4.若处理是出于收集个人数据以外的其他目的,如果该目的未经数据主体同意或并非是基于联盟或成员国的法律(在一个民主社会中,若要实现第23(1)条中的目的,法律是必要且合适的),那么为确保该目的与初始目相容,控制商应当考虑以下因素,但不限于以下因素:

  (a)个人数据收集时的目的与计划进一步处理的目的之间的所有关联性;

  (b)个人数据收集时的语境,特别是数据主体与控制者之间的关系;

  (c)个人数据的性质,特别是某些特定类型的个人数据是否符合第9条的规定,或者与刑事定罪和刑事违法相关的个人数据是否符合第10条的规定;

  (d) 数据主体计划进一步处理可能造成的结果;

  (e)是否具有加密与匿名化措施等恰当保护措施;