Ändamålsbegränsning är en dataskyddsprincip enligt GDPR

Ändamålsbegränsning är en dataskyddsprincip enligt GDPR som innebär att en personuppgiftsansvarig måste ha ett berättigat ändamål för behandlingen samt uttryckligen ange det till de registrerade. Med andra ord, en beskrivning av varför företaget behandlar personuppgifterna ifråga. 

Ändamålsbegränsning är en dataskyddsprincip enligt GDPR

Principen om ändamålsbegränsning

Företag måste ha särskilda, uttryckliga och berättigade ändamål för behandlingen av personuppgifterna. Ändamålsbegränsning är en dataskyddsprincip enligt GDPR som innebär att behandling av personuppgifter enbart får ske för specifika ändamål, och att de inte senare får bli behandlade på ett sätt som är oförenligt med dessa ändamål. Personuppgifter får därutöver bara bli behandlade under den tid det är nödvändigt för ändamålet de blev insamlade för. Det är alltså inte tillåtet att samla in eller behandla personuppgifter utan något syfte eller ändamål.

Principen om ändamålsbegränsning framgår i artikel 5.1 b) i GDPR (dataskyddsförordningen). Det finns många olika syften som företag kan använda vid behandling av personuppgifter. Däremot måste de vara uttryckliga och särskilda. Ändamålet utgör ramarna för vilka befogenheter företaget har med personuppgifterna.

Exempel på ändamål:

– Samla in namn, telefonnummer och köpvanor med syfte att lämna riktade erbjuden baserade på det som kunden köper. 

– Behandla kunderna namn och personnummer för att utfärda en faktura.

Företaget behöver dokumentera ändamålsbegränsningen för att kunna visa att de följer GDPR. Det brukar ske i integritetspolicyn som registrerade accepterar i samband med behandlingen.

Företag måste kunna visa att de följer GDPR vid en eventuell tillsyn. Det är alltså inte de registrerade eller tillsynsmyndigheten som behöver bevisa att företaget bryter mot GDPR. Därför ska företag dokumentera ändamålen och informera de registrerade om dessa. Det är för att visa att företaget följer principen om ansvarsskyldighet, som är en annan grundläggande dataskyddsprincip enligt GDPR. 

Specifika ändamål

Företaget måste ange ändamålen på ett tydligt sätt. Dessutom måste de vara specifika och tillräckligt beskrivande. Det är inte tillåtet att ha för otydliga eller luddiga ändamål. De måste vara specifika, uttryckliga och konkretiserade. Exempelvis brukar det inte räcka med att ändamålet är att “förbättra upplevelsen för användarna”. Det är för brett och inte tillräckligt specifikt. Detsamma gäller “framtida forskning”. Därmed kan inte registrerade förstå vad det faktiskt innebär för behandling och är inte tillåtet. 

Berättigade ändamål

Utöver att ändamålet måste vara specifikt, måste det vara berättigat. Med andra ord att företaget följer aktuell lagstiftning, har en rättslig grund vid behandlingen och följer allmänna principer. 

Företag som arbetar med stora mängder data

Det har blivit allt vanligare att företag arbetar med stora mängder data och information i takt med att digitaliseringen har ökat. Vid sådana fall kan det vara svårt att definiera de särskilda ändamålen med behandlingen, eftersom man sällan i förväg vet vad det kommer att resultera i genom algoritmerna. Detta är viktigt att tänka på för företag som arbetar med stora mängder data, som måste ange tillräckligt särskilda och specifika ändamål med behandlingen.

Använda samma personuppgifter för andra ändamål

Ett företag kan vilja använda insamlade personuppgifter till andra ändamål än det ursprungliga efter ett tag. Vid sådana fall är det fråga en ny behandling, vilket innebär att företaget måste börja om med bedömningen av behandlingen. Om ändamålet är samma som det ursprungliga behöver företaget inte göra det, men företaget måste informera de registrerade om den nya behandlingen innan den blir utförd. 

Principen om uppgiftsminimering 

Ett företag får inte behandla fler personuppgifter än nödvändigt för det specifika ändamålet. Dessutom ska personuppgifterna som blir behandlade ha en tydlig koppling till ändamålet. Det är inte tillåtet att behandla personuppgifter för att det kan vara bra att ha eller för framtida ändamål som inte är angivna. Företag ska försöka att minimera antalet personuppgifter som de behandlar, och enbart behandla personuppgifter som är nödvändiga för ändamålet ifråga.