Kuinka osoittaa GDPR-artiklan 17 noudattaminen

GDPR:n artiklassa 17 (Oikeus tietojen poistamiseen) selitetään yksilöiden oikeudet pyytää henkilötietojensa poistamista ja hahmotellaan, milloin organisaatioiden on noudatettava sitä, sekä poikkeukset, joissa tietojen säilyttäminen on lakisääteistä.

Tarvitsemme meille antamiasi tietoja ottaaksemme sinuun yhteyttä palveluihimme liittyen.
Peruuta tilaus milloin tahansa. Lisätietoja saat tutustumalla Tietosuojakäytäntö.

kirjailija
Max Edwards
Päivitetty 6. maaliskuuta 2025
LinkedIn Twitter Twitter

GDPR:n artiklan 17 ymmärtäminen: Poisto-oikeus selitettynä

Artikla 17 käsittelee yhtä EU:n ja Yhdistyneen kuningaskunnan tärkeimmistä näkökohdista GDPR laki – rekisteröidyn "oikeus tulla unohdetuksi", joka on myös kirjoitettu "oikeudeksi tietojen poistamiseen".

Artiklassa 17 luetellaan useita syitä sille, miksi rekisteröity saattaa haluta tulla unohdetuksi, sekä organisaation velvollisuus ilmoittaa asiasta muille rekisterinpitäjille, jotka saattavat myös käsitellä rekisteröidyn tietoja oman toimintansa mukaisesti.

GDPR artiklan 17 lakiteksti

EU:n GDPR-versio

17 artikla – Oikeus tietojen poistamiseen ("oikeus tulla unohdetuksi")

  1. Rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan häntä koskevat henkilötiedot ilman aiheetonta viivytystä ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, jos jokin seuraavista perusteista täyttyy:

    • henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne on kerätty tai muuten käsitelty;
    • rekisteröity peruuttaa suostumuksensa, johon käsittely perustuu 6 artiklan 1 kohdan a alakohdan tai 9 artiklan 2 kohdan a alakohdan mukaisesti, ja jos käsittelylle ei ole muuta oikeudellista perustetta;
    • rekisteröity vastustaa käsittelyä 21 artiklan 1 kohdan mukaisesti eikä käsittelylle ole pakottavia oikeutettuja perusteita tai rekisteröity vastustaa käsittelyä 21 artiklan 2 kohdan mukaisesti;
    • henkilötietoja on käsitelty laittomasti;
    • henkilötiedot on poistettava unionin tai jäsenvaltion lainsäädännön mukaisen rekisterinpitäjän oikeudellisen velvoitteen noudattamiseksi;
    • henkilötiedot on kerätty 8 artiklan 1 kohdassa tarkoitettujen tietoyhteiskunnan palvelujen tarjoamisen yhteydessä.
  2. Jos rekisterinpitäjä on julkistanut henkilötiedot ja on 1 kohdan mukaisesti velvollinen poistamaan henkilötiedot, rekisterinpitäjän on käytettävissä olevan tekniikan ja toteutuskustannukset huomioon ottaen toteutettava kohtuulliset toimenpiteet, mukaan lukien tekniset toimenpiteet, ilmoittaakseen rekisterinpitäjille, jotka käsittelemään henkilötietoja, joita rekisteröity on pyytänyt kyseisten rekisterinpitäjien poistamaan kaikki linkit kyseisiin henkilötietoihin tai kopiot tai jäljennökset.
  3. Edellä 1 ja 2 kohtaa ei sovelleta siltä osin kuin käsittely on tarpeen:

    • sananvapauden ja tiedonvälityksen vapauden käyttämisestä;
    • sellaisen oikeudellisen velvoitteen noudattaminen, joka edellyttää unionin tai jäsenvaltion lainsäädännön mukaista käsittelyä, jota rekisterinpitäjä koskee, tai yleisen edun mukaisen tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;
    • yleisen edun vuoksi kansanterveyden alalla 9 artiklan 2 kohdan h ja i alakohdan sekä 9 artiklan 3 kohdan mukaisesti;
    • yleisen edun mukaista arkistointia, tieteellistä tai historiallista tutkimusta tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti siltä osin kuin 1 kohdassa tarkoitettu oikeus on omiaan tekemään mahdottomaksi tai vakavasti haitannut kyseisen direktiivin tavoitteiden saavuttamista. käsittely; tai
    • oikeudellisten vaatimusten esittämiseen, esittämiseen tai puolustamiseen.

Yhdistyneen kuningaskunnan GDPR-versio

17 artikla – Oikeus tietojen poistamiseen ("oikeus tulla unohdetuksi")

  1. Rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan häntä koskevat henkilötiedot ilman aiheetonta viivytystä ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, jos jokin seuraavista perusteista täyttyy:

    • henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne on kerätty tai muuten käsitelty;
    • rekisteröity peruuttaa suostumuksensa, johon käsittely perustuu 6 artiklan 1 kohdan a alakohdan tai 9 artiklan 2 kohdan a alakohdan mukaisesti, ja jos käsittelylle ei ole muuta oikeudellista perustetta;
    • rekisteröity vastustaa käsittelyä 21 artiklan 1 kohdan mukaisesti eikä käsittelylle ole pakottavia oikeutettuja perusteita tai rekisteröity vastustaa käsittelyä 21 artiklan 2 kohdan mukaisesti;
    • henkilötietoja on käsitelty laittomasti;
    • henkilötiedot on poistettava rekisterinpitäjään kuuluvan kansallisen lainsäädännön mukaisen oikeudellisen velvoitteen noudattamiseksi;
    • henkilötiedot on kerätty 8 artiklan 1 kohdassa tarkoitettujen tietoyhteiskunnan palvelujen tarjoamisen yhteydessä.
  2. Jos rekisterinpitäjä on julkistanut henkilötiedot ja on 1 kohdan mukaisesti velvollinen poistamaan henkilötiedot, rekisterinpitäjän on käytettävissä olevan tekniikan ja toteutuskustannukset huomioon ottaen toteutettava kohtuulliset toimenpiteet, mukaan lukien tekniset toimenpiteet, ilmoittaakseen rekisterinpitäjille, jotka käsittelemään henkilötietoja, joita rekisteröity on pyytänyt kyseisten rekisterinpitäjien poistamaan kaikki linkit kyseisiin henkilötietoihin tai kopiot tai jäljennökset.
  3. Edellä 1 ja 2 kohtaa ei sovelleta siltä osin kuin käsittely on tarpeen:

    • sananvapauden ja tiedonvälityksen vapauden käyttämisestä;
    • sellaisen oikeudellisen velvoitteen noudattamisesta, joka edellyttää kansallisen lainsäädännön mukaista käsittelyä, tai yleisen edun mukaisen tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;
    • yleisen edun vuoksi kansanterveyden alalla 9 artiklan 2 kohdan h ja i alakohdan sekä 9 artiklan 3 kohdan mukaisesti;
    • yleisen edun mukaista arkistointia, tieteellistä tai historiallista tutkimusta tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti siltä osin kuin 1 kohdassa tarkoitettu oikeus on omiaan tekemään mahdottomaksi tai vakavasti haitannut kyseisen direktiivin tavoitteiden saavuttamista. käsittely; tai
    • oikeudellisten vaatimusten esittämiseen, esittämiseen tai puolustamiseen.


Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo


Tekninen kommentti

Rekisteröidyt eivät voi käyttää yleistä oikeuttaan tietojensa poistamiseen. Pyyntöjen on oltava jonkin alla olevista oikeudellisista kriteereistä:

  • tietoja ei enää tarvita alkuperäisiin tarkoituksiin;
  • suostumuksen peruuttaminen (jos käsittelyn koko peruste perustuu suostumukseen);
  • käsittelyä koskeva vastalause tai oikeutetun perusteen puuttuminen keräämiselle ja/tai käsittelylle;
  • laiton/laiton käsittely;
  • muun laillisen velvoitteen noudattaminen;
  • lastensuojeluun liittyviin tarkoituksiin.

Jos organisaatio on jostain syystä julkistanut henkilötietoja, sen on ryhdyttävä "kohtuullisiin toimiin" ilmoittaakseen muille rekisterinpitäjille – myös työntekijöille – ja kolmansille osapuolille tarpeesta poistaa tiedot rekisteröidyn pyynnöstä.

ISO 27701 lauseke 7.2.2 ja EU GDPR artikla 17

Tässä osiossa puhumme GDPR-artikkeleista 17 (3) (a), 17 (3) (b), 17 (3) (c), 17 (3) (d) ja 17 (3) (e).

Laillisen perustan tunnistaminen

Muodostaaksesi a dokumentoitu Oikeusperusta henkilökohtaisten tunnistetietojen käsittelylle ensisijaisesti, organisaatioiden tulee:

  1. pyytää suostumusta;
  2. aloittaa sopimus;
  3. noudattaa muita laillisia velvoitteita;
  4. suojella kyseisten henkilökohtaisten henkilötietojen päämiesten "tärkeitä etuja";
  5. suorittaa vain tehtäviä, jotka ovat yleisen edun mukaisia;
  6. varmistaa, että käsittelytoiminta muodostaa oikeutetun edun.

Organisaatioiden tulee myös harkita henkilökohtaisten tietojen "erityisluokkia", jotka liittyvät tietojen luokitusjärjestelmään (katso ISO 27701, kohta 7.2.8).

Tukee ISO 27701 -lausekkeita

  • ISO 27701 7.2.8


Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.

Varaa demo


ISO 27701 lauseke 7.3.5 ja EU GDPR artikla 17

Tässä osiossa puhumme GDPR-artikkeleista 17 (1) (a), 17 (1) (b), 17 (1) (c), 17 (1) (d), 17 (1) (e), 17 ( 1) f), 17 (2)

Mekanismien tarjoaminen henkilökohtaisten tunnistetietojen käsittelyyn

Lait vaihtelevat alueittain, mutta lainkäyttöalueet tarjoavat usein yksilöille oikeuden vastustaa tietojensa keräämistä, käsittelyä ja jakamista.

Tämän mukaisesti organisaatioiden tulee:

  1. tallentaa kaikki lakisääteiset vaatimukset, jotka koskevat erityisiä vastalauseita;
  2. antaa yksilöille selkeitä, ytimekkäitä ja helposti ymmärrettäviä ohjeita siitä, kuinka vastustaa tietojensa keräämistä, käsittelyä tai jakamista.

ISO 27701:n lauseke 8.3.1 ja EU:n GDPR:n artikla 17 (2)

Velvollisuudet PII-päämiehiä kohtaan

Organisaatioiden on varmistettava, että asiakkaille tarjotaan asianmukaiset keinot täyttää (eli organisaation) velvollisuutensa henkilötietojen rekisterinpitäjänä kolmella keskeisellä toiminta-alueella:

  1. lainsäädäntö;
  2. sääntely;
  3. sopimusperusteinen.

Hakemisto linkitetyistä EU:n GDPR-artikkeleista ja ISO 27701 -lausekkeista

GDPR-artikkeliISO 27701 -lausekeISO 27701 -tukilausekkeet
EU:n GDPR:n 17 artiklan 3 kohdan a alakohta - 17 artiklan 3 kohdan e alakohta ISO 27701 7.2.2 ISO 27701 7.2.8
EU:n GDPR:n artiklat 17 (1) (a)–17 (2) ISO 27701 7.3.5Ei eristetty
EU:n GDPR:n artikla 17 (2) ISO 27701 8.3.1Ei eristetty

Miten ISMS.online auttaa

GDPR:ää pidetään yleisesti maailman tiukimpana tietosuoja- ja turvallisuussääntelynä, ja rikkomuksista seuraa merkittäviä sakkoja. Se voi olla moniselitteinen ja tulkinnanvarainen, mikä viittaa siihen, että organisaatioiden on tarjottava "kohtuullinen" henkilötietojen suojan taso.

Mutta tässä on hyvä uutinen. ISMS.onlinen avulla voit helposti hypätä suoraan matkallesi kohti GDPR-vaatimustenmukaisuutta ja helposti osoittaa suojaustasoa, joka ylittää "kohtuullisen", kaikki yhdessä turvallisessa ja aina käytettävissä olevassa paikassa.

ISMS.online-alustalla on sisäänrakennettu opastus jokaisessa vaiheessa yhdistettynä "Ota käyttöön, mukauta, lisää" -toteutustapamme kanssa, joten GDPR-asetuksesi osoittamiseen vaadittava vaiva vähenee huomattavasti. Hyödynnät myös useita tehokkaita aikaa säästäviä ominaisuuksia.

Lisätietoja: varaa lyhyt demo tänään.

Hyppää aiheeseen

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

ISMS Platform Tour

Oletko kiinnostunut ISMS.online-alustakierroksesta?

Aloita ilmainen 2 minuutin interaktiivinen demo nyt ja koe ISMS.onlinen taika toiminnassa!

Kokeile ilmaiseksi

Olemme alamme johtaja

Käyttäjät rakastavat meitä
Leader Winter 2025
Leader Winter 2025 Iso-Britannia
Paras ROI-talvi 2025
Nopein käyttöönotto talvi 2025
Toteutettavin talvi 2025

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

-Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

-Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

-Ben H.

DORA on täällä! Paranna digitaalista kestävyyttäsi tänään tehokkaalla uudella ratkaisullamme!