Opdateringer af GDPR-sektionen: Ret til at begrænse databehandling

Hvad er retten til at begrænse behandlingen?

 Generel databeskyttelsesforordning (GDPR) handler om at give den enkelte (den registrerede) mere kontrol over, hvad der sker med deres personlige data. Forordningens artikel 18 beskriver individets ret til at begrænse en organisation og begrænse den måde, de bruger dataene på.

Den registrerede bør have en grund til at begrænse dataene, for eksempel kan de mene, at dataene er unøjagtige, eller de mener ikke, at de har givet samtykke til, at deres data må bruges på den måde, de har gjort. Lad os se på det mere detaljeret.

Hvornår kan en person bruge sin ret til at begrænse behandlingen?

Informationskommissærens kontor (ICO) oplyser, at:

• den enkelte bestrider nøjagtigheden af ​​deres personlige data, og du verificerer nøjagtigheden af ​​dataene;
• oplysningerne er blevet ulovligt behandlet (dvs. i strid med lovlighedskravet i det første princip i GDPR), og den enkelte modsætter sig sletning og anmoder i stedet om begrænsning;
• du har ikke længere brug for personoplysningerne, men den enkelte har brug for, at du opbevarer dem for at etablere, udøve eller forsvare et retskrav; eller
• den enkelte har gjort indsigelse mod, at du behandler deres data i henhold til artikel 21, stk. 1, og du overvejer, om dine legitime grunde tilsidesætter den enkeltes.

Selvom der er klare skel, kan man se, at begrænsning af behandling har en relation til GDPRs ret til berigtigelse (artikel 16) og ret til at gøre indsigelse (artikel 21, stk. 1). Det betyder, at det anbefales at hvis du modtager en anmodning om berigtigelse eller indsigelse, begrænser du automatisk behandlingen, mens anmodningen er under gennemgang.

Hvordan begrænser du databehandling til GDPR?

Den effektive styring af dette aspekt af GDPR, som mange andre, handler om procesplanlægning. Behandling af personoplysninger omfatter indsamling, strukturering, formidling og sletning, så du skal overveje disse, når du opretter din proces.

Derudover er den opbevaringsmetode, du bruger, lige så vigtig. Hvis du modtager en anmodning om begrænsning, kan du midlertidigt flytte disse data til et separat behandlingssystem. Du kan også vælge at gøre dataene utilgængelige eller fjerne dem fra, hvor de i øjeblikket er synlige, som f.eks. på et websted.

Hvis du tidligere har delt disse data med en anden organisation, skal du informere dem om anmodningen.

Hvornår kan en begrænsning ophæves eller afvises?

Normalt er en begrænsning af processen en midlertidig tilstand, hvis den er begrundet i nøjagtighed eller nødvendighed. Når disse spørgsmål er blevet behandlet, og du har informeret den enkelte, kan du vælge at ophæve begrænsningen.

Du kan afslå en anmodning om begrænsning, hvis du mener, den er ubegrundet eller overdreven. ICO udtaler:

Hvis du mener, at en anmodning er åbenlyst ubegrundet eller overdreven, kan du:

• anmode om et "rimeligt gebyr" for at håndtere anmodningen; eller

• nægte at behandle anmodningen.

I begge tilfælde skal du begrunde din beslutning.

Du bør basere det rimelige gebyr på de administrative omkostninger ved at efterkomme anmodningen. Hvis du beslutter dig for at opkræve et gebyr, skal du kontakte den enkelte omgående og informere dem. Du behøver ikke at efterkomme anmodningen, før du har modtaget gebyret.

Hvis du afslår en anmodning, skal du fortælle personen, hvorfor du har truffet denne beslutning, forklare deres ret til at indgive en klage til ICO og informere dem om de juridiske rettigheder.

Vi talte om behovet for at have politikker på plads for at gøre håndteringen af ​​disse anmodninger lettere. Men har din organisation styr på de personlige data, de har? ISMS.online har en løsning for det.