Hoe om voldoening aan GDPR Artikel 17 te demonstreer

Artikel 17 handel oor een van die belangrikste aspekte van die EU en die VK BBP wet – 'n datasubjek 'reg om vergeet te word', ook geskryf as die 'reg op uitvee.

Artikel 17 lys verskeie redes waarom 'n datasubjek dalk vergeet wil word, tesame met 'n organisasie se verpligting om ander beheerders in te lig wat moontlik ook 'n subjek se data in ooreenstemming met hul eie werking verwerk.

GDPR Artikel 17 Regstekst

EU GDPR weergawe

Artikel 17 – Reg op uitvee ('reg om vergeet te word')

1. Die datasubjek sal die reg hê om van die kontroleerder die uitvee van persoonlike data aangaande hom of haar sonder onnodige vertraging te verkry en die kontroleerder sal die verpligting hê om persoonlike data sonder onnodige vertraging uit te vee waar een van die volgende gronde van toepassing is:
• die persoonlike data nie meer nodig is met betrekking tot die doeleindes waarvoor dit ingesamel of andersins verwerk is nie;
• die datasubjek onttrek toestemming waarop die verwerking gebaseer is volgens punt (a) van artikel 6(1), of punt (a) van artikel 9(2), en waar daar geen ander regsgrond vir die verwerking is nie;
• die datasubjek maak beswaar teen die verwerking ingevolge Artikel 21(1) en daar is geen oorheersende wettige gronde vir die verwerking nie, of die datasubjek maak beswaar teen die verwerking ingevolge Artikel 21(2);
• die persoonlike data onregmatig verwerk is;
• die persoonlike data moet uitgevee word vir nakoming van 'n wetlike verpligting in Unie- of Lidstaatwetgewing waaraan die kontroleerder onderworpe is;
• die persoonlike data is ingesamel met betrekking tot die aanbod van inligtingsgemeenskapdienste waarna in artikel 8(1) verwys word.
2. Waar die kontroleerder die persoonlike data openbaar gemaak het en ingevolge paragraaf 1 verplig is om die persoonlike data uit te vee, moet die kontroleerder, met inagneming van beskikbare tegnologie en die koste van implementering, redelike stappe doen, insluitend tegniese maatreëls, om beheerders in te lig wat die verwerking van die persoonlike data wat die datasubjek versoek het om die uitvee deur sodanige beheerders van enige skakels na, of kopieer of replikasie van daardie persoonlike data.
3. Paragrawe 1 en 2 is nie van toepassing in die mate waarin verwerking nodig is nie:
• vir die uitoefening van die reg op vryheid van uitdrukking en inligting;
• vir nakoming van 'n wetlike verpligting wat verwerking vereis deur Unie- of Lidstaatreg waaraan die kontroleerder onderworpe is of vir die uitvoering van 'n taak wat in die openbare belang uitgevoer word of in die uitoefening van amptelike gesag wat by die kontroleerder berus;
• vir redes van openbare belang op die gebied van openbare gesondheid in ooreenstemming met punte (h) en (i) van artikel 9(2) sowel as artikel 9(3);
• vir argiefdoeleindes in die openbare belang, wetenskaplike of historiese navorsingsdoeleindes of statistiese doeleindes ooreenkomstig artikel 89(1) in soverre die reg bedoel in paragraaf 1 waarskynlik die bereiking van die doelwitte van daardie verwerking; of
• vir die vestiging, uitoefening of verdediging van regseise.

Britse GDPR-weergawe

Artikel 17 – Reg op uitvee ('reg om vergeet te word')

1. Die datasubjek sal die reg hê om van die kontroleerder die uitvee van persoonlike data aangaande hom of haar sonder onnodige vertraging te verkry en die kontroleerder sal die verpligting hê om persoonlike data sonder onnodige vertraging uit te vee waar een van die volgende gronde van toepassing is:
• die persoonlike data nie meer nodig is met betrekking tot die doeleindes waarvoor dit ingesamel of andersins verwerk is nie;
• die datasubjek onttrek toestemming waarop die verwerking gebaseer is volgens punt (a) van artikel 6(1), of punt (a) van artikel 9(2), en waar daar geen ander regsgrond vir die verwerking is nie;
• die datasubjek maak beswaar teen die verwerking ingevolge Artikel 21(1) en daar is geen oorheersende wettige gronde vir die verwerking nie, of die datasubjek maak beswaar teen die verwerking ingevolge Artikel 21(2);
• die persoonlike data onregmatig verwerk is;
• die persoonlike data uitgevee moet word vir die nakoming van 'n wetlike verpligting ingevolge nasionale wetgewing, waaraan die kontroleerder onderworpe is;
• die persoonlike data is ingesamel met betrekking tot die aanbod van inligtingsgemeenskapdienste waarna in artikel 8(1) verwys word.
2. Waar die kontroleerder die persoonlike data openbaar gemaak het en ingevolge paragraaf 1 verplig is om die persoonlike data uit te vee, moet die kontroleerder, met inagneming van beskikbare tegnologie en die koste van implementering, redelike stappe doen, insluitend tegniese maatreëls, om beheerders in te lig wat die verwerking van die persoonlike data wat die datasubjek versoek het om die uitvee deur sodanige beheerders van enige skakels na, of kopieer of replikasie van daardie persoonlike data.
3. Paragrawe 1 en 2 is nie van toepassing in die mate waarin verwerking nodig is nie:
• vir die uitoefening van die reg op vryheid van uitdrukking en inligting;
• vir die nakoming van 'n wetlike verpligting wat verwerking ingevolge binnelandse wet vereis of vir die uitvoering van 'n taak wat in die openbare belang uitgevoer word of in die uitoefening van amptelike gesag wat by die kontroleerder berus;
• vir redes van openbare belang op die gebied van openbare gesondheid in ooreenstemming met punte (h) en (i) van artikel 9(2) sowel as artikel 9(3);
• vir argiefdoeleindes in die openbare belang, wetenskaplike of historiese navorsingsdoeleindes of statistiese doeleindes ooreenkomstig artikel 89(1) in soverre die reg bedoel in paragraaf 1 waarskynlik die bereiking van die doelwitte van daardie verwerking; of
• vir die vestiging, uitoefening of verdediging van regseise.