Hur man visar efterlevnad av GDPR artikel 18

Programvara för efterlevnad av GDPR

Boka en demo

skott,av,en,man,arbetar,på,ett,kontor

GDPR Artikel 18 handlar om en registrerads möjlighet att begära blockering av uppgifter där behandlingsverksamhet har bedömts vara olaglig.

Enligt GDPR-lagstiftningen kan registrerade begränsa mängden behandling som utförs av deras data.

Om en person ber en personuppgiftsansvarig att begränsa sin behandlingsverksamhet, tillåts organisationer endast då lagra nämnda uppgifter och kan inte dela dem med tredje part eller behandla dem på något annat sätt utan den registrerades uttryckliga medgivande.

GDPR Artikel 18 Lagtext

EU GDPR-version

Rätt till begränsning av bearbetning

  1. Den registrerade ska ha rätt att av den registeransvarige få begränsning av behandlingen där något av följande gäller:

    • riktigheten av personuppgifterna ifrågasätts av den registrerade, under en period som gör det möjligt för den registeransvarige att verifiera riktigheten av personuppgifterna;

    • behandlingen är olaglig och den registrerade motsätter sig radering av personuppgifterna och begär begränsning av användningen av dem istället;

    • den registeransvarige behöver inte längre personuppgifterna för behandlingens syften, men de krävs av den registrerade för att upprätta, utöva eller försvara rättsliga anspråk;

    • den registrerade har invänt mot behandling enligt artikel 21 i avvaktan på verifieringen av huruvida den registeransvariges legitima skäl åsidosätter den registrerades.

  2. Om behandlingen har begränsats enligt punkt 1 ska sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, utöva eller försvara rättsliga anspråk eller för att skydda rättigheterna för en annan fysisk eller juridisk person eller av skäl av viktigt allmänintresse.

  3. En registrerad som har erhållit begränsning av behandlingen enligt punkt 1 ska informeras av den registeransvarige innan begränsningen av behandlingen hävs.

Storbritanniens GDPR-version

Rätt till begränsning av bearbetning

  1. Den registrerade ska ha rätt att av den registeransvarige få begränsning av behandlingen där något av följande gäller:

    • riktigheten av personuppgifterna ifrågasätts av den registrerade, under en period som gör det möjligt för den registeransvarige att verifiera riktigheten av personuppgifterna;

    • behandlingen är olaglig och den registrerade motsätter sig radering av personuppgifterna och begär begränsning av användningen av dem istället;

    • den registeransvarige behöver inte längre personuppgifterna för behandlingens syften, men de krävs av den registrerade för att upprätta, utöva eller försvara rättsliga anspråk;

    • den registrerade har invänt mot behandling enligt artikel 21 i avvaktan på verifieringen av huruvida den registeransvariges legitima skäl åsidosätter den registrerades.

  2. Om behandlingen har begränsats enligt punkt 1 ska sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, utöva eller försvara rättsliga anspråk eller för att skydda rättigheterna för en annan fysisk eller juridisk person eller på grund av viktiga allmänintressen i unionen eller en medlemsstat.

  3. En registrerad som har erhållit begränsning av behandlingen enligt punkt 1 ska informeras av den registeransvarige innan begränsningen av behandlingen hävs.

Teknisk kommentar

De registrerade har fyra rättsliga grunder för att göra en begäran som begränsar behandlingen av deras uppgifter:

  1. riktigheten av uppgifterna;

  2. olaglig/olaglig behandling;

  3. till stöd för rättsliga anspråk;

  4. officiella invändningar (i linje med artikel 21 GDPR).

Organisationer kan falla tillbaka på en rad villkor som gör att de kan fortsätta att behandla uppgifterna på samma sätt, även om en begäran har mottagits om att begränsa sådan verksamhet:

  • den registrerade har lämnat samtycke till annan behandlingsverksamhet;

  • till stöd för ett rättsligt anspråk eller rättsfall;

  • skyddet av en annan persons individuella rättigheter och friheter;

  • där det finns ett viktigt allmänintresse.
Hoppa till ämne
Enkel. Säkra. Hållbar.

Se vår plattform i aktion med en skräddarsydd praktisk session baserad på dina behov och mål.

Boka din demo
img

ISO 27701 klausul 7.2.2 och EU GDPR artikel 18 (2)

Identifiera en laglig grund

För att bilda en rättslig grund för att behandla PII bör organisationer bekräfta och dokumentera:

  1. samtycke från PII-huvudmän;

  2. ett kontrakt;

  3. alla andra juridiska skyldigheter;

  4. att de olika PII-huvudmännens intressen skyddas;

  5. det faktum att uppgifter utförs i allmänhetens intresse;

  6. att PII-behandling är ett berättigat intresse.

ISO 27701 klausul 7.3.2 och EU GDPR artikel 18 (3)

Fastställande av information för PII-huvudmän

Organisationer behöver dokumentera den information som PII-huvudmän får, relaterade till behandlingen av PII.

Organisationer bör följa en uppsättning krav som dikterar när information ska lämnas till PII-huvudmän

  • syftet med de uppgifter som samlas in;

  • kontaktuppgifter;

  • hur uppgifterna erhölls;

  • alla rådande juridiska, kontraktuella och/eller lagstadgade krav;

  • hur individer kan ta bort samtycke;

  • dataöverföringar till tredjepartsorganisationer, inklusive internationella överföringar;

  • hur individer kan logga ett klagomål;

  • hur organisationen fattar interna beslut som rör behandlingen av PII;

  • datalagringsperioder.

ISO 27701 klausul 7.3.4 och EU GDPR artikel 18

I det här avsnittet talar vi om GDPR artiklarna 18 (1)(a), 18 (1)(b), 18 (1)(c) och 18 (1)(d)

Tillhandahållande av mekanism för att ändra eller återkalla samtycke

Organisationer måste tillhandahålla en mekanism för registrerade som vill återkalla samtycke (som är i enlighet med de metoder som först användes för att samla in uppgifterna). Registrerade bör också kunna begränsa organisationen från att utföra vissa åtgärder.

När de underlättar ovanstående två funktioner bör organisationer hålla sig till rimliga svars- och upplösningstider som adekvat återspeglar den arbetsnivå som krävs.

Index över länkade EU GDPR-artiklar och ISO 27701-klausuler

GDPR-artikelISO 27701 klausulISO 27701 stödklausuler
EU GDPR artikel 18 (2)ISO 27701 7.2.2Ingen
EU GDPR artikel 18 (3)ISO 27701 7.3.2Ingen
EU GDPR artiklarna 18 (1)(a), 18(1)(b), 18(1)(c) och 18(1)(d)ISO 27701 7.3.4Ingen

Hur ISMS.online hjälper

ISMS.online gör det enkelt för dig att hoppa direkt in på din resa till GDPR-efterlevnad och att enkelt demonstrera en skyddsnivå som går utöver "rimligt", allt på en säker, alltid-på plats.

ISMS.online-plattformen har inbyggd vägledning vid varje steg i kombination med vår implementeringsmetod 'Adoptera, anpassa, lägg till' så att ansträngningen som krävs för att visa din inställning till GDPR minskar avsevärt. Du kommer också att dra nytta av en rad kraftfulla tidsbesparande funktioner.

Ta reda på mer av boka en kort demo idag.

Upptäck vår plattform

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Vi är kostnadseffektiva och snabba

Upptäck hur det kommer att öka din ROI
Få din offert

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer