Artikkel 18, 19 og punkt 67 i GDPR dokumenterer bestemmelser for organisasjoner å følge med på når en person utøver sin rett til å begrense behandlingen av sine personopplysninger.
La oss ta en rask titt på hva som er nytt.
De Generell databeskyttelsesforskrift (GDPR) handler om å gi den enkelte (den registrerte) mer kontroll over hva som skjer med personopplysningene deres. Artikkel 18 i forordningen beskriver individets rett til å sette begrensninger på en organisasjon og begrense måten de bruker dataene på.
Den registrerte bør ha en grunn til å begrense dataene, for eksempel kan de tro at dataene er unøyaktige, eller de tror ikke de har gitt samtykke til at dataene deres kan brukes på den måten de har gjort. La oss se på det mer detaljert.
Informasjonskommissærens kontor (ICO) uttaler at:
Selv om det er klare skiller, kan du se at begrensning av behandling har en relasjon til GDPRs rett til retting (artikkel 16) og rett til å protestere (artikkel 21(1). Dette betyr at det anbefales at dersom du mottar en forespørsel om retting eller innsigelse, begrenser du automatisk behandlingen mens forespørselen er under vurdering.
Den effektive håndtering av dette aspektet av GDPR, som mange andre, kommer ned til prosessplanlegging. Behandling av personopplysninger inkluderer innsamling, strukturering, spredning og sletting, så du må vurdere disse når du oppretter prosessen.
I tillegg er lagringsmetoden du bruker like viktig. Hvis du mottar en begrensningsforespørsel, kan du midlertidig flytte disse dataene til et eget behandlingssystem. Du kan også velge å gjøre dataene utilgjengelige eller fjerne dem fra der de nå er synlige, som for eksempel på et nettsted.
Hvis du tidligere har delt disse dataene med en annen organisasjon, må du informere dem om forespørselen.
Normalt er en restriksjon til behandling en midlertidig tilstand hvis den er på grunnlag av nøyaktighet eller nødvendighet. Når disse spørsmålene er tatt opp og du har informert den enkelte, kan du velge å oppheve begrensningen.
Du kan avslå en begrensning dersom du mener den er ubegrunnet eller overdreven. ICO sier:
Hvis du mener at en forespørsel er åpenbart grunnløs eller overdreven, kan du:
I begge tilfeller må du begrunne avgjørelsen din.
Du bør basere det rimelige gebyret på de administrative kostnadene ved å etterkomme forespørselen. Hvis du bestemmer deg for å kreve et gebyr, bør du kontakte den enkelte umiddelbart og informere dem. Du trenger ikke etterkomme forespørselen før du har mottatt gebyret.
Hvis du avslår en forespørsel, må du fortelle personen hvorfor du har tatt denne avgjørelsen, forklare deres rett til å sende en klage til ICO og informere dem om de juridiske rettighetene.
Vi snakket om behovet for å ha retningslinjer på plass for å gjøre håndteringen av disse forespørslene enklere. Men har organisasjonen din kontroll på personopplysningene de har? ISMS.online har en løsning for det.
En skreddersydd praktisk økt basert på dine behov og mål
ISMS.online har en sporing av personopplysninger og registreringer for å hjelpe deg med å gjøre nettopp det.
Informasjonen i denne bloggen er til generell veiledning og utgjør ikke juridisk rådgivning.
100 % av brukerne våre oppnår ISO 27001-sertifisering første gang