Artikel 18, 19 og betragtning 67 i GDPR dokumenterer bestemmelser for organisationer at følge med i, hvornår en person udøver sin ret til at begrænse behandlingen af sine personoplysninger.
Lad os tage et hurtigt kig på, hvad der er nyt.
Generel databeskyttelsesforordning (GDPR) handler om at give den enkelte (den registrerede) mere kontrol over, hvad der sker med deres personlige data. Forordningens artikel 18 beskriver individets ret til at begrænse en organisation og begrænse den måde, de bruger dataene på.
Den registrerede bør have en grund til at begrænse dataene, for eksempel kan de mene, at dataene er unøjagtige, eller de mener ikke, at de har givet samtykke til, at deres data må bruges på den måde, de har gjort. Lad os se på det mere detaljeret.
Informationskommissærens kontor (ICO) oplyser, at:
Selvom der er klare skel, kan man se, at begrænsning af behandling har en relation til GDPRs ret til berigtigelse (artikel 16) og ret til at gøre indsigelse (artikel 21, stk. 1). Det betyder, at det anbefales at hvis du modtager en anmodning om berigtigelse eller indsigelse, begrænser du automatisk behandlingen, mens anmodningen er under gennemgang.
Den effektive styring af dette aspekt af GDPR, som mange andre, handler om procesplanlægning. Behandling af personoplysninger omfatter indsamling, strukturering, formidling og sletning, så du skal overveje disse, når du opretter din proces.
Derudover er den opbevaringsmetode, du bruger, lige så vigtig. Hvis du modtager en anmodning om begrænsning, kan du midlertidigt flytte disse data til et separat behandlingssystem. Du kan også vælge at gøre dataene utilgængelige eller fjerne dem fra, hvor de i øjeblikket er synlige, som f.eks. på et websted.
Hvis du tidligere har delt disse data med en anden organisation, skal du informere dem om anmodningen.
Normalt er en begrænsning af processen en midlertidig tilstand, hvis den er begrundet i nøjagtighed eller nødvendighed. Når disse spørgsmål er blevet behandlet, og du har informeret den enkelte, kan du vælge at ophæve begrænsningen.
Du kan afslå en anmodning om begrænsning, hvis du mener, den er ubegrundet eller overdreven. ICO udtaler:
Hvis du mener, at en anmodning er åbenlyst ubegrundet eller overdreven, kan du:
I begge tilfælde skal du begrunde din beslutning.
Du bør basere det rimelige gebyr på de administrative omkostninger ved at efterkomme anmodningen. Hvis du beslutter dig for at opkræve et gebyr, skal du kontakte den enkelte omgående og informere dem. Du behøver ikke at efterkomme anmodningen, før du har modtaget gebyret.
Hvis du afslår en anmodning, skal du fortælle personen, hvorfor du har truffet denne beslutning, forklare deres ret til at indgive en klage til ICO og informere dem om de juridiske rettigheder.
Vi talte om behovet for at have politikker på plads for at gøre håndteringen af disse anmodninger lettere. Men har din organisation styr på de personlige data, de har? ISMS.online har en løsning for det.
En skræddersyet hands-on session baseret på dine behov og mål
ISMS.online har en Tracker for personlig dataopgørelse og registre, der hjælper dig med at gøre netop det.
Oplysningerne i denne blog er til generel vejledning og udgør ikke juridisk rådgivning.
100 % af vores brugere opnår ISO 27001-certificering første gang