GDPR-afdelingopdaterings: Reg om dataverwerking te beperk

Wat is die reg om verwerking te beperk?

Die  Regulasie Algemene Data Protection (GDPR) gaan alles daaroor om die individu (datasubjek) meer beheer te gee oor wat met hul persoonlike data gebeur. Artikel 18 van die regulasie beskryf die reg van die individu om beperkings op 'n organisasie te maak en die manier waarop hulle die data gebruik, te beperk.

Die datasubjek moet 'n rede hê om die data te beperk, byvoorbeeld, hulle dink dalk die data is onakkuraat of hulle glo nie dat hulle toestemming gegee het dat hul data gebruik word op die manier wat dit het nie. Kom ons kyk in meer detail daarna.

Wanneer kan 'n individu hul reg gebruik om verwerking te beperk?

Die Inligtingskommissaris se kantoor (ICO) verklaar dat:

• die individu betwis die akkuraatheid van hul persoonlike data en jy verifieer die akkuraatheid van die data;
• die data is onwettig verwerk (dws in stryd met die wettigheidsvereiste van die eerste beginsel van die GDPR) en die individu is teen uitvee en versoek eerder beperking;
• jy het nie meer die persoonlike data nodig nie, maar die individu het jou nodig om dit te hou om 'n regseis vas te stel, uit te oefen of te verdedig; of
• die individu het beswaar gemaak dat jy hul data ingevolge artikel 21(1) verwerk, en jy oorweeg of jou wettige gronde dié van die individu ignoreer.

Alhoewel daar duidelike onderskeid is, kan jy sien dat beperking van verwerking 'n verband hou met die GDPR se reg op regstelling (Artikel 16) en die reg om beswaar te maak (Artikel 21(1). Dit beteken dat dit aanbeveel word dat indien u 'n regstelling- of beswaarversoek ontvang, beperk jy outomaties die verwerking terwyl die versoek hersien word.

Hoe beperk u dataverwerking vir GDPR?

Die effektiewe bestuur van hierdie aspek van die GDPR, soos baie ander, kom neer op prosesbeplanning. Die verwerking van persoonlike data sluit die versameling, strukturering, verspreiding en uitvee in, so jy moet dit in ag neem wanneer jy jou proses skep.

Daarbenewens is die bergingsmetode wat jy gebruik ewe belangrik. As jy 'n beperkingsversoek ontvang, kan jy daardie data tydelik na 'n aparte verwerkingstelsel skuif. Jy kan ook kies om die data onbeskikbaar te maak of dit te verwyder van waar dit tans sigbaar is, soos byvoorbeeld op 'n webwerf.

As jy voorheen hierdie data met 'n ander organisasie gedeel het, moet jy hulle van die versoek inlig.

Wanneer kan 'n beperking opgehef of geweier word?

Normaalweg is 'n beperking tot proses 'n tydelike toestand as dit op grond van akkuraatheid of noodsaaklikheid is. Sodra hierdie vrae aangespreek is en jy die individu ingelig het, kan jy kies om die beperking op te hef.

Jy kan 'n beperkingsversoek weier as jy glo dit is ongegrond of buitensporig. Die ICO sê:

As u van mening is dat 'n versoek klaarblyklik ongegrond of buitensporig is, kan u:

• versoek om 'n "redelike fooi" om die versoek te hanteer; of

• weier om die versoek te hanteer.

In beide gevalle sal jy jou besluit moet regverdig.

U moet die redelike fooi baseer op die administratiewe koste om aan die versoek te voldoen. As jy besluit om 'n fooi te hef, moet jy die individu dadelik kontak en hulle inlig. Jy hoef nie aan die versoek te voldoen voordat jy die fooi ontvang het nie.

As jy 'n versoek weier, moet jy die individu vertel hoekom jy hierdie besluit geneem het, hul reg verduidelik om 'n klag by die ICO te maak, en hulle inlig oor die geregtelike regte.

Ons het gepraat oor die behoefte om beleide in plek te hê om die hantering van hierdie versoeke makliker te maak. Maar het jou organisasie 'n greep op die persoonlike data wat hulle besit? ISMS.online het 'n oplossing vir wat.