Kuinka osoittaa GDPR-artiklan 17 noudattaminen

GDPR-yhteensopivuusohjelmisto

Varaa demo

valokuva,liikemies,työskentely,modernissa,parvi,toimisto.,mies,istuva,puu

Artikla 17 käsittelee yhtä EU:n ja Yhdistyneen kuningaskunnan tärkeimmistä näkökohdista GDPR laki – rekisteröidyn "oikeus tulla unohdetuksi", joka on myös kirjoitettu "oikeudeksi tietojen poistamiseen".

Artiklassa 17 luetellaan useita syitä sille, miksi rekisteröity saattaa haluta tulla unohdetuksi, sekä organisaation velvollisuus ilmoittaa asiasta muille rekisterinpitäjille, jotka saattavat myös käsitellä rekisteröidyn tietoja oman toimintansa mukaisesti.

GDPR artiklan 17 lakiteksti

EU:n GDPR-versio

17 artikla – Oikeus tietojen poistamiseen ("oikeus tulla unohdetuksi")

  1. Rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan häntä koskevat henkilötiedot ilman aiheetonta viivytystä ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, jos jokin seuraavista perusteista täyttyy:

    • henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne on kerätty tai muuten käsitelty;

    • rekisteröity peruuttaa suostumuksensa, johon käsittely perustuu 6 artiklan 1 kohdan a alakohdan tai 9 artiklan 2 kohdan a alakohdan mukaisesti, ja jos käsittelylle ei ole muuta oikeudellista perustetta;

    • rekisteröity vastustaa käsittelyä 21 artiklan 1 kohdan mukaisesti eikä käsittelylle ole pakottavia oikeutettuja perusteita tai rekisteröity vastustaa käsittelyä 21 artiklan 2 kohdan mukaisesti;

    • henkilötietoja on käsitelty laittomasti;

    • henkilötiedot on poistettava unionin tai jäsenvaltion lainsäädännön mukaisen rekisterinpitäjän oikeudellisen velvoitteen noudattamiseksi;

    • henkilötiedot on kerätty 8 artiklan 1 kohdassa tarkoitettujen tietoyhteiskunnan palvelujen tarjoamisen yhteydessä.

  2. Jos rekisterinpitäjä on julkistanut henkilötiedot ja on 1 kohdan mukaisesti velvollinen poistamaan henkilötiedot, rekisterinpitäjän on käytettävissä olevan tekniikan ja toteutuskustannukset huomioon ottaen toteutettava kohtuulliset toimenpiteet, mukaan lukien tekniset toimenpiteet, ilmoittaakseen rekisterinpitäjille, jotka käsittelemään henkilötietoja, joita rekisteröity on pyytänyt kyseisten rekisterinpitäjien poistamaan kaikki linkit kyseisiin henkilötietoihin tai kopiot tai jäljennökset.

  3. Edellä 1 ja 2 kohtaa ei sovelleta siltä osin kuin käsittely on tarpeen:

    • sananvapauden ja tiedonvälityksen vapauden käyttämisestä;

    • sellaisen oikeudellisen velvoitteen noudattaminen, joka edellyttää unionin tai jäsenvaltion lainsäädännön mukaista käsittelyä, jota rekisterinpitäjä koskee, tai yleisen edun mukaisen tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;

    • yleisen edun vuoksi kansanterveyden alalla 9 artiklan 2 kohdan h ja i alakohdan sekä 9 artiklan 3 kohdan mukaisesti;

    • yleisen edun mukaista arkistointia, tieteellistä tai historiallista tutkimusta tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti siltä osin kuin 1 kohdassa tarkoitettu oikeus on omiaan tekemään mahdottomaksi tai vakavasti haitannut kyseisen direktiivin tavoitteiden saavuttamista. käsittely; tai

    • oikeudellisten vaatimusten esittämiseen, esittämiseen tai puolustamiseen.

Yhdistyneen kuningaskunnan GDPR-versio

17 artikla – Oikeus tietojen poistamiseen ("oikeus tulla unohdetuksi")

  1. Rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan häntä koskevat henkilötiedot ilman aiheetonta viivytystä ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, jos jokin seuraavista perusteista täyttyy:

    • henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne on kerätty tai muuten käsitelty;

    • rekisteröity peruuttaa suostumuksensa, johon käsittely perustuu 6 artiklan 1 kohdan a alakohdan tai 9 artiklan 2 kohdan a alakohdan mukaisesti, ja jos käsittelylle ei ole muuta oikeudellista perustetta;

    • rekisteröity vastustaa käsittelyä 21 artiklan 1 kohdan mukaisesti eikä käsittelylle ole pakottavia oikeutettuja perusteita tai rekisteröity vastustaa käsittelyä 21 artiklan 2 kohdan mukaisesti;

    • henkilötietoja on käsitelty laittomasti;

    • henkilötiedot on poistettava rekisterinpitäjään kuuluvan kansallisen lainsäädännön mukaisen oikeudellisen velvoitteen noudattamiseksi;

    • henkilötiedot on kerätty 8 artiklan 1 kohdassa tarkoitettujen tietoyhteiskunnan palvelujen tarjoamisen yhteydessä.

  2. Jos rekisterinpitäjä on julkistanut henkilötiedot ja on 1 kohdan mukaisesti velvollinen poistamaan henkilötiedot, rekisterinpitäjän on käytettävissä olevan tekniikan ja toteutuskustannukset huomioon ottaen toteutettava kohtuulliset toimenpiteet, mukaan lukien tekniset toimenpiteet, ilmoittaakseen rekisterinpitäjille, jotka käsittelemään henkilötietoja, joita rekisteröity on pyytänyt kyseisten rekisterinpitäjien poistamaan kaikki linkit kyseisiin henkilötietoihin tai kopiot tai jäljennökset.

  3. Edellä 1 ja 2 kohtaa ei sovelleta siltä osin kuin käsittely on tarpeen:

    • sananvapauden ja tiedonvälityksen vapauden käyttämisestä;

    • sellaisen oikeudellisen velvoitteen noudattamisesta, joka edellyttää kansallisen lainsäädännön mukaista käsittelyä, tai yleisen edun mukaisen tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;

    • yleisen edun vuoksi kansanterveyden alalla 9 artiklan 2 kohdan h ja i alakohdan sekä 9 artiklan 3 kohdan mukaisesti;

    • yleisen edun mukaista arkistointia, tieteellistä tai historiallista tutkimusta tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti siltä osin kuin 1 kohdassa tarkoitettu oikeus on omiaan tekemään mahdottomaksi tai vakavasti haitannut kyseisen direktiivin tavoitteiden saavuttamista. käsittely; tai

    • oikeudellisten vaatimusten esittämiseen, esittämiseen tai puolustamiseen.
Siirry aiheeseen

Tekninen kommentti

Rekisteröidyt eivät voi käyttää yleistä oikeuttaan tietojensa poistamiseen. Pyyntöjen on oltava jonkin alla olevista oikeudellisista kriteereistä:

  • tietoja ei enää tarvita alkuperäisiin tarkoituksiin;

  • suostumuksen peruuttaminen (jos käsittelyn koko peruste perustuu suostumukseen);

  • käsittelyä koskeva vastalause tai oikeutetun perusteen puuttuminen keräämiselle ja/tai käsittelylle;

  • laiton/laiton käsittely;

  • muun laillisen velvoitteen noudattaminen;

  • lastensuojeluun liittyviin tarkoituksiin.

Jos organisaatio on jostain syystä julkistanut henkilötietoja, sen on ryhdyttävä "kohtuullisiin toimiin" ilmoittaakseen muille rekisterinpitäjille – myös työntekijöille – ja kolmansille osapuolille tarpeesta poistaa tiedot rekisteröidyn pyynnöstä.

ISO 27701 lauseke 7.2.2 ja EU GDPR artikla 17

Tässä osiossa puhumme GDPR-artikkeleista 17 (3) (a), 17 (3) (b), 17 (3) (c), 17 (3) (d) ja 17 (3) (e).

Laillisen perustan tunnistaminen

Muodostaaksesi a dokumentoitu Oikeusperusta henkilökohtaisten tunnistetietojen käsittelylle ensisijaisesti, organisaatioiden tulee:

  1. pyytää suostumusta;

  2. aloittaa sopimus;

  3. noudattaa muita laillisia velvoitteita;

  4. suojella kyseisten henkilökohtaisten henkilötietojen päämiesten "tärkeitä etuja";

  5. suorittaa vain tehtäviä, jotka ovat yleisen edun mukaisia;

  6. varmistaa, että käsittelytoiminta muodostaa oikeutetun edun.

Organisaatioiden tulee myös harkita henkilökohtaisten tietojen "erityisluokkia", jotka liittyvät tietojen luokitusjärjestelmään (katso ISO 27701, kohta 7.2.8).

Tukee ISO 27701 -lausekkeita

  • ISO 27701 7.2.8

Katso alustamme
toiminnassa

Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi

Olemme kustannustehokkaita ja nopeita

Selvitä, kuinka se parantaa sijoitetun pääoman tuottoprosenttia
Hanki tarjous

ISO 27701 lauseke 7.3.5 ja EU GDPR artikla 17

Tässä osiossa puhumme GDPR-artikkeleista 17 (1) (a), 17 (1) (b), 17 (1) (c), 17 (1) (d), 17 (1) (e), 17 ( 1) f), 17 (2)

Mekanismien tarjoaminen henkilökohtaisten tunnistetietojen käsittelyyn

Lait vaihtelevat alueittain, mutta lainkäyttöalueet tarjoavat usein yksilöille oikeuden vastustaa tietojensa keräämistä, käsittelyä ja jakamista.

Tämän mukaisesti organisaatioiden tulee:

  1. tallentaa kaikki lakisääteiset vaatimukset, jotka koskevat erityisiä vastalauseita;

  2. antaa yksilöille selkeitä, ytimekkäitä ja helposti ymmärrettäviä ohjeita siitä, kuinka vastustaa tietojensa keräämistä, käsittelyä tai jakamista.

ISO 27701:n lauseke 8.3.1 ja EU:n GDPR:n artikla 17 (2)

Velvollisuudet PII-päämiehiä kohtaan

Organisaatioiden on varmistettava, että asiakkaille tarjotaan asianmukaiset keinot täyttää (eli organisaation) velvollisuutensa henkilötietojen rekisterinpitäjänä kolmella keskeisellä toiminta-alueella:

  1. lainsäädäntö;

  2. sääntely;

  3. sopimusperusteinen.

Hakemisto linkitetyistä EU:n GDPR-artikkeleista ja ISO 27701 -lausekkeista

GDPR-artikkeliISO 27701 -lausekeISO 27701 -tukilausekkeet
EU:n GDPR:n 17 artiklan 3 kohdan a alakohta - 17 artiklan 3 kohdan e alakohtaISO 27701 7.2.2ISO 27701 7.2.8
EU:n GDPR:n artiklat 17 (1) (a)–17 (2)ISO 27701 7.3.5Ei eristetty
EU:n GDPR:n artikla 17 (2)ISO 27701 8.3.1Ei eristetty

Miten ISMS.online auttaa

GDPR:ää pidetään yleisesti maailman tiukimpana tietosuoja- ja turvallisuussääntelynä, ja rikkomuksista seuraa merkittäviä sakkoja. Se voi olla moniselitteinen ja tulkinnanvarainen, mikä viittaa siihen, että organisaatioiden on tarjottava "kohtuullinen" henkilötietojen suojan taso.

Mutta tässä on hyvä uutinen. ISMS.onlinen avulla voit helposti hypätä suoraan matkallesi kohti GDPR-vaatimustenmukaisuutta ja helposti osoittaa suojaustasoa, joka ylittää "kohtuullisen", kaikki yhdessä turvallisessa ja aina käytettävissä olevassa paikassa.

ISMS.online-alustalla on sisäänrakennettu opastus jokaisessa vaiheessa yhdistettynä "Ota käyttöön, mukauta, lisää" -toteutustapamme kanssa, joten GDPR-asetuksesi osoittamiseen vaadittava vaiva vähenee huomattavasti. Hyödynnät myös useita tehokkaita aikaa säästäviä ominaisuuksia.

Lisätietoja: varaa lyhyt demo tänään.

Katso, kuinka voimme auttaa sinua

Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi

Etkö ole varma rakentaako vai ostaako?

Löydä paras tapa saavuttaa ISMS-menestys

Hanki ilmainen opas

ISMS.online tukee nyt ISO 42001 -standardia - maailman ensimmäistä tekoälyn hallintajärjestelmää. Napsauta saadaksesi lisätietoja