Navigasjon
GDPR > Artikkel 11. Behandling som ikke krever identifikasjon
Last ned PDF

Artikkel 11 GDPR. Behandling som ikke krever identifikasjon

1. Dersom formålene med den behandlingsansvarliges behandling av personopplysninger ikke krever eller ikke lenger krever at den behandlingsansvarlige kan identifisere en registrert, skal den behandlingsansvarlige ikke ha plikt til å bevare, innhente eller behandle ytterligere opplysninger for å identifisere den registrerte utelukkende med det formål å oppfylle kravene i denne forordning.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 11(1) GDPR:

7.4.5 PII de-identification and deletion at the end of processing

Control

The organization should either delete PII or render it in a form which does not permit identification or re-identification of PII principals, as soon as the original PII is no longer necessary for the identified purpose(s).


for å få tilgang til hele teksten

2. Dersom den behandlingsansvarlige i tilfeller nevnt i nr. 1 i denne artikkel kan påvise at vedkommende ikke er i stand til å identifisere den registrerte, skal den behandlingsansvarlige, dersom det er mulig, informere den registrerte om dette. I slike tilfeller får artikkel 15-20 ikke anvendelse, bortsett fra når den registrerte for å utøve sine rettigheter i henhold til nevnte artikler gir ytterligere opplysninger som gjør det mulig å identifisere vedkommende.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 11(2) GDPR:

7.3.2 Determining information for PII principals

Control

The organization should determine and document the information to be provided to PII principals regarding the processing of their PII and the timing of such a provision.

Implementation guidance

The organization should determine the legal, regulatory and/or business requirements for when information is to be provided to the PII principal (e.g. prior to processing, within a certain time from when it is requested, etc.) and for the type of information to be provided.

Depending on the requirements, the information can take the form of a notice. Examples of types of information that can be provided to PII principals are:

 


for å få tilgang til hele teksten

Relaterte tekster
Fortalepunkter Legg igjen en kommentar
Fortalepunkter

57) Dersom personopplysningene som behandles av en behandlingsansvarlig, ikke gjør det mulig for den behandlingsansvarlige å identifisere en fysisk person, bør den behandlingsansvarlige ikke ha plikt til å innhente ytterligere opplysninger for å identifisere den registrerte utelukkende med det formål å overholde bestemmelsene i denne forordning. Den behandlingsansvarlige bør imidlertid ikke nekte å ta imot flere opplysninger som den registrerte gir med henblikk på å utøve sine rettigheter. Identifikasjon bør omfatte digital identifikasjon av den registrerte, f.eks. ved hjelp av en autentiseringsmekanisme, f.eks. de samme legitimasjonsopplysninger som den registrerte bruker for å logge seg inn på den nettbaserte tjenesten som tilbys av den behandlingsansvarlige.

64) Den behandlingsansvarlige bør treffe alle rimelige tiltak for å kontrollere identiteten til en registrert som anmoder om innsyn, særlig i forbindelse med nettjenester og nettidentifikatorer. En behandlingsansvarlig bør ikke lagre personopplysninger utelukkende for å kunne svare på mulige anmodninger.

Legg igjen en kommentar
[js-disqus]