Personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål.
Stk. 2. For at afgøre, om behandling til et andet formål er forenelig med det formål, som personoplysningerne oprindelig blev indsamlet til, jf. stk. 1, tager den dataansvarlige efter databeskyttelsesforordningens artikel 6, stk. 4, bl.a. hensyn til
1) enhver forbindelse mellem det formål, som personoplysningerne er indsamlet til, og formålet med den påtænkte viderebehandling,
2) den sammenhæng, hvori personoplysningerne er blevet indsamlet, navnlig med hensyn til forholdet mellem den registrerede og den dataansvarlige,
3) personoplysningernes art, navnlig om særlige kategorier af personoplysninger behandles, jf. artikel 9, eller om personoplysninger vedrørende straffedomme og lovovertrædelser behandles, jf. artikel 10,
4) den påtænkte viderebehandlings mulige konsekvenser for de registrerede og
5) tilstedeværelse af fornødne garantier, som kan omfatte kryptering eller pseudonymisering.
Stk. 3. Uanset stk. 1 og 2 kan vedkommende minister efter forhandling med justitsministeren og inden for rammerne af databeskyttelsesforordningens artikel 23 fastsætte nærmere regler om, at personoplysninger af offentlige myndigheder må viderebehandles til andre formål, end de oprindelig var indsamlet til, uafhængigt af formålenes forenelighed. 1. pkt. finder ikke anvendelse på behandling af oplysninger i medfør af § 10. For så vidt angår helbredsoplysninger og genetiske data nævnt i databeskyttelsesforordningens artikel 9, stk. 1, som er indsamlet i medfør af denne lovs § 7, stk. 3, eller i medfør af sundhedslovgivningen, finder 1. pkt. alene anvendelse, i det omfang formålet med den videre anvendelse af disse oplysninger er foreneligt med det formål, som disse personoplysninger oprindelig blev indsamlet til.