Личните данни трябва да се събират само за конкретни, изрични и законови цели и не се обработват по начин, който е несъвместим с тези цели.

Има известна възможност за разширяване на целите за които данните се обработва, отвъд онези за които са били предвидени по времето на събиране, но всяка друга употреба не трябва да бъде "несъвместима". GDPR гласи, че администраторът трябва да прецени дали една нова цел ще е съвместима с целта, за която данните първоначално са били събрани. Ако администраторът установи, че целите са несъвместими, то може да се наложи да се търси съгласие или да не се предприема предложената обработка. Нещата, които трябва да се вземат предвид включват: - всякаква връзка между тази цел и новата очаквана цел, в контекста на която се събират личните данни; - разумните очаквания на субекта на данните базирана на връзката му с администратора на данни; - естеството на личните данни; - възможните последици от планираната обработк; и – съществуването на подходящи предпазни мерки.

Много системи за управление на данни ще се възползват от редица източници на лични данни. По този начин организациите трябва преценят дали има някакво разширяване на целите за които първоначално са събрани данните. Важно е да да се има предвид необходимостта да се ограничи използването на данните само за целта, за която са събрани, макар че реалността е такава, че подробни записи за целите, за които са били събирани първоначално конкретни данни може и да не се подържат. При тези обстоятелства, може да е необходимо да се извърши оценка на риска и да се прецени дали могат да се прилагат предпазни мерки за намаляване на риска за правата и свободите на хората.

Свързани с горните текстове членове от Регламента:

Член 6(4) – Законосъобразност на обработването (Бъдеща обработка)

Член 6, ал. 4. Когато обработването за други цели, различни от тези, за които първоначално са били събрани личните данни, не се извършва въз основа на съгласието на субекта на данните или на правото на Съюза или правото на държава членка, което представлява необходима и пропорционална мярка в едно демократично общество за гарантиране на целите по член 23, параграф 1, администраторът, за да се увери дали обработването за други цели е съвместимо с първоначалната цел, за която са били събрани личните данни, inter alia, взема под внимание: a) всяка връзка между целите, за които са били събрани личните данни, и целите на предвиденото по-нататъшно обработване; б) контекста, в който са били събрани личните данни, по-специално във връзка с отношенията между субекта на данните и администратора; в) естеството на личните данни, по- специално дали се обработват специални категории лични данни съгласно член 9 или се обработват лични данни, отнасящи се до присъди и нарушения, съгласно член 10; г) възможните последствия от предвиденото по-нататъшно обработване за субектите на данните; д) наличието на подходящи гаранции, които могат да включват криптиране или псевдонимизация.

Изложение 50 към Член 6(4).

(50) Обработването на лични данни за цели, различни от тези, за които първоначално са събрани личните данни, следва да бъде разрешено единствено когато обработването е съвместимо с целите, за които първоначално са събрани личните данни. В такъв случай не се изисква отделно правно основание, различно от това, с което е било разрешено събирането на личните данни. Ако обработването е необходимо за изпълнението на задача от обществен интерес или свързана с упражняването на официални правомощия, които са предоставени на администратора на лични данни, в правото на Съюза или в правото на държава членка могат да бъдат определени и уточнени задачите и целите, за които по-нататъшното обработване следва да се счита за съвместимо и законосъобразно. По-нататъшното обработване за целите на архивирането в обществен интерес,за целите на научни или исторически изследвания, или за статистически цели следва да се разглежда като съвместими законосъобразни операции по обработване. Правното основание, предвидено от правото на Съюза или правото на държава членка за обработване на лични данни, може да предостави и правно основание за по-нататъшно обработване. За да установи дали дадена цел на по-нататъшно обработване е съвместима с целта, за която първоначално са събрани личните данни, администраторът на лични данни, след като е спазил всички изисквания относно законосъобразността на първоначалното обработване, следва да отчете, inter alia,, всички връзки между тези цели и целите на предвиденото по- нататъшно обработване, в какъв контекст са събрани личните данни, по-специално основателните очаквания на субектите на данните въз основа на техните взаимоотношения с администратора по отношение на по-нататъшно използване на личните данни, естеството им, последствията от предвиденото по-нататъшно обработване на данни за субектите на данни и наличието на подходящи гаранции при операциите по първоначалното и предвиденото по-нататъшно обработване.

Когато субектът на данните е дал съгласието си или когато обработването се основава на правото на Съюза или правото на държава членка, което представлява необходима и пропорционална мярка в едно демократично общество, за да се гарантират по-специално важни цели от широк обществен интерес, на администратора следва да се позволи да обработва по-нататък личните данни, независимо от съвместимостта на целите. Във всеки случай, прилагането на принципите, установени в настоящия регламент, и по-специално информирането на субекта на данните относно тези други цели и относно неговите права, включително правото да възрази, следва да бъдат гарантирани. Съобщаването от администратора за евентуални престъпни деяния или заплахи за обществената сигурност и предаването на съответните лични данни в отделни случаи или в няколко случая, свързани с едно и също престъпно деяние или заплахи за обществената сигурност, на компетентен орган следва да се разглеждат като част от законния интерес, преследван от администратора. Въпреки това, подобно предаване, което е от законен интерес за администратора, или по-нататъшно обработване на лични данни следва да бъдат забранени, ако обработването не е съвместимо с никакво правно, професионално или друго обвързващо задължение за пазене на тайна. по Дейвид Смит, бивш зам. Председател на Офиса на Комисията по Информация на UK, подбрани и обработени от Чавдар Пенков 3/2

Въздействие!

 Ако имате предвид да използвате личните данни за бъдещи цели, преценете дали тези цели са несъвместими с първоначалната цел, за която данните са събрани.

 Прегледайте декларациите за поверителност и формите на съгласие, за да сте сигурен, че целите за обработката са точно отразени. Преценете дали декларацията уцелва правилния баланс между гъвкавостта и необходимостта да бъде специфична.

 Прилагайте подходяща обработка и писмени проверки, за да се осигури подходящ контрол върху използването на информация за други цели.