Article 18 📖 GDPR. Right to restriction of processing

Статья 18 GDPR. Право на ограничение обработки

Article 18 GDPR. Right to restriction of processing

1. Субъект данных вправе запросить от контролёра ограничить обработку при одном из следующих условий:

1. The data subject shall have the right to obtain from the controller restriction of processing where one of the following applies:

Expert commentary

Author

Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP

Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

Ask a question

(a) субъект данных оспаривает точность персональных данных – на срок, позволяющий контролёру проверить точность персональных данных;

(a) the accuracy of the personal data is contested by the data subject, for a period enabling the controller to verify the accuracy of the personal data;

(b) обработка является незаконной и субъект данных возражает против удаления персональных данных и требует вместо этого ограничить их использование;

(b) the processing is unlawful and the data subject opposes the erasure of the personal data and requests the restriction of their use instead;

(с) контролёр больше не нуждается в персональных данные для обработки, но они необходимы субъекту данных для заявления, осуществления или оспаривания правовых требований и исков;

(c) the controller no longer needs the personal data for the purposes of the processing, but they are required by the data subject for the establishment, exercise or defence of legal claims;

(d) субъект данных подал возражение против обработки в соответствии со статьей 21(1) – до завершения проверки, превалируют ли легитимные основания контролёра над основаниями возражения субъекта данных.

(d) the data subject has objected to processing pursuant to Article 21(1) pending the verification whether the legitimate grounds of the controller override those of the data subject.

Статья 21 GDPR. Право на возражение

Article 21 GDPR. Right to object

1. Субъект данных, по основаниям, связанным с его/ее конкретной ситуацией, имеет право в любой момент заявить возражение против обработки своих персональных данных, которая базируется на пункте (e) или (f) Статьи 6(1), в том числе против профилирования, основанного на данных положениях. Контролёр не в праве далее обрабатывать персональные данные, пока не продемонстрирует наличие убедительных легитимных оснований для обработки, которые превалируют над интересами, правами и свободами субъекта данных, или для заявления, осуществления или оспаривания правовых требований и исков.

1. The data subject shall have the right to object, on grounds relating to his or her particular situation, at any time to processing of personal data concerning him or her which is based on point (e) or (f) of Article 6(1), including profiling based on those provisions. The controller shall no longer process the personal data unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject or for the establishment, exercise or defence of legal claims.

[…]

2. Если обработка была ограничена согласно параграфу 1, указанные персональные данные, должны подвергаться обработке за исключением хранения только с согласия субъекта данных либо для заявления, осуществления или оспаривания правовых требований и исков или для защиты прав другого физического или юридического лица, или по причинам важного публичного интереса Союза или государства-члена.

2. Where processing has been restricted under paragraph 1, such personal data shall, with the exception of storage, only be processed with the data subject’s consent or for the establishment, exercise or defence of legal claims or for the protection of the rights of another natural or legal person or for reasons of important public interest of the Union or of a Member State.

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 18(2) GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.

[…]

3. Перед снятием ограничения на обработку контролёр должен проинформировать об этом субъекта данных, которой добился ограничения обработки в соответствии с параграфом 1.

3. A data subject who has obtained restriction of processing pursuant to paragraph 1 shall be informed by the controller before the restriction of processing is lifted.

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 18(3) GDPR:

7.3.2 Determining information for PII principals

Control

The organization should determine and document the information to be provided to PII principals regarding the processing of their PII and the timing of such a provision.

Implementation guidance

The organization should determine the legal, regulatory and/or business requirements for when information is to be provided to the PII principal (e.g. prior to processing, within a certain time from when it is requested, etc.) and for the type of information to be provided.

[…]

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO – https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО “Дата Прайваси Офис”.

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Expert commentary ISO 27701 Recitals Leave a comment

Expert commentary

The right to restriction of processing is one of the eight rights granted by the GDPR, but it is not the easiest one to understand at first glance. It can be summed up as an obligation on behalf of the controller to retain data, but they can neither be processed in any other manner nor modified…

[…]

Author

Louis-Philippe Gratton PhD, LLM

Privacy Expert

Ask a question

Data Subject Request Letter Sample

Concern: Request to restrict the processing of my personal data

Dear Madam, Dear Sir,

I am entitled to ask you to restrict the processing of my personal data under Article 18(1) of the General Data Protection Regulation (GDPR)…

[…]

Author

Louis-Philippe Gratton PhD, LLM

Privacy Expert

Ask a question

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 18 GDPR:

7.3.4 Providing mechanism to modify or withdraw consent

Control

The organization should provide a mechanism for PII principals to modify or withdraw their consent.

Implementation guidance

The organization should inform PII principals of their rights related to withdrawing consent (which may vary by jurisdiction) at any time, and provide the mechanism to do so.

[…]

Recitals

(67) Методы, с помощью которых можно ограничить обработку персональных данных, могут включать, среди прочего: временный перенос выбранных данных в другую систему обработки, чтобы сделать выбранные персональные данные недоступными для пользователей, либо временное удаление опубликованных данных с сайта. При наличии системы автоматизированного заполнения, ограничения обработки должны быть в целом обеспечены техническими мерами таким образом, чтобы персональные данные не подвергались дальнейшей обработке и не могли быть изменены. Тот факт, что обработка персональных данных ограничена, должен быть четко определен в системе.

(67) Methods by which to restrict the processing of personal data could include, inter alia, temporarily moving the selected data to another processing system, making the selected personal data unavailable to users, or temporarily removing published data from a website. In automated filing systems, the restriction of processing should in principle be ensured by technical means in such a manner that the personal data are not subject to further processing operations and cannot be changed. The fact that the processing of personal data is restricted should be clearly indicated in the system.