Artikelen 18, 19 en overweging 67 van de AVG documenteert bepalingen voor organisaties te volgen wanneer een individu zijn recht uitoefent om de verwerking van zijn persoonsgegevens te beperken.
Laten we snel kijken naar wat er nieuw is.
De Algemene Verordening Gegevensbescherming (AVG) gaat erom het individu (de betrokkene) meer controle te geven over wat er met zijn persoonlijke gegevens gebeurt. Artikel 18 van de verordening beschrijft het recht van het individu om beperkingen op te leggen aan een organisatie en de manier te beperken waarop zij de gegevens gebruiken.
De betrokkene moet een reden hebben om de gegevens te beperken. Hij zou bijvoorbeeld kunnen denken dat de gegevens onnauwkeurig zijn of hij gelooft niet dat hij toestemming heeft gegeven voor het gebruik van zijn gegevens op de manier waarop hij dat doet. Laten we dat eens in meer detail bekijken.
Het Information Commissioner's Office (ICO) stelt dat:
Hoewel er duidelijke verschillen zijn, kunt u zien dat beperking van de verwerking verband houdt met het recht op rectificatie van de AVG (artikel 16) en het recht om bezwaar te maken (artikel 21, lid 1). Dit betekent dat het wordt aanbevolen dat als u een rectificatie- of bezwaarverzoek ontvangt, beperkt u automatisch de verwerking terwijl het verzoek wordt beoordeeld.
Het effectieve beheer van dit aspect van de AVGkomt, net als vele anderen, neer op procesplanning. Het verwerken van persoonlijke gegevens omvat het verzamelen, structureren, verspreiden en wissen, dus u moet hiermee rekening houden bij het creëren van uw proces.
Bovendien is de opslagmethode die u gebruikt net zo belangrijk. Als u een beperkingsverzoek ontvangt, kunt u die gegevens tijdelijk naar een afzonderlijk verwerkingssysteem verplaatsen. U kunt er ook voor kiezen om de gegevens niet beschikbaar te maken of te verwijderen van de plek waar ze momenteel zichtbaar zijn, bijvoorbeeld op een website.
Als u deze gegevens eerder met een andere organisatie heeft gedeeld, moet u hen op de hoogte stellen van het verzoek.
Normaal gesproken is een beperking van de verwerking een tijdelijke toestand als deze voortkomt uit nauwkeurigheid of noodzaak. Zodra deze vragen zijn beantwoord en u de persoon op de hoogte heeft gesteld, kunt u ervoor kiezen de beperking op te heffen.
U kunt een beperkingsverzoek weigeren als u van mening bent dat het ongegrond of buitensporig is. De ICO stelt:
Als u van mening bent dat een verzoek kennelijk ongegrond of buitensporig is, kunt u:
In beide gevallen zult u uw beslissing moeten motiveren.
U dient de redelijke vergoeding te baseren op de administratieve kosten die u maakt om aan het verzoek te voldoen. Als u besluit een vergoeding in rekening te brengen, dient u onmiddellijk contact op te nemen met de betreffende persoon en hem of haar op de hoogte te stellen. U hoeft pas aan het verzoek te voldoen nadat u de vergoeding heeft ontvangen.
Als u een verzoek weigert, moet u de persoon vertellen waarom u deze beslissing heeft genomen, zijn/haar recht uitleggen om een klacht in te dienen bij de ICO, en hem of haar informeren over de juridische rechten.
We hebben gesproken over de noodzaak van beleid om de afhandeling van deze verzoeken eenvoudiger te maken. Maar heeft uw organisatie wel grip op de persoonsgegevens die zij bewaren? ISMS.online heeft een oplossing daarom.
Een praktijkgerichte sessie op maat, afgestemd op uw wensen en doelstellingen
ISMS.online beschikt over een tracker voor het inventariseren van persoonlijke gegevens en het verwerken van records om u daarbij te helpen.
De informatie in deze blog is bedoeld als algemene richtlijn en vormt geen juridisch advies.
100% van onze gebruikers behaalt de eerste keer de ISO 27001-certificering