Pe scurt
- Trebuie să fiți clari de la început în privința scopurilor dumneavoastră de prelucrare.
- Trebuie să păstrați o evidență a scopurilor dumneavoastră ca parte din obligațiile dumneavoastră privind documentația și să le indicați în declarația de confidențialitate pentru persoane.
- Puteți să utilizați datele cu caracter personal într-un scop nou doar dacă fie acesta este compatibil cu scopul dumneavoastră inițial pentru care obțineți consimțământul, fie aveți o obligație sau o funcție clară stabilită prin lege.
Liste de verificare
- Am identificat în mod clar scopul sau scopurile noastre pentru prelucrare.
- Am consemnat aceste scopuri.
- Am inclus detaliile scopurilor noastre în declarația de confidențialitate pentru persoane.
- Verificăm cu regularitate prelucrarea noastră și, acolo unde este cazul, actualizăm documentația și declarația de confidențialitate pentru persoane.
- Dacă intenționăm să utilizăm date cu caracter personal într-un scop nou altul decât o obligație legală sau o funcție stabilită prin lege, verificăm dacă acesta este compatibil cu scopul nostru inițial sau obținem un consimțământ specific pentru noul scop.
Ce înseamnă principiul limitărilor legate de scop?
Articolul 5 alineatul (1) litera (b) prevede că:
“1. Datele cu caracter personal sunt:
(b) colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile inițiale, în conformitate cu articolul 89 alineatul (1);
În practică, acest lucru înseamnă că trebuie:
- să fiți clari de la început cu privire la scopul în care colectați datele cu caracter personal și ce intenționați să faceți cu acestea; să vă respectați obligațiile privind documentația în ceea ce privește indicarea scopurilor dumneavoastră;
- să vă respectați obligațiile de transparență în ceea ce privește informarea persoanelor în privința scopurilor dumneavoastră; și
- să vă asigurați că, în cazul în care intenționați să utilizați sau să divulgați datele cu caracter personal într-un scop care este suplimentar sau diferit de scopul indicat inițial, noua utilizare este echitabilă, legală și transparentă.
De ce trebuie să ne precizăm scopurile?
Această cerință urmărește să asigure că sunteți clari și deschiși în privința motivelor dumneavoastră pentru care obțineți date cu caracter personal și că ceea ce faceți cu datele respective este conform așteptărilor rezonabile ale persoanelor vizate.
Precizarea scopurilor dumneavoastră de la început vă ajută să fiți responsabili în privința prelucrării pe care o efectuați și să evitați „denaturarea funcțiilor”. De asemenea, aceasta ajută persoanele să înțeleagă modul în care le utilizați datele, să ia decizii cu privire la exprimarea acordului de a-și divulga datele și să-și exercite drepturile asupra datelor, dacă este cazul. Precizarea scopurilor este fundamentală pentru construirea încrederii publice în modul în care utilizați date cu caracter personal.
Există legături evidente cu alte principii, în special cu principiul echității, legalității și transparenței. A fi clar privind scopul în care prelucrați date cu caracter personal vă va ajuta să vă asigurați că prelucrarea dumneavoastră este echitabilă, legală și transparentă. Și, în cazul în care utilizați datele în scopuri inechitabile, ilegale sau „invizibile”, există probabilitatea să încălcați ambele principii.
Precizarea scopurilor dumneavoastră este necesară pentru a vă respecta obligațiile privind responsabilitatea.
Cum ne precizăm scopurile?
Dacă vă îndepliniți obligațiile privind documentația și transparența, mai mult ca sigur, respectați și cerința de a vă preciza scopurile, fără a face nimic în plus:
- Trebuie să vă precizați scopul sau scopurile pentru prelucrarea datelor cu caracter personal în cadrul documentației pe care sunteți obligați să o păstrați ca parte a obligațiilor privind evidențele activităților de prelucrare (documentația) prevăzute la articolul 30.
- De asemenea, trebuie să vă precizați scopurile în nota de informare pentru persoane.
Cu toate acestea, trebuie să rețineți, de asemenea, că nu orice consemnare și orice informare pot transforma o prelucrare fundamental inechitabilă într-una echitabilă și legală.
După ce colectăm datele cu caracter personal într-un scop precizat, putem să le folosim în alte scopuri?
RGPD nu interzice acest lucru în totalitate, dar există o serie de restricții. În esență, dacă scopurile dumneavoastră se schimbă în timp sau doriți să utilizați datele într-un scop nou pe care nu l-ați anticipat inițial, puteți să procedați astfel numai dacă:
- noul scop este compatibil cu scopul inițial;
- obțineți consimțământul expres al persoanei pentru noul scop.
Dacă scopul nou este compatibil, nu aveți nevoie de un nou temei juridic pentru prelucrarea ulterioară. Cu toate acestea, ar trebui să rețineți că, în cazul în care ați colectat inițial date pe baza consimțământului, în mod normal, trebuie să obțineți un nou consimțământ pentru a vă asigura că noua prelucrare este echitabilă și legală.
De asemenea, trebuie să vă asigurați că informați persoanele cu privire la noile scopuri.
Ce este un scop „compatibil”?
RGPD prevede în mod expres că următoarele scopuri ar trebui considerate ca fiind scopuri compatibile:
- scopuri de arhivare în interesul public,
- scopuri de cercetare științifică sau istorică și scopuri statistice.
Pe de altă parte, RGPD prevede că pentru a stabili dacă scopul nou este compatibil (sau, conform RGPD, „nu este incompatibil”) cu scopul dumneavoastră original, ar trebui să luați în considerare:
- orice legătură dintre scopul dumneavoastră original și scopul nou;
- contextul în care ați colectat inițial datele cu caracter personal, în special, relația dintre dumneavoastră și persoana în cauză și așteptările rezonabile ale acesteia;
- natura datelor cu caracter personal, de exemplu dacă acestea sunt, în special, date sensibile;
- consecințele posibile ale noii prelucrări asupra persoanelor; și
- dacă există garanții adecvate, de exemplu criptarea sau pseudonimizarea.
Ca regulă generală, dacă scopul nou este foarte diferit de scopul inițial sau ar fi neașteptat ori ar avea un impact nejustificat asupra persoanei respective, este probabil ca acesta să fie incompatibil cu scopul dumneavoastră original. În practică, ar putea fi nevoie să obțineți consimțământul expres pentru a utiliza sau a divulga datele într-un astfel de scop.
Exemplu
Un medic de familie divulgă lista sa de pacienți soției sale, care conduce o agenție de turism, pentru ca aceasta să poată face oferte speciale de vacanțe pacienților care au nevoie de recuperare. Divulgarea informațiilor respective în acest scop ar fi incompatibilă cu scopurile în care au fost obținute.
Există aici legături clare cu principiul legalității, echității și transparenței. În practică, dacă prelucrarea avută în vedere este echitabilă, este puțin probabil să încălcați principiul limitărilor legate de scop pe motivul incompatibilității.