Article 18
Documentation keeping
Right to Restriction
Right to restrict processing of personal data
restriction of processing limit processing article 18
Overview
Legal Framework
Article 18 of the AI Act establishes the data subject's right to obtain from a provider or deployer of a high-risk AI system the restriction of the processing of their personal data. This right applies under specific circumstances: when the accuracy of the personal data is contested by the data subject, when the processing is unlawful, when the controller no longer needs the data for the original purposes but the data subject requires it for legal claims, or when the data subject has objected to processing pending verification of overriding legitimate grounds. Restriction typically means marking the stored personal data to limit its future processing.
Practical Application
While specific AI Act jurisprudence is still developing, the foundational GDPR concept of "restriction of processing" informs its application. As illustrated in cases like Smaranda Bara and Others, where data transfers between public bodies constituted processing, the right to restriction is triggered by the processing operation itself, not merely by storage. For high-risk AI systems, this means restriction could apply to data flows within the system's lifecycle, such as halting the use of specific personal data for model training or algorithmic decision-making while verifying a contestation. The restriction must be implemented in a way that ensures the data is not processed for other purposes, except for storage or as permitted by law (e.g., for legal claims). Organizations must have technical and organizational measures to isolate and flag restricted data within their AI systems.
Key Considerations
- Implement Technical Flagging: High-risk AI systems must be designed with functionality to technically "flag" or segregate personal data for which processing has been restricted, ensuring it is not input into the system's operational or training processes.
- Verify Triggering Grounds: Establish clear internal procedures to assess and validate data subject requests against the four specific legal grounds in Article 18 AI Act before implementing a restriction.
- Lift Restriction Formally: If a restriction is lifted (e.g., after verifying data accuracy or resolving an objection), document the rationale and notify the data subject, as required by Article 18(3).
Laws (12)
Article 18
Bewaring van documentatie
Article 18
Verslag over de stand van zaken op het gebied van de cyberbeveiliging in de Unie
Article 18
Report on the state of cybersecurity in the Union
Article 18
Kennisgeving van vermoedens van strafbare feiten
Article 18
Notification of suspicions of criminal offences
Artikel 18
Bestuurlijke boete aan overheden
Article 19
Notification obligation regarding rectification or erasure of personal data or restriction of processing
Recital 67
Recital 156
Article 18
Right to restriction of processing
Article 18
Recht op beperking van de verwerking
Case Law (30)
View all 30Rechtbank Den Haag
Rechtbank Den Haag
Aanvraag verblijfsdocument EU/EER. Beroep is ongegrond. Artikel 20 VWEU, geen zeer bijzondere afhankelijkheidsrelatie zoals bedoeld in arrest K.A., geen medische stukken, artikel 7 Handvest en artikel 8 van het EVRM, hoorplicht, zorgvuldige besluitvorming, artikel 31 van het Verdrag van Wenen inzake het Verdragenrecht, SIS-signalering.
Woo-verzoek. Naam en andere pgg die herleidbaar zijn tot de medewerker van de gemeente hoeft niet openbaar
Rechtbank
Woo-verzoek, beroep gegrond, het bestreden besluit is niet zorgvuldig tot stand gekomen en onvoldoende gemotiveerd, de zoekslag is onvoldoende, onvoldoende gemotiveerd dat facturen van de advocaat niet onder het verzoek vallen, onvoldoende gemotiveerd dat sprake is van persoonlijke beleidsopvattingen.
AVG wél, maar UAVG niet van toepassing in Risepoint geschil. Beroep op exhibitieplicht wordt niet uitgesloten door een mogelijkheid de eigen pgg te verkrijgen via de AVG. Verzoek strandt echter bij gebrekkige onderbouwing van het belang.
Rechtbank
Verzoek op grond van de AVG en 194 Rv. UAVG niet van toepassing op Maltese entiteiten, spoorwissel naar dagvaardingsprocedure. Inzageverzoek 194 Rv afgewezen.
Rechtbank Midden-Nederland
Rechtbank Midden-Nederland
-
Inschakelen derde partij voor heffing grondbelasting o.m. door geheimhoudingsplicht voorzien van voldoende waarborgen.
Dutch Courts
In een aantal zaken betreffende een viertal hotels is in hoger beroep uitspraak gedaan in één of meer problemen in de grondbelasting. Het betreft de onderwerpen: gevolgen uitblijven van de uitspaken op bezwaar en uitblijven schriftelijke mededeling, gevolgen uitblijven van hoorgesprekken, een beroep op de geheimhoudingsplichting van de Inspecteur (schending artikel I.16 lid 2 en lid 3 van de Staatsregeling van Aruba en artikel 8 EVRM), tariefkwestie en bevoegdheid van de belastingrechter ten aanzien van ontheffingsverzoeken ex artikelen 35/37 van de Landsverordening grondbelasting (LGB).
Woo- verzoek inzake o.m. vaststellingosvk afgewezen omdat daarin afspraken in zijn opgenomen van tussen gemeente en een ander persoon die zien op de woonsituatie van deze andere persoon.
Rechtbank
.
Misbruik identificerende persoonsgegevens, niet zijnde biometrische persoonsgegevens.
Rechtbank
Verdachte heeft gedurende een langere periode, vanuit verschillende bedrijven, een veelheid aan strafbare feiten gepleegd. Bewezenverklaring van het meermaals buiten noodzaak verrichten van medische handelingen waardoor de aanmerkelijke kans op benadeling van de gezondheid van anderen is ontstaan, het beïnvloeden van een getuige, het meermaals opzettelijk en wederrechtelijk misbruik maken van persoonsgegevens van een ander, verduistering uit dienstbetrekking (meermaals gepleegd) en het meermalen plegen van (het feitelijk leidinggeven aan) het plegen van valsheid in geschrifte en het opzettelijk gebruik maken van valse geschriften. Verweer partiële nietigheid dagvaarding verworpen. Overschrijding van de redelijke termijn. Verdachte wordt veroordeeld tot een gevangenisstraf van 22 maanden en een beroepsverbod voor het uitoefenen van enig beroep in de zorg gedurende 60 maanden. Vorderingen benadeelde partijen deels toegewezen.
Internationale doorgifte naar Turkije?
Rechtbank
MK. Intrekking en terugvordering AIO-aanvulling. Schending inlichtingenplicht. Vermogen in het buitenland.
Dutch Courts
Dutch Courts
Herziening en terugvordering WAO-uitkering. Schending inlichtingenplicht. Oplegging boete. Appellant heeft werkzaamheden verricht en de daaruit ontvangen inkomsten niet doorgegeven. De Raad volgt het Uwv dat er, gezien de aflossingscapaciteit van appellant, geen dringende reden is om de boete te verlagen.
Rechtbank Amsterdam
Rechtbank Amsterdam
Gevraagde voorzieningen geweigerd
Gerechtshof
Gerechtshof
Parkvereniging. Vereniging van eigenaren vakantiepark is niet bevoegd om in haar huishoudelijk reglement beperkingen aan het gebruik van de privéchalets op te leggen die niet rechtstreeks voortvloeien uit de statuten en mag overtreding daarvan niet sanctioneren met boeten of een toegangsverbod tot de parkinfrastructuur.
Verzoeken om inzage in de verwerking (artikel 15 AVG), verwijdering (artikel 17 AVG), rectificatie (artikel 16 AVG) en...
Rechtbank
Verzoeken om inzage in de verwerking (artikel 15 AVG), verwijdering (artikel 17 AVG), rectificatie (artikel 16 AVG) en beperking van de verwerking (artikel 18 AVG) van persoonsgegevens in klachtdossier bij de deken. Verzoeken door deken geweigerd (inzage beperkt) op grond van geheimhoudingsplicht van artikel 45a, tweede lid, van de Advocatenwet. Rechtbank van oordeel dat er een gebrek aan de besluiten zit. Algemene verwijzing naar een weigeringsgrond in het licht het inzageverzoek volstaat niet. De deken moet toelichten welk concreet belang zich in het licht van de weigeringsgrond tegen het inzageverzoek verzet en – als dat niet is te geven – de gevraagde inzage alsnog verlenen. Hetzelfde geldt ten aanzien van eisers verzoeken om zijn persoonsgegevens te verwijderen, de verwerking daarvan te beperken en die gegevens te rectificeren. Duidelijk is dat de deken richting de Raad van Discipline die verwerking heeft beperkt, maar niet duidelijk is tot welke persoonsgegevens van eiser die beperking zich uitstrekt. Rechtbank geeft de deken in overweging stukken over de klachtprocedure met toepassing van artikel 8:29 van de Awb aan de rechtbank verstrekken. De deken krijgt gelegenheid tot herstel van het gebrek in de besluitvorming.
Österreichische Datenschutzbehörde v CRIF
C-487/21 (Österreichische Datenschutzbehörde)
Right of access includes obtaining a copy in commonly used electronic form.
SERGEJS BUIVIDS v. THE AUGSTĀKĀ TIESA
Buivids
Processing: A video recording of persons which is stored on a continuous recording device — the hard disk drive of that system — constitutes automatic processing of personal data (see, Ryneš). (¶34). Also, loading personal data onto an internet page constitutes processing since placing information on an internet page entails the operation of loading that page onto a server and the operations necessary to make that page accessible to people who are connected to the internet which are performed, a
WELTIMMO S.R.O. V. NEMZETI A DATVEDELMI ES INFORMACIOSZABADSAGH ATOSAG (HUNGARIAN DPA), 1.10.15 (“WELTIMMO”)
Weltimmo
Definition of processing: The operation of loading personal data on an internet page constitutes processing. (¶37)
SMARANDA BARA ET AL. V. PRESEDINTELE CASEI NATIONALE DE ASIGURARI DE SANATATE (CNAS) ET AL., 1.10.2015 (“BARA”)
Bara
Processing: Both the transfer of the data by ANAF, and the subsequent processing by CNAS, constitute processing of personal data. (¶ 29)
RYNES V. ÚŘAD PRO OCHRANU OSOBNICH ÚDAJŮ, 11.12.2014 (“RYNES”)
Rynes
Personal data: The image of a person recorded by a camera constitutes personal data because it makes it possible to identify the person concerned. (¶ 22)
GOOGLE SPAIN SL V. AEPD (THE DPA) & MARIO COSTEJA GONZALEZ, 13.May.2014 (“GOOGLE v. Spain”)
Google Spain
Processing: The operation of loading personal data on an internet page must be considered processing (as the court held in Lindquist). Crawling the internet in search of information and publishing it through a search engine constitutes processing, regardless of the fact that the operator of the search engine also carries out the same operations in respect of other types of information and does not distinguish between the latter and the personal data. It is not necessary that the personal data be
ECLI:NL:GHSHE:2013:6109 Gerechtshof 's-Hertogenbosch , 19-12-2013 / 10-00649 en 10-00650
Gerechtshof 's-Hertogenbosch
De Inspecteur mag zowel voor de belastingheffing als voor de verhogingen gebruik maken van de door belanghebbende overgelegde bankstukken. Er is geen sprake van schending van het nemo tentur-beginsel. De Inspecteur heeft aannemelijk gemaakt dat hij voldoende voortvarend heeft gehandeld en dat hij de navorderingsaanslagen tijdig heeft verzonden. Het Hof handhaaft de navorderingsaanslagen, maar vermindert de verhogingen nader, in verband met overschrijding van de redelijke termijn in hoger beroep.
SCHWARZ V. BOCHUM, 17.10.2014 (“SCHWARZ”)
Schwarz
Processing: Taking and storing fingerprints constitute processing. (¶¶ 28–29)
Guidance (10)
Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them
Guidelines on deceptive design patterns in social media platform interfaces: how to recognise and avoid them
These Guidelines offer practical recommendations to social media providers as controllers of social media, designers and users of social media platforms on how to assess and avoid so-called 'deceptive design patterns' in social media interfaces that infringe on GDPR requirements. To this end, the EDPB recommends that controllers make use of interdisciplinary teams, consisting, among others, of designers, data protection officers and decision-makers. It is important to note ...
Guidelines 01/2022 on data subject rights - Right of access
Guidelines on data subject rights - Right of access
The right of access of data subjects is enshrined in Art. 8 of the EU Charter of Fundamental Rights. It has been a part of the European data protection legal framework since its beginning and is now further developed by more specified and precise rules in Art. 15 GDPR.
Version history
Guidelines on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies
Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679
guidelines toestemming
Guidelines 05/2020 on consent under Regulation 2016/679
Guidelines on consent
Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen
guidelines privacy by design en default
Richtsnoeren 3/2022 betreffende het herkennen en vermijden van misleidende ontwerppatronen in de interfaces van socialemediaplatforms
guidelines misleidende ontwerppatronen
Deze richtsnoeren bieden praktische aanbevelingen aan aanbieders van sociale media als verwerkingsverantwoordelijken van sociale media, ontwerpers en gebruikers van socialemediaplatforms, over het beoordelen en vermijden van zogenaamde 'misleidende ontwerp patronen' in de interfaces van sociale media die inbreuk maken op de vereisten van de AVG. Daartoe beveelt de EDPB aan dat verwerkingsverantwoordelijken gebruikmaken van interdisciplinaire teams, bestaande uit onder meer ontwerpers, func...
Richtsnoeren 10/2020 met betrekking tot de beperkingen krachtens artikel 23 AVG
guidelines beperkingen rechten van betrokkenen
Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement
Guidelines on the use of facial recognition technology in the area of law enforcement
More and more law enforcement authorities (LEAs) apply or intend to apply facial recognition technology (FRT). It may be used to authenticate or to identify a person and can be applied on videos (e.g. CCTV) or photographs. It may be used for various purposes, including to search for persons in police watch lists or to monitor a person's movements in the public space. FRT is built on the processing of biometric data , therefore, it encompasses the processing of special categories ...
Guidelines 10/2020 on restrictions under Article 23 GDPR
Guidelines on restrictions under Article 23 GDPR