Uppdateringar av GDPR-avsnittet: Rätt att begränsa databehandling

Vad är rätten att begränsa behandlingen?

Smakämnen Allmän uppgiftsskyddsförordning (GDPR) handlar om att ge individen (den registrerade) mer kontroll över vad som händer med deras personuppgifter. Artikel 18 i förordningen beskriver individens rätt att göra begränsningar för en organisation och begränsa hur de använder uppgifterna.

Den registrerade bör ha ett skäl för att begränsa uppgifterna, till exempel kan de tycka att uppgifterna är felaktiga eller att de inte tror att de har gett sitt samtycke till att deras uppgifter får användas på det sätt som det har gjort. Låt oss titta på det mer i detalj.

När kan en individ utnyttja sin rätt att begränsa behandlingen?

Information Commissioner's Office (ICO) säger att:

• individen bestrider riktigheten av sina personuppgifter och du verifierar uppgifternas riktighet;
• uppgifterna har behandlats olagligt (dvs. i strid med laglighetskravet i den första principen i GDPR) och individen motsätter sig radering och begär begränsning istället;
• du behöver inte längre personuppgifterna utan individen behöver att du behåller dem för att kunna fastställa, utöva eller försvara ett rättsligt anspråk; eller
• individen har invänt mot att du behandlar deras uppgifter enligt artikel 21, och du överväger om dina legitima skäl åsidosätter individens.

Även om det finns tydliga distinktioner kan man se att begränsning av behandling har ett samband med GDPR:s rätt till rättelse (artikel 16) och rätten att göra invändningar (artikel 21). Detta innebär att det rekommenderas att om du får en begäran om rättelse eller invändning, begränsar du automatiskt behandlingen medan begäran granskas.

Hur begränsar du databehandling för GDPR?

Den effektiva hantering av denna aspekt av GDPR, liksom många andra, handlar om processplanering. Behandling av personuppgifter innefattar att samla in, strukturera, sprida och radera, så du måste ta hänsyn till dessa när du skapar din process.

Dessutom är lagringsmetoden du använder lika viktig. Om du får en begäran om begränsning kan du tillfälligt flytta dessa uppgifter till ett separat behandlingssystem. Du kan också välja att göra informationen otillgänglig eller ta bort den från där den för närvarande är synlig, som till exempel på en webbplats.

Om du tidigare har delat dessa uppgifter med en annan organisation måste du informera dem om begäran.

När kan en begränsning hävas eller vägras?

Normalt är en begränsning av processen ett tillfälligt tillstånd om det är på grund av noggrannhet eller nödvändighet. När dessa frågor har åtgärdats och du har informerat individen kan du välja att häva begränsningen.

Du kan avslå en begäran om begränsning om du anser att den är ogrundad eller överdriven. ICO säger:

Om du anser att en begäran är uppenbart ogrundad eller överdriven kan du:

• begära en "skälig avgift" för att hantera begäran; eller

• vägra att behandla begäran.

I båda fallen måste du motivera ditt beslut.

Du bör basera den rimliga avgiften på de administrativa kostnaderna för att följa begäran. Om du bestämmer dig för att ta ut en avgift bör du kontakta personen omgående och informera dem. Du behöver inte följa förfrågan förrän du har fått avgiften.

Om du avslår en begäran måste du berätta för individen varför du har fattat detta beslut, förklara deras rätt att göra ett klagomål till ICO och informera dem om de juridiska rättigheterna.

Vi pratade om behovet av att ha policyer på plats för att göra hanteringen av dessa förfrågningar enklare. Men har din organisation koll på de personuppgifter som de har? ISMS.online har en lösning för det.