Artikels 18, 19 en oorweging 67 van die GDPR dokumenteer bepalings vir organisasies om te volg wanneer 'n individu hul reg uitoefen om die verwerking van hul persoonlike data te beperk.
Kom ons kyk vinnig na wat nuut is.
Die Regulasie Algemene Data Protection (GDPR) gaan alles daaroor om die individu (datasubjek) meer beheer te gee oor wat met hul persoonlike data gebeur. Artikel 18 van die regulasie beskryf die reg van die individu om beperkings op 'n organisasie te maak en die manier waarop hulle die data gebruik, te beperk.
Die datasubjek moet 'n rede hê om die data te beperk, byvoorbeeld, hulle dink dalk die data is onakkuraat of hulle glo nie dat hulle toestemming gegee het dat hul data gebruik word op die manier wat dit het nie. Kom ons kyk in meer detail daarna.
Die Inligtingskommissaris se kantoor (ICO) verklaar dat:
Alhoewel daar duidelike onderskeid is, kan jy sien dat beperking van verwerking 'n verband hou met die GDPR se reg op regstelling (Artikel 16) en die reg om beswaar te maak (Artikel 21(1). Dit beteken dat dit aanbeveel word dat indien u 'n regstelling- of beswaarversoek ontvang, beperk jy outomaties die verwerking terwyl die versoek hersien word.
Die effektiewe bestuur van hierdie aspek van die GDPR, soos baie ander, kom neer op prosesbeplanning. Die verwerking van persoonlike data sluit die versameling, strukturering, verspreiding en uitvee in, so jy moet dit in ag neem wanneer jy jou proses skep.
Daarbenewens is die bergingsmetode wat jy gebruik ewe belangrik. As jy 'n beperkingsversoek ontvang, kan jy daardie data tydelik na 'n aparte verwerkingstelsel skuif. Jy kan ook kies om die data onbeskikbaar te maak of dit te verwyder van waar dit tans sigbaar is, soos byvoorbeeld op 'n webwerf.
As jy voorheen hierdie data met 'n ander organisasie gedeel het, moet jy hulle van die versoek inlig.
Normaalweg is 'n beperking tot proses 'n tydelike toestand as dit op grond van akkuraatheid of noodsaaklikheid is. Sodra hierdie vrae aangespreek is en jy die individu ingelig het, kan jy kies om die beperking op te hef.
Jy kan 'n beperkingsversoek weier as jy glo dit is ongegrond of buitensporig. Die ICO sê:
As u van mening is dat 'n versoek klaarblyklik ongegrond of buitensporig is, kan u:
In beide gevalle sal jy jou besluit moet regverdig.
U moet die redelike fooi baseer op die administratiewe koste om aan die versoek te voldoen. As jy besluit om 'n fooi te hef, moet jy die individu dadelik kontak en hulle inlig. Jy hoef nie aan die versoek te voldoen voordat jy die fooi ontvang het nie.
As jy 'n versoek weier, moet jy die individu vertel hoekom jy hierdie besluit geneem het, hul reg verduidelik om 'n klag by die ICO te maak, en hulle inlig oor die geregtelike regte.
Ons het gepraat oor die behoefte om beleide in plek te hê om die hantering van hierdie versoeke makliker te maak. Maar het jou organisasie 'n greep op die persoonlike data wat hulle besit? ISMS.online het 'n oplossing vir wat.
'n Pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte
ISMS.online beskik oor 'n spoorsnyer vir persoonlike data-inventaris en -verwerking om jou te help om dit te doen.
Die inligting in hierdie blog is vir algemene leiding en vorm nie regsadvies nie.
100% van ons gebruikers behaal die eerste keer ISO 27001-sertifisering