GDPR Artikel 11 förklaras: Nyckeln till dataminimering
GDPR Artikel 11 handlar om dataminimeringsprinciper, vilket i hög grad begränsar hur data behandlas kopplat till endast det som anses nödvändigt.
Personuppgiftsansvariga bör radera eller dölja alla hänvisningar till den registrerade i det ögonblick som uppgifterna inte längre behövs. När detta inträffar måste de registeransvariga också skaffa ytterligare information om den registrerade för att kunna förbli efterlevnad.
Om försökspersonerna skulle vilja bli omidentifierade bör kontrollanterna ta till sig detta och formulera steg för att hantera begäran.
Det är viktigt att notera att, om försökspersonen inte identifieras, gäller artikel 11 delvis, men om den registrerade begär omidentifiering måste den registeransvarige försöka detta (såvida inte detta, genom bevisbördan, visar sig vara omöjligt).
GDPR Artikel 11 Lagtext
EU GDPR-version
Behandling som inte kräver legitimation
- Om ändamålen för vilka en personuppgiftsansvarig behandlar personuppgifter inte eller inte längre kräver att den personuppgiftsansvarige identifierar en registrerad, ska den personuppgiftsansvarige inte vara skyldig att behålla, skaffa eller behandla ytterligare information för att identifiera den registrerade för enda syftet med att följa denna förordning.
- Om den registeransvarige, i de fall som avses i punkt 1 i denna artikel, kan visa att den inte är i stånd att identifiera den registrerade, ska den registeransvarige informera den registrerade om detta, om möjligt. I sådana fall ska artiklarna 15–20 inte tillämpas utom när den registrerade, i syfte att utöva sina rättigheter enligt dessa artiklar, tillhandahåller ytterligare information som gör det möjligt att identifiera honom eller henne.
Storbritanniens GDPR-version
Behandling som inte kräver legitimation
- Om ändamålen för vilka en personuppgiftsansvarig behandlar personuppgifter inte eller inte längre kräver att den personuppgiftsansvarige identifierar en registrerad, ska den personuppgiftsansvarige inte vara skyldig att behålla, skaffa eller behandla ytterligare information för att identifiera den registrerade för enda syftet med att följa denna förordning.
- Om den registeransvarige, i de fall som avses i punkt 1 i denna artikel, kan visa att den inte är i stånd att identifiera den registrerade, ska den registeransvarige informera den registrerade om detta, om möjligt. I sådana fall ska artiklarna 15–20 inte tillämpas utom när den registrerade, i syfte att utöva sina rättigheter enligt dessa artiklar, tillhandahåller ytterligare information som gör det möjligt att identifiera honom eller henne.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
EU GDPR artikel 11 (1) och ISO 27701 klausul 7.4.5
PII-avidentifiering och radering vid slutet av bearbetningen
När PII inte längre uppfyller ett uttalat syfte, behöver organisationer antingen fullständigt förstöra uppgifterna eller modifiera dem på ett sätt som förhindrar någon form av identifiering på något sätt, antingen internt eller externt.
Så snart organisationen konstaterat att PII inte behöver behandlas någon gång i framtiden, bör informationen raderas eller ändras på ett sätt som gör det omöjligt för den registrerade att identifieras
EU GDPR artikel 11 (2) och ISO 27701 klausul 7.3.2
Fastställande av information för PII-huvudmän
Organisationer bör dokumentera den information som PII-huvudmän får, som beskriver hur PII behandlas.
Det behöver ställas krav som styr när information ska lämnas, och exakt vad den informationen är, såsom:
- Syftet med att PII samlas in och bearbetas.
- Kontaktuppgifter.
- Hur PII erhölls.
- Skriftliga krav (avtalsmässiga, lagstadgade).
- Processen genom vilken samtycke tas bort.
- Dataöverföringar.
- Ett klagomålsförfarande.
- Den interna beslutsprocessen.
- Datalagringsperioder.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
EU GDPR artikel 11 (2) och ISO 27701 klausul 7.3.3
Tillhandahålla information till PII-huvudmän
Organisationer måste beskriva vem PII-kontrollanten är och hur data behandlas, genom "tydliga och tillgängliga" sätt som inte hindrar spridningen av viktig information.
Informationen bör vara lätt att följa och anges i lekmannaspråk så att alla som läser den kan förstå vad som förmedlas, tillsammans med eventuella tekniska eller operativa detaljer (se ISO 27701 klausul 7.3.2).
Stöder ISO 27701 klausuler
- ISO 27701 7.3.2
Stöd för kontroller från ISO 27701
| GDPR-artikel | ISO 27701 klausul | ISO 27701 stödklausuler |
|---|---|---|
| EU GDPR artikel 11 (1) | ISO 27701 7.4.5 | Ingen |
| EU GDPR artikel 11 (2) | ISO 27701 7.3.2 | Ingen |
| EU GDPR artikel 11 (2) | ISO 27701 7.3.3 | ISO 27701 7.3.2 |
Hur ISMS.online hjälper
Vår förbyggda miljö låter dig beskriva och demonstrera ditt sätt att skydda dina europeiska och brittiska kunddata på ett sätt som sömlöst integreras i ditt ledningssystem.
ISMS.online-plattformen innehåller inbyggd vägledning vid varje steg, samt vår implementeringsmetod 'Adoptera, anpassa, lägg till', vilket minskar den ansträngning som krävs för att följa GDPR. Du får också en rad tidsbesparande förmåner.
Oavsett om du har problem med att komma till GDPR på grund av bristande självförtroende, förmåga eller motivation att vidta åtgärder, kan vi hjälpa dig genom att tillhandahålla våra interna experter eller genom att rekommendera en av våra pålitliga partners.
Ta reda på mer av boka en demo.
