GDPR-seksjonsoppdateringer: Rett til å begrense databehandling

Hva er retten til å begrense behandlingen?

De Generell databeskyttelsesforskrift (GDPR) handler om å gi den enkelte (den registrerte) mer kontroll over hva som skjer med personopplysningene deres. Artikkel 18 i forordningen beskriver individets rett til å sette begrensninger på en organisasjon og begrense måten de bruker dataene på.

Den registrerte bør ha en grunn til å begrense dataene, for eksempel kan de tro at dataene er unøyaktige, eller de tror ikke de har gitt samtykke til at dataene deres kan brukes på den måten de har gjort. La oss se på det mer detaljert.

Når kan en enkeltperson bruke sin rett til å begrense behandlingen?

Informasjonskommissærens kontor (ICO) uttaler at:

• individet bestrider nøyaktigheten av deres personlige data, og du bekrefter nøyaktigheten av dataene;
• dataene er ulovlig behandlet (dvs. i strid med lovlighetskravet i det første prinsippet i GDPR) og individet motsetter seg sletting og ber om begrensning i stedet;
• du trenger ikke lenger personopplysningene, men personen trenger at du oppbevarer dem for å etablere, utøve eller forsvare et rettslig krav; eller
• individet har protestert mot at du behandler opplysningene deres i henhold til artikkel 21(1), og du vurderer om dine legitime grunner overstyrer den enkeltes.

Selv om det er klare skiller, kan du se at begrensning av behandling har en relasjon til GDPRs rett til retting (artikkel 16) og rett til å protestere (artikkel 21(1). Dette betyr at det anbefales at dersom du mottar en forespørsel om retting eller innsigelse, begrenser du automatisk behandlingen mens forespørselen er under vurdering.

Hvordan begrenser du databehandling for GDPR?

Den effektive håndtering av dette aspektet av GDPR, som mange andre, kommer ned til prosessplanlegging. Behandling av personopplysninger inkluderer innsamling, strukturering, spredning og sletting, så du må vurdere disse når du oppretter prosessen.

I tillegg er lagringsmetoden du bruker like viktig. Hvis du mottar en begrensningsforespørsel, kan du midlertidig flytte disse dataene til et eget behandlingssystem. Du kan også velge å gjøre dataene utilgjengelige eller fjerne dem fra der de nå er synlige, som for eksempel på et nettsted.

Hvis du tidligere har delt disse dataene med en annen organisasjon, må du informere dem om forespørselen.

Når kan en restriksjon oppheves eller avvises?

Normalt er en restriksjon til behandling en midlertidig tilstand hvis den er på grunnlag av nøyaktighet eller nødvendighet. Når disse spørsmålene er tatt opp og du har informert den enkelte, kan du velge å oppheve begrensningen.

Du kan avslå en begrensning dersom du mener den er ubegrunnet eller overdreven. ICO sier:

Hvis du mener at en forespørsel er åpenbart grunnløs eller overdreven, kan du:

• be om et "rimelig gebyr" for å håndtere forespørselen; eller

• nekte å behandle forespørselen.

I begge tilfeller må du begrunne avgjørelsen din.

Du bør basere det rimelige gebyret på de administrative kostnadene ved å etterkomme forespørselen. Hvis du bestemmer deg for å kreve et gebyr, bør du kontakte den enkelte umiddelbart og informere dem. Du trenger ikke etterkomme forespørselen før du har mottatt gebyret.

Hvis du avslår en forespørsel, må du fortelle personen hvorfor du har tatt denne avgjørelsen, forklare deres rett til å sende en klage til ICO og informere dem om de juridiske rettighetene.

Vi snakket om behovet for å ha retningslinjer på plass for å gjøre håndteringen av disse forespørslene enklere. Men har organisasjonen din kontroll på personopplysningene de har? ISMS.online har en løsning for det.