Hur man visar efterlevnad av GDPR artikel 17

Programvara för efterlevnad av GDPR

Boka en demo

foto,affärsman,arbetar,på,modernt,loft,kontor.,man,sitter,trä

Artikel 17 behandlar en av de viktigaste aspekterna av EU och Storbritannien GDPR lag – en registrerad "rätt att bli glömd", även skriven som "rätten till radering.

I artikel 17 anges flera skäl till varför en registrerad kan vilja bli bortglömd, tillsammans med en organisations skyldighet att informera andra registeransvariga som också kan behandla en registrerades uppgifter i enlighet med sin egen verksamhet.

GDPR Artikel 17 Lagtext

EU GDPR-version

Artikel 17 – Rätt till radering (”rätt att bli glömd”)

  1. Den registrerade ska ha rätt att av den personuppgiftsansvarige få radering av personuppgifter som rör honom eller henne utan onödigt dröjsmål och den personuppgiftsansvarige ska ha en skyldighet att radera personuppgifter utan onödigt dröjsmål om någon av följande skäl föreligger:

    • personuppgifterna inte längre är nödvändiga i förhållande till de ändamål för vilka de samlades in eller på annat sätt behandlades;

    • den registrerade återkallar det samtycke som ligger till grund för behandlingen enligt artikel 6 a, eller artikel 1 a, och om det inte finns någon annan rättslig grund för behandlingen;

    • den registrerade invänder mot behandlingen enligt artikel 21 och det inte finns några tvingande legitima skäl för behandlingen, eller den registrerade invänder mot behandlingen enligt artikel 1;

    • personuppgifterna har behandlats olagligt;

    • personuppgifterna måste raderas för att uppfylla en rättslig skyldighet i unions- eller medlemsstatslagstiftningen som den registeransvarige omfattas av;

    • personuppgifterna har samlats in i samband med utbudet av informationssamhällets tjänster som avses i artikel 8.

  2. Om den personuppgiftsansvarige har offentliggjort personuppgifterna och är skyldig enligt punkt 1 att radera personuppgifterna, ska den personuppgiftsansvarige, med hänsyn till tillgänglig teknik och kostnaden för genomförandet, vidta rimliga åtgärder, inklusive tekniska åtgärder, för att informera de registeransvariga som är behandla de personuppgifter som den registrerade har begärt radering av sådana personuppgiftsansvariga av eventuella länkar till, eller kopiering eller replikering av, dessa personuppgifter.

  3. Punkterna 1 och 2 ska inte tillämpas i den mån behandlingen är nödvändig:

    • för att utöva rätten till yttrandefrihet och informationsfrihet;

    • för efterlevnad av en rättslig skyldighet som kräver behandling enligt unions- eller medlemsstatslagstiftning som den registeransvarige omfattas av eller för att utföra en uppgift som utförs i allmänhetens intresse eller i samband med utövandet av officiell myndighet som ligger hos den registeransvarige.

    • av skäl av allmänintresse på folkhälsoområdet i enlighet med artikel 9 h och i samt artikel 2;

    • för arkiveringsändamål i allmänhetens intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89 i den mån den rättighet som avses i punkt 1 sannolikt omöjliggör eller allvarligt försämrar uppnåendet av målen för den bearbetning; eller

    • för upprättande, utövande eller försvar av rättsliga anspråk.

Storbritanniens GDPR-version

Artikel 17 – Rätt till radering (”rätt att bli glömd”)

  1. Den registrerade ska ha rätt att av den personuppgiftsansvarige få radering av personuppgifter som rör honom eller henne utan onödigt dröjsmål och den personuppgiftsansvarige ska ha en skyldighet att radera personuppgifter utan onödigt dröjsmål om någon av följande skäl föreligger:

    • personuppgifterna inte längre är nödvändiga i förhållande till de ändamål för vilka de samlades in eller på annat sätt behandlades;

    • den registrerade återkallar det samtycke som ligger till grund för behandlingen enligt artikel 6 a, eller artikel 1 a, och om det inte finns någon annan rättslig grund för behandlingen;

    • den registrerade invänder mot behandlingen enligt artikel 21 och det inte finns några tvingande legitima skäl för behandlingen, eller den registrerade invänder mot behandlingen enligt artikel 1;

    • personuppgifterna har behandlats olagligt;

    • personuppgifterna måste raderas för att uppfylla en rättslig skyldighet enligt nationell lag, som den registeransvarige är föremål för;

    • personuppgifterna har samlats in i samband med utbudet av informationssamhällets tjänster som avses i artikel 8.

  2. Om den personuppgiftsansvarige har offentliggjort personuppgifterna och är skyldig enligt punkt 1 att radera personuppgifterna, ska den personuppgiftsansvarige, med hänsyn till tillgänglig teknik och kostnaden för genomförandet, vidta rimliga åtgärder, inklusive tekniska åtgärder, för att informera de registeransvariga som är behandla de personuppgifter som den registrerade har begärt radering av sådana personuppgiftsansvariga av eventuella länkar till, eller kopiering eller replikering av, dessa personuppgifter.

  3. Punkterna 1 och 2 ska inte tillämpas i den mån behandlingen är nödvändig:

    • för att utöva rätten till yttrandefrihet och informationsfrihet;

    • för efterlevnad av en rättslig skyldighet som kräver behandling enligt nationell lagstiftning eller för att utföra en uppgift som utförs i allmänintresset eller vid utövande av offentlig myndighet som ligger hos den registeransvarige;

    • av skäl av allmänintresse på folkhälsoområdet i enlighet med artikel 9 h och i samt artikel 2;

    • för arkiveringsändamål i allmänhetens intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89 i den mån den rättighet som avses i punkt 1 sannolikt omöjliggör eller allvarligt försämrar uppnåendet av målen för den bearbetning; eller

    • för upprättande, utövande eller försvar av rättsliga anspråk.
Hoppa till ämne

Teknisk kommentar

Registrerade personer kan inte utöva en generell rätt att få sina uppgifter raderade. Förfrågningar måste vara i enlighet med något av nedanstående juridiska kriterier:

  • uppgifterna är inte längre nödvändiga för de ursprungliga ändamålen;

  • återkallande av samtycke (där hela underlaget för behandlingen baseras på samtycke);

  • en invändning mot behandling eller avsaknad av legitima skäl för insamling och/eller behandling;

  • olaglig/olaglig behandling;

  • överensstämmelse med en annan rättslig skyldighet;

  • barnskyddsrelaterade ändamål.

Om en organisation har offentliggjort personuppgifter, av någon anledning, bör de vidta "rimliga åtgärder" för att informera andra personuppgiftsansvariga – inklusive anställda – och tredje part om behovet av att radera data, enligt begäran av den registrerade.

ISO 27701 klausul 7.2.2 och EU GDPR artikel 17

I det här avsnittet talar vi om GDPR artiklarna 17 (3)(a), 17 (3)(b), 17 (3)(c), 17 (3)(d) och 17 (3)(e)

Identifiera en laglig grund

Att bilda en dokumenterat rättslig grund för att behandla PII i första hand bör organisationer:

  1. söka samtycke;

  2. initiera ett kontrakt;

  3. följa alla andra juridiska skyldigheter;

  4. skydda "vitala intressen" för PII-huvudmännen i fråga;

  5. endast utföra uppgifter som ligger i allmänhetens intresse;

  6. säkerställa att behandlingsverksamheten utgör ett berättigat intresse.

Organisationer bör också överväga alla "särskilda kategorier" av PII som hänför sig till ett dataklassificeringssystem (se ISO 27701 klausul 7.2.8).

Stöder ISO 27701 klausuler

  • ISO 27701 7.2.8

Se vår plattform
i aktion

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Vi är kostnadseffektiva och snabba

Upptäck hur det kommer att öka din ROI
Få din offert

ISO 27701 klausul 7.3.5 och EU GDPR artikel 17

I det här avsnittet talar vi om GDPR artiklarna 17 (1)(a), 17 (1)(b), 17 (1)(c), 17 (1)(d), 17 (1)(e), 17 ( 1)(f), 17 (2)

Tillhandahåller mekanismer för att göra invändningar mot PII-bearbetning

Lagar varierar från region till region, men jurisdiktioner ger ofta individer rätt att göra invändningar om hur deras data samlas in, bearbetas och delas.

I enlighet med detta bör organisationer:

  1. registrera eventuella juridiska eller regulatoriska krav som handlar om specifika invändningar;

  2. ge individer tydliga, koncisa och lättförståeliga anvisningar om hur de kan invända mot att deras data samlas in, bearbetas eller delas.

ISO 27701 klausul 8.3.1 och EU GDPR artikel 17 (2)

Skyldigheter gentemot PII-huvudmän

Organisationer måste säkerställa att kunder ges lämpliga medel för att uppfylla sina (dvs. organisationens) skyldigheter som PII-kontrollant, inom tre viktiga verksamhetsområden:

  1. lagstiftande;

  2. reglerande;

  3. kontraktuella.

Index över länkade EU GDPR-artiklar och ISO 27701-klausuler

GDPR-artikelISO 27701 klausulISO 27701 stödklausuler
EU GDPR artiklarna 17 (3)(a) till 17 (3)(e)ISO 27701 7.2.2ISO 27701 7.2.8
EU GDPR artiklarna 17 (1) (a) till 17 (2)ISO 27701 7.3.5Ingen
EU GDPR artikel 17 (2)ISO 27701 8.3.1Ingen

Hur ISMS.online hjälper

GDPR anses allmänt vara den tuffaste integritets- och säkerhetsförordningen i världen, med överträdelser som resulterar i betydande böter. Det kan vara tvetydigt och öppet för tolkning, vilket tyder på att organisationer måste tillhandahålla en "rimlig" skyddsnivå för personuppgifter.

Men här är de goda nyheterna. ISMS.online gör det enkelt för dig att hoppa direkt in på din resa till GDPR-efterlevnad och att enkelt demonstrera en skyddsnivå som går utöver "rimligt", allt på en säker, alltid-på plats.

ISMS.online-plattformen har inbyggd vägledning vid varje steg i kombination med vår implementeringsmetod 'Adoptera, anpassa, lägg till' så att ansträngningen som krävs för att visa din inställning till GDPR minskar avsevärt. Du kommer också att dra nytta av en rad kraftfulla tidsbesparande funktioner.

Ta reda på mer av boka en kort demo idag.

Se hur vi kan hjälpa dig

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Osäker på om du ska bygga eller köpa?

Upptäck det bästa sättet att uppnå framgång med ISMS

Få din gratis guide

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer