Artikel 18 i GDPR

Rätt till begränsning av behandling

Rätt till begränsning av behandling av personuppgifter är en av de åtta (8) fundamentala rättigheter som registrerade har enligt GDPR. Artikel 18 i GDPR reglerar denna rättighet. Enligt denna rättighet, kan registrerade begära att ett företag begränsar behandlingen av deras personuppgifter. Detta gäller under vissa särskilda situationer.  

Registrerades Rätt till begränsning av behandling

Kort sagt innebär denna rättighet att företag ska markera personuppgifterna. Syftet är att säkerställa att företaget, i framtiden, endast behandlar personuppgifterna för specifika avgränsade syften. 

När en registrerad begär att få sina personuppgifter rättade, kan de även begära rätten till begränsning av behandling. Detta innebär att företagets behandling av personuppgifterna ska begränsas under tiden företaget utreder ifall personuppgifterna är korrekta.

Kom ihåg att företaget måste informera den registrerade om begränsningens upphörande, innan det sker.

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

3 organisatoriska åtgärder

  • Behörighetsstyrning
  • Säkerhetskultur
  • Utbildning för anställda

Företaget måste informera tredje parter om begränsningen

Om företaget begränsar behandling av personuppgifter, måste företaget informera om detta till tredje parter som de har delat personuppgifterna till. Artikel 19 i GDPR reglerar denna informationsskyldighet. Detta gäller under förutsättning att det inte visar sig vara omöjligt att lämna sådan information. Undantag gäller även om det skulle medföra en oproportionerlig ansträngning för företaget. Om den registrerade begär det, ska företaget ge information om alla tredje parter som företaget har delat personuppgifterna med. 

Situationer som ger den registrerade rätt till begränsning av behandling av dennes personuppgifter

Här är några exempel på situationer som ger den registrerade rätt till begränsning av behandling av dennes personuppgifter:

Periodic penalty payments

Felaktiga personuppgifter

När den registrerade anser att de behandlade personuppgifterna är felaktiga. Under tiden företaget utreder och kontrollerar om personuppgifterna är korrekta, ska behandlingen av de ifrågasatta personuppgifterna begränsas.

Olaglig behandling

Om behandlingen av personuppgifterna inte är laglig och den registrerade begär en begränsning av deras användning istället för att personuppgifterna ska raderas.

Restrict or ban processing

Om registrerade behöver personuppgifterna

När företaget inte längre behöver personuppgifterna för det ursprungliga ändamålet de blev insamlade för, men den registrerade har behov av dem. Exempelvis för att den registrerade ska kunna göra gällande, försvara eller fastställa rättsliga anspråk.

It may be possible for data subjects to claim damages

Berättigat intresse

Ifall företaget behandlar personuppgifterna efter en intresseavvägning med stöd i berättigat intresse som laglig grund, och den registrerade har invänt mot behandlingen. Under tiden som företaget kontrollerar ifall den registrerades berättigade skäl väger tyngre än företagets berättigade skäl till behandlingen, kan behandlingen av personuppgifterna begränsas.

I praktiken kan ett företag begränsa personuppgifter på exempelvis följande sätt: 

  • När ett företag publicerar personuppgifter såsom bilder med personer på sin webbplats kan den registrerade begära att företaget ska avlägsna bilden. Det behöver inte innebära att företaget upphör helt med behandlingen, utan den kan bli begränsad. 
  • Ett företag kan överföra de personuppgifter som den registrerade vill få begränsade till ett annat system, där de blir mindre tillgängliga.

Behandling av personuppgifter efter implementering av en begränsning

Ifall behandling av en registrerades personuppgifter har begränsats, får personuppgifterna endast lagras av företaget. Det finns dock några undantag från denna huvudregel, nämligen följande: 

Samtycke

Om den registrerade ger sitt samtycke till fortsatt behandling även inom en begränsning, får behandlingen ske. Observera att samtycken alltid måste vara aktiva och frivilliga.

Rättsliga anspråk

Ifall företaget behöver behandla begränsade personuppgifter för att kunna göra gällande, försvara eller fastställa rättsliga anspråk.

Skydda någons rättigheter

Om behandlingen av de begränsade personuppgifterna är nödvändig för att skydda någon annan fysisk eller juridisk persons rättigheter.

Allmänintresse

Ifall behandlingen av de begränsade personuppgifterna är nödvändig för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat.

Andra rättigheter i GDPR

Rätt att göra invändningar

En rättighet som registrerade har enligt GDPR är att invända mot en viss behandling av deras personuppgifter. I de flesta fall ska företaget då radera personuppgifterna eller begränsa behandlingen. Däremot gäller detta inte alltid. Det finns nämligen vissa undantag som ger företaget rätt till fortsatt behandling av personuppgifterna, trots en invändning. Rätt att göra invändningar gäller om syftet med behandlingen är av allmänt intresse, när behandlingen utförs som ett led i myndighetsutövning, eller när den lagliga grunden för behandlingen är berättigat intresse.  

Vill du lära dig mer?

Läs mer
Rulla till toppen