Principiul limitării scopului impune ca datele personale să fie colectate numai în scopuri legitime, explicite și specificate și prelucrarea trebuie să fie compatibilă cu aceste scopuri.
Atunci când colectați date cu caracter personal, trebuie să specificați de la bun început în ce scopuri le veți prelucra.
Ce noutăți aduce GDPR?
Trebuie să respectați transparența și documentația atunci când specificați scopul sau scopurile prelucrării. Principiul limitării scopului vă împiedică să utilizați datele personale în scopuri noi, dacă acestea sunt „incompatibile” cu scopul inițial, de la momentul colectării datelor personale.
GDPR prevede în mod clar că nu este împiedicată prelucrarea ulterioară pentru:
- arhivare în interes public;
- scopuri științifice sau istorice; sau
- în scopuri statistice.
Ce reprezintă principiul limitării scopului?
Articolul 5 alineatul (1) litera (b) din GDPR prevede:
„Datele cu caracter personal sunt:
(b) colectate în scopuri specificate, explicite și legitime și nu sunt prelucrate ulterior într-o manieră care este incompatibilă cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, scopuri științifice sau istorice de cercetare sau scopuri statistice, în conformitate cu Articolul 89 alineatul (1), nu este considerată incompatibilă cu scopurile inițiale.”
În practică, acest lucru înseamnă că trebuie:
- să fie clare de la început scopurile pentru care colectați date cu caracter personal și cum intenționați să le utilizați;
- să respectați obligațiile de documentare pentru a vă specifica scopurile;
- respectați obligațiile de transparență pentru a informa persoanele în legătură cu scopurile dvs.; și
- să vă asigurați că, dacă intenționați să utilizați sau să dezvăluiți date personale pentru orice scop suplimentar sau diferit de scopul inițial, noua utilizare este corectă, legală și transparentă.
De ce trebuie să specificăm scopul prelucrării?
Această prevedere vă impune să fiți clari și deschiși cu privire la scopurile colectării datelor cu caracter personal. De asemenea, utilizarea datelor trebuie în concordanță cu așteptările rezonabile ale persoanelor vizate.
Specificarea scopurilor dvs. încă de la început vă ajută să fiți responsabili de prelucrarea dvs. și vă ajută să evitați „denaturarea funcțiilor„ . De asemenea, ajută persoanele vizate să înțeleagă cum utilizați datele, să decidă să furnizeze datele și să-și exercite drepturile asupra acestora, atunci când este cazul. Este esențial să construiți încrederea publicului prin modul în care utilizați datele personale.
Principiul limitării scopului are legături clare cu alte principii – în special cu principiul corectitudinii, legalității și transparenței. Fiind clari în ceea ce privește scopul prelucrării datelor personale, vă va ajuta să fiți siguri că prelucrarea dvs. este corectă, legală și transparentă. Dacă utilizați date pentru motive incorecte, ilegale sau „ascunse”, este posibil să încălcați ambele principii.
De asemenea, specificarea scopurilor dvs. este necesară pentru a vă conforma obligației de responsabilitate.
Cum specificăm scopurile prelucrării?
- Trebuie să specificați scopul sau scopurile prelucrării datelor personale în cadrul documentației; sunteți obligați să păstrați, ca parte a responsabilității, un registru al activităților de prelucrare, în temeiul Articolului 30.
- De asemenea, trebuie să specificați scopurile în notele de informare către persoanele vizate.
Dacă sunteți o organizație mică și sunteți scutiți de anumite cerințe de documentare, nu trebuie să comunicați în mod formal toate scopurile dvs. pentru a respecta principiul limitării scopului. Menționarea scopurilor în notificările de confidențialitate pe care le furnizați persoanelor fizice va fi de ajuns.
După ce am colectat datele personale pentru un anumit scop, le putem utiliza și în alte scopuri?
GDPR nu interzice acest lucru, dar există anumite restricții. În esență, dacă scopurile se schimbă în timp sau dacă doriți să utilizați datele pentru un scop nou, pe care nu l-ați anticipat inițial, puteți continua dacă:
- noul scop este compatibil cu scopul inițial;
- obțineți consimțământul specific al persoanei vizate pentru noul scop; sau
- puteți indica o prevedere legală clară care să impună sau să permită noua prelucrare în interes public. De exemplu, o nouă funcție pentru o autoritate publică.
Dacă noul scop este compatibil, nu aveți nevoie de un nou temei pentru o prelucrare ulterioară.
Cu toate acestea, trebuie să vă amintiți că, dacă ați colectat inițial datele pe baza consimțământului, trebuie să obțineți un nou consimțământ pentru a ca noua prelucrare să fie corectă și legală.