Virksomheten skal alltid definere ett eller flere formål med behandlingen av helse- og personopplysninger før opplysningene samles inn, jf. personvernforordningen Artikkel 5. nr. 1 bokstav b (lovdata.no). Dersom virksomheten har en rettslig plikt til å behandle helse- og personopplysninger, vil formålet ofte være fastsatt i loven eller forskriften som plikten fremgår av. For eksempel er det i pasientjournalloven fastsatt at helseopplysninger i en pasientjournal kan benyttes for å yte, administrere, og kvalitetssikre helsehjelp.
Formålet med behandlingen av helse- og personopplysninger er styrende for hvor lenge virksomheten kan lagre opplysningene. Når virksomheten oppnår formålet med behandlingen, så må helse- og personopplysningene i utgangspunktet slettes eller anonymiseres, jf. personvernforordningen Artikkel 5. nr. 1 bokstav e (lovdata.no).
Selv om formålet er oppnådd, kan virksomheten i noen tilfeller fortsette å lagre helse- og personopplysninger der virksomheten har nye og legitime formål med behandlingen. Dette gjelder for eksempel dersom
- virksomheten har en rettslig plikt til å fortsette lagringen av helse- og personopplysningene, jf. personvernforordningen Artikkel 17. nr. 3 bokstav b (lovdata.no)
- opplysningene er nødvendig for å oppfylle et nytt formål som er forenlig med det opprinnelige formålet. Arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål skal alltid anses som forenelige formål, jf. personvernforordningen Artikkel 5. nr. 1 bokstav b (lovdata.no).
