Ουσιαστικά, η αρχή του προσδιορισμού και του περιορισμού του σκοπού έχει την έννοια ότι η νομιμότητα της επεξεργασίας προσωπικών δεδομένων είναι συνάρτηση του σκοπού της επεξεργασίας, όπως αναγράφεται και στη συμμόρφωση GDPR. Ο σκοπός πρέπει να προσδιορίζεται και να δηλώνεται από τον υπεύθυνο επεξεργασίας πριν από την έναρξη της επεξεργασίας. Σύμφωνα με το δίκαιο της ΕΕ, αυτό γίνεται είτε με δήλωση, δηλαδή με γνωστοποίηση, στην εθνική αρχή ελέγχου ή, τουλάχιστον, με εσωτερική τεκμηρίωση η οποία τίθεται από τον υπεύθυνο επεξεργασίας στη διάθεση των εθνικών αρχών προς έλεγχο και στην οποία έχουν πρόσβαση τα υποκείμενα των δεδομένων.
Η επεξεργασία προσωπικών δεδομένων για μη προσδιορισμένους και/ή απεριόριστους σκοπούς είναι παράνομη.
Η επεξεργασία δεδομένων για κάθε νέο σκοπό απαιτεί ιδιαίτερη νομική βάση και δεν μπορεί να βασίζεται στο γεγονός ότι τα δεδομένα αρχικά αποκτήθηκαν ή υπέστησαν επεξεργασία για άλλον θεμιτό σκοπό. Αντιστοίχως, η νόμιμη επεξεργασία περιορίζεται στον αρχικά προσδιορισθέντα σκοπό, ενώ για κάθε νέο σκοπό επεξεργασίας απαιτείται ξεχωριστή, νέα νομική βάση. Ιδιαίτερη προσοχή πρέπει να δίδεται στην ανακοίνωση δεδομένων σε τρίτους, δεδομένου ότι συνιστά συνήθως νέο σκοπό και, ως εκ τούτου, απαιτεί διαφορετική νομική βάση από τη νομική βάση για τη συλλογή των δεδομένων.
- Τη λογοδοσία απαιτεί ο υπεύθυνος επεξεργασίας ώστε να εφαρμόζει ενεργά μέτρα για την προώθηση και τη διασφάλιση της προστασίας των δεδομένων κατά την επεξεργασία.
- Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη της συμμόρφωσης της επεξεργασίας που πραγματοποιεί με τη νομοθεσία για την προστασία των προσωπικών δεδομένων.
- Ο υπεύθυνος επεξεργασίας θα πρέπει να είναι ανά πάσα στιγμή σε θέση να καταδείξει στα υποκείμενα των δεδομένων, στο ευρύ κοινό και στις εθνικές αρχές ελέγχου ότι συμμορφώνεται με τους κανόνες προστασίας των δεδομένων.
Σύμφωνα με τη γνώμη της ομάδας εργασίας του άρθρου 29, στον πυρήνα της λογοδοσίας βρίσκεται η υποχρέωση του υπεύθυνου επεξεργασίας:
- να εφαρμόζει μέτρα τα οποία – σε κανονικές συνθήκες – διασφαλίζουν την τήρηση των κανόνων για την προστασία των δεδομένων στο πλαίσιο της επεξεργασίας και
- να διαθέτει έγγραφα τα οποία θα αποδεικνύουν στα υποκείμενα των δεδομένων και στις εθνικές αρχές ελέγχου τα μέτρα που έχουν ληφθεί για την επίτευξη της συμμόρφωσης προς τους κανόνες για την προστασία των δεδομένων.
Επομένως, βάσει της αρχής της λογοδοσίας, ο υπεύθυνος επεξεργασίας απαιτείται να καταδεικνύει ενεργά τη συμμόρφωσή του και να μην περιμένει απλώς να του υποδείξουν τυχόν αδυναμίες τα υποκείμενα των δεδομένων ή οι εθνικές αρχές ελέγχου.
