Ändamålsbegränsning
Ni får bara samla in personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål. Ni måste därför ha klart för er vad ni ska ha personuppgifterna till redan när ni börjar samla in dem. Ändamålen sätter ramarna för vad ni får och inte får göra, till exempel vilka uppgifter ni får behandla och hur länge ni får spara dem.
Ändamålen måste vara specifika och konkreta, inte luddiga eller otydliga.
Det räcker normalt inte att ert ändamål enbart är att ”förbättra användarnas upplevelse”, ”it-säkerhet” eller ”framtida forskning”. Det är alltför brett uttryckt, och de registrerade kan inte bedöma vad sådan personuppgiftsbehandling kan innebära.
Ändamålet måste också vara berättigat. Detta innebär att personuppgiftsbehandlingen dels ska ha en rättslig grund i dataskyddsförordningen, dels ska ske i enlighet med övrig tillämplig lagstiftning och allmänna rättsprinciper.