Kuinka osoittaa GDPR-artiklan 21 noudattaminen

GDPR-yhteensopivuusohjelmisto

Varaa demo

kulttuuri,sekoitus,nuorten,ihmisten,työssä,yrityksessä

GDPR 21 artikla sisältää ehdot, jotka on täytettävä, ennen kuin rekisteröity voi onnistuneesti vastustaa tietojensa käsittelyä.

On tärkeää huomata, että rekisteröidyillä ei ole yleistä oikeutta vastustaa käsittelytoimia, vaan oikeus vastustaa rajoittuu tiettyihin skenaarioihin.

GDPR artiklan 21 lakiteksti

EU:n GDPR-versio

Oikeus vastustaa

  1. Rekisteröidyllä on oikeus erityiseen tilanteeseensa liittyvistä syistä milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä, joka perustuu 6 artiklan 1 kohdan e tai f alakohtaan. mukaan lukien näihin säännöksiin perustuva profilointi. Rekisterinpitäjä ei enää käsittele henkilötietoja, ellei rekisterinpitäjä osoita käsittelylle pakottavia oikeutettuja syitä, jotka syrjäyttävät rekisteröidyn edut, oikeudet ja vapaudet, tai oikeudellisten vaatimusten esittämiselle, esittämiselle tai puolustamiselle.

  2. Jos henkilötietoja käsitellään suoramarkkinointitarkoituksiin, rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä tällaista markkinointia varten, mukaan lukien profilointi siltä osin kuin se liittyy tällaiseen suoramarkkinointiin.

  3. Jos rekisteröity vastustaa käsittelyä suoramarkkinointitarkoituksiin, henkilötietoja ei enää käsitellä tällaisiin tarkoituksiin.

  4. Viimeistään ensimmäisen yhteydenoton yhteydessä rekisteröidyn kanssa 1 ja 2 kohdassa tarkoitettu oikeus on saatettava rekisteröidyn tietoon ja se on esitettävä selvästi ja erillään muista tiedoista.

  5. Tietoyhteiskunnan palvelujen käytön yhteydessä ja direktiivin 2002/58/EY estämättä rekisteröity voi käyttää oikeuttaan vastustaa automaattisia keinoja käyttäen teknisiä eritelmiä.

  6. Jos henkilötietoja käsitellään tieteellisiin tai historiallisiin tarkoituksiin tai tilastollisiin tarkoituksiin 89 artiklan 1 kohdan mukaisesti, rekisteröidyllä on hänen erityiseen tilanteeseensa liittyvistä syistä oikeus vastustaa häntä koskevien henkilötietojen käsittelyä tai häntä, paitsi jos käsittely on tarpeen yleisen edun mukaisen tehtävän suorittamiseksi.

Yhdistyneen kuningaskunnan GDPR-versio

Yhdistyneen kuningaskunnan GDPR on suurelta osin samanlainen kuin EU:n GDPR-ote, ainoa ero näkyy alla:

Oikeus vastustaa

5. Tietoyhteiskunnan palvelujen käytön yhteydessä rekisteröity voi käyttää oikeuttaan vastustaa automaattisia keinoja käyttäen teknisiä eritelmiä, huolimatta siitä kansallisesta lainsäädännöstä, joka on annettu ennen IPR:n valmistumispäivää Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY täytäntöönpanemiseksi. 12. heinäkuuta 2002 annettu neuvosto henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla.

Tekninen kommentti

Yksityishenkilöt voivat vastustaa tietojensa käsittelyä kolmella keskeisellä tavalla:

  1. "oikeutettua etua" tai yleisen edun mukaista tehtävää (katso jäljempänä) ei ole yksilöity;

  2. suoramarkkinointitarkoituksiin;

  3. historiallisiin tai tilastollisiin tarkoituksiin (ellei se ole yleisen edun mukaista).

"oikeutetut edut"

GDPR on vahvasti riippuvainen siitä, että rekisteröity osoittaa "oikeutetun edun" ennen kuin hän vastustaa tietojensa käsittelyä. Tämän on sisällettävä jotkin tai kaikki alla olevista:

  • heidän omaan henkilökohtaiseen tilanteeseensa liittyvät skenaariot;

  • pakottavat oikeutetut perusteet;

  • toimet oikeudellisen vaatimuksen esittämiseksi;

  • tietojen profilointi (käsittelymuoto, joka evaluoi tietyt luonnolliseen henkilöön liittyvät henkilökohtaiset näkökohdat, jotka perustuvat niihin liittyviin tietoihin, ilman lopullisia tietoja, joihin voidaan luottaa);

  • käyttäessään oikeuttaan rajoittaa käsittelyä tai poistamista.
Siirry aiheeseen

Olemme kustannustehokkaita ja nopeita

Selvitä, kuinka se parantaa sijoitetun pääoman tuottoprosenttia
Hanki tarjous

ISO 27701:n lauseke 7.3.2 ja EU:n GDPR:n artikla 21 (4)

Tietojen määrittäminen PII-päämiehille

Organisaatioiden on dokumentoitava luettelo vaatimuksista, jotka määräävät, milloin ja miten tiedot on toimitettava henkilökohtaisten tunnistetietojen päämiehille, mukaan lukien:

  • kerättävän ja käytettävän PII:n tarkoitus;

  • kuinka ottaa yhteyttä rekisterinpitäjään;

  • olosuhteet, joissa henkilökohtainen tunniste on saatu;

  • voimassa olevat sopimus- ja/tai lakisääteiset vaatimukset;

  • kuinka yksilöt voivat poistaa suostumuksensa;

  • kuinka PII siirretään lähteestä toiseen;

  • kuinka rekisteröidyt voivat kirjata valituksen;

  • organisaation sisäinen päätöksentekoprosessi;

  • milloin tiedot on poistettava (säilytysajat).

ISO 27701:n lauseke 7.3.3 ja EU:n GDPR:n artikla 21 (4)

Tietojen antaminen henkilökohtaisten tunnistetietojen päämiehille

Organisaatioiden on toimitettava "selkeät ja helposti saatavilla olevat" tiedot, jotka osoittavat, kuka on henkilötietojen rekisterinpitäjä ja miten niitä käsitellään.

Kaikki tiedot on annettava virheettömästi, kirjoitettuna helposti ymmärrettävällä kielellä (esim. mahdollisimman vapaasti ammattislangista) ja välitettävä yhteisessä muodossa (katso ISO 27701, kohta 7.3.2).

Tukee ISO 27701 -lausekkeita

  • ISO 27701 7.3.2

ISO 27701 lauseke 7.3.5 ja EU GDPR artikla 21

Tässä osiossa puhumme GDPR-artikkeleista 21 (1), 21 (2), 21 (3), 21 (5) ja 21 (6).

Mekanismin tarjoaminen henkilökohtaisten tunnistetietojen käsittelyyn

Lait vaihtelevat alueittain, mutta yleensä lainkäyttöalueet antavat henkilöille oikeuden vastustaa henkilökohtaisten tunnistetietojen keräämistä ja käsittelyä.

Organisaatioiden tulee:

  • dokumentoida ja noudattaa kaikkia lakisääteisiä vaatimuksia, jotka liittyvät esitettyihin erityisiin vastalauseisiin;

  • jakaa helposti ymmärrettävää tietoa siitä, miten yksilöt voivat vastustaa ja millä perusteilla.

Hakemisto linkitetyistä EU:n GDPR-artikkeleista ja ISO 27701 -lausekkeista

GDPR-artikkeliISO 27701 -lausekeISO 27701 -tukilausekkeet
EU:n GDPR:n artikla 21 (4)ISO 27701 7.3.2Ei eristetty
EU:n GDPR:n artikla 21 (4)ISO 27701 7.3.3ISO 27701 7.3.2
EU:n GDPR:n artiklan 21 (1), 21 (2), 21 (3), 21 (5) ja 21 (6)ISO 27701 7.3.5Ei eristetty

Miten ISMS.online auttaa

Olemme täällä auttamassa, kun tarvitset sitä. Jos et jostain syystä koet itseluottamuksen, kyvyn tai halun puuttua matkallasi GDPR:ään, voimme tarjota oman asiantuntijatiimimme saataville tai suositella jotakin luotetuista kumppaneistamme tehostamaan työtäsi.

Teemme tietojen kartoittamisesta yksinkertaisen tehtävän. Kaiken tallentaminen ja tarkistaminen on helppoa, kun lisäät organisaatiosi tiedot valmiiksi määritettyyn dynaamiseen Records of Processing Activity -työkaluun.

Jos pahin tapahtuu, olet valmis. Teemme rikkomusten työnkulkusi suunnittelusta ja viestimisestä helppoa sekä dokumentoimme ja opimme jokaisesta tapauksesta.

Lisätietoja: varaamalla 30 minuutin käytännön demon.

Katso ISMS.online
toiminnassa

Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi

Etkö ole varma rakentaako vai ostaako?

Löydä paras tapa saavuttaa ISMS-menestys

Hanki ilmainen opas

ISMS.online tukee nyt ISO 42001 -standardia - maailman ensimmäistä tekoälyn hallintajärjestelmää. Napsauta saadaksesi lisätietoja