Hvordan demonstrere samsvar med GDPR artikkel 18

GDPR-samsvarsprogramvare

Bestill en demonstrasjon

skutt,av,en,mann,arbeidende,på,et,kontor

GDPR Artikkel 18 omhandler en registrerts mulighet til å be om blokkering av data der behandlingsaktiviteter har blitt ansett som ulovlige.

I henhold til GDPR-loven kan registrerte begrense mengden behandling som utføres på dataene deres.

Hvis en person ber en behandlingsansvarlig om å begrense deres behandlingsaktiviteter, har organisasjoner bare da lov til å lagre nevnte data, og kan ikke dele dem med tredjeparter eller behandle dem på annen måte uten den registrertes uttrykkelige samtykke.

GDPR artikkel 18 juridisk tekst

EU GDPR-versjon

Rett til begrensning av behandling

  1. Den registrerte skal ha rett til å få behandlingsbegrensning fra behandlingsansvarlig der ett av følgende gjelder:

    • nøyaktigheten av personopplysningene bestrides av den registrerte, i en periode som gjør det mulig for behandlingsansvarlig å verifisere nøyaktigheten til personopplysningene;

    • behandlingen er ulovlig og den registrerte motsetter seg sletting av personopplysningene og ber om begrensning av bruken av dem i stedet;

    • behandlingsansvarlig trenger ikke lenger personopplysningene for formålet med behandlingen, men de kreves av den registrerte for å etablere, utøve eller forsvare rettskrav;

    • den registrerte har protestert mot behandling i henhold til artikkel 21 nr. 1 i påvente av verifiseringen av om den behandlingsansvarliges legitime grunner overstiger den registrerte.

  2. Når behandlingen er begrenset etter nr. 1, skal slike personopplysninger, med unntak av lagring, kun behandles med den registrertes samtykke eller for å etablere, utøve eller forsvare rettskrav eller for å beskytte rettighetene til en annen naturlig eller juridisk person eller av hensyn til viktige allmenne interesser.

  3. En registrert som har fått behandlingsbegrensning etter nr. 1, skal informeres av den behandlingsansvarlige før begrensningen av behandlingen oppheves.

UK GDPR-versjon

Rett til begrensning av behandling

  1. Den registrerte skal ha rett til å få behandlingsbegrensning fra behandlingsansvarlig der ett av følgende gjelder:

    • nøyaktigheten av personopplysningene bestrides av den registrerte, i en periode som gjør det mulig for behandlingsansvarlig å verifisere nøyaktigheten til personopplysningene;

    • behandlingen er ulovlig og den registrerte motsetter seg sletting av personopplysningene og ber om begrensning av bruken av dem i stedet;

    • behandlingsansvarlig trenger ikke lenger personopplysningene for formålet med behandlingen, men de kreves av den registrerte for å etablere, utøve eller forsvare rettskrav;

    • den registrerte har protestert mot behandling i henhold til artikkel 21 nr. 1 i påvente av verifiseringen av om den behandlingsansvarliges legitime grunner overstiger den registrerte.

  2. Når behandlingen er begrenset etter nr. 1, skal slike personopplysninger, med unntak av lagring, kun behandles med den registrertes samtykke eller for å etablere, utøve eller forsvare rettskrav eller for å beskytte rettighetene til en annen naturlig eller juridisk person eller av hensyn til viktige allmenne interesser i Unionen eller en medlemsstat.

  3. En registrert som har fått behandlingsbegrensning etter nr. 1, skal informeres av den behandlingsansvarlige før begrensningen av behandlingen oppheves.

Teknisk kommentar

Registrerte har fire juridiske grunnlag for å fremsette en forespørsel som begrenser behandlingen av dataene deres:

  1. nøyaktigheten av dataene;

  2. ulovlige/ulovlige behandlingsaktiviteter;

  3. til støtte for juridiske krav;

  4. offisielle innvendinger (i tråd med artikkel 21 GDPR).

Organisasjoner kan falle tilbake på en rekke forhold som gjør at de kan fortsette å behandle dataene på samme måte, selv om det er mottatt en forespørsel om å begrense slike operasjoner:

  • den registrerte har gitt samtykke til andre behandlingsaktiviteter;

  • til støtte for et rettskrav eller rettssak;

  • beskyttelse av individuelle rettigheter og friheter til en annen person;

  • der det er en viktig offentlig interesse.
Gå til emnet
Enkel. Sikre. Bærekraftig.

Se vår plattform i aksjon med en skreddersydd praktisk økt basert på dine behov og mål.

Bestill demoen din
img

ISO 27701 klausul 7.2.2 og EU GDPR artikkel 18 (2)

Identifisere et lovlig grunnlag

For å danne et juridisk grunnlag for behandling av PII, bør organisasjoner bekrefte og dokumentere:

  1. samtykke fra PII-rektorer;

  2. en kontrakt;

  3. eventuelle andre juridiske forpliktelser;

  4. at interessene til de ulike PII-oppdragsgiverne blir beskyttet;

  5. det faktum at oppgaver utføres i allmennhetens interesse;

  6. at PII-behandling er en legitim interesse.

ISO 27701 klausul 7.3.2 og EU GDPR artikkel 18 (3)

Fastsettelse av informasjon for PII-rektorer

Organisasjoner må dokumentere informasjonen som PII-oppdragsgivere mottar, knyttet til behandlingen av PII.

Organisasjoner bør følge et sett med krav som tilsier når informasjon skal gis til PII-oppdragsgivere

  • formålet med dataene som samles inn;

  • Kontaktinformasjon;

  • hvordan dataene ble innhentet;

  • alle gjeldende juridiske, kontraktsmessige og/eller lovbestemte krav;

  • hvordan enkeltpersoner er i stand til å fjerne samtykke;

  • dataoverføringer til tredjepartsorganisasjoner, inkludert internasjonale overføringer;

  • hvordan enkeltpersoner er i stand til å logge en klage;

  • hvordan organisasjonen tar interne beslutninger knyttet til behandlingen av PII;

  • datalagringsperioder.

ISO 27701 klausul 7.3.4 og EU GDPR artikkel 18

I denne delen snakker vi om GDPR artikkel 18 (1)(a), 18 (1)(b), 18 (1)(c) og 18 (1)(d)

Gi mekanisme for å endre eller trekke tilbake samtykke

Organisasjoner må sørge for en mekanisme for registrerte som ønsker å trekke tilbake samtykke (som er i samsvar med metodene som først ble brukt for å samle inn dataene). Registrerte skal også kunne begrense organisasjonen fra å utføre bestemte handlinger.

Når de tilrettelegger for de to ovennevnte funksjonene, bør organisasjoner overholde rimelige respons- og løsningstider som i tilstrekkelig grad gjenspeiler arbeidsnivået som kreves.

Indeks over tilknyttede EU GDPR-artikler og ISO 27701-klausuler

GDPR-artikkelISO 27701 klausulISO 27701 Støtteklausuler
EU GDPR artikkel 18 (2)ISO 27701none
EU GDPR artikkel 18 (3)ISO 27701none
EU GDPR artikkel 18 (1)(a), 18 (1)(b), 18 (1)(c) og 18 (1)(d)ISO 27701none

Hvordan ISMS.online hjelper

ISMS.online gjør det enkelt for deg å hoppe rett inn på reisen til GDPR-samsvar og enkelt demonstrere et beskyttelsesnivå som går utover "rimelig", alt på ett sikkert sted som alltid er på.

ISMS.online-plattformen har innebygd veiledning ved hvert trinn kombinert med vår 'Adopter, Adapt, Add' implementeringstilnærming, slik at innsatsen som kreves for å demonstrere din tilnærming til GDPR er betydelig redusert. Du vil også dra nytte av en rekke kraftige tidsbesparende funksjoner.

Finn ut mer av bestille en kort demo i dag.

Oppdag vår plattform

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Vi er kostnadseffektive og raske

Finn ut hvordan det vil øke avkastningen din
Få ditt tilbud

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer