPR. När personuppgifterna inte längre är nödvändigt att behandla för ändamålet som de blev inhämtade för, ska företaget radera dem, alternativt anonymisera dem. Om personuppgifter blir anonymiserade, är det inte längre personuppgifter och då gäller inte längre GDPR. GDPR gäller däremot för så kallade avidentifierade personuppgifter.
