GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

Artikkel 5 (1) (D) GDPR

Databeskyttelsesprinsippet om nøyaktighet

Det grunnleggende databeskyttelsesprinsippet om nøyaktighet under GDPR er også referert til som rettferdighetsprinsippet. Dette prinsippet er et av de syv prinsippene for databeskyttelse i GDPR. Kort sagt, prinsippet om nøyaktighet krever at selskaper behandler personopplysninger som er nøyaktige. Artikkel 5 (1) (d) i GDPR regulerer dette prinsippet.

Databeskyttelsesprinsippet om nøyaktighet under GDPR

Det er godt å starte fra premisset om at jo viktigere personopplysningene er, jo mer bør selskapet gjøre for å sikre nøyaktigheten av dataene. Dette betyr at selskapet ikke bare bør stole på nøyaktigheten av informasjonen som er gitt av den registrerte. Selskapene har derfor også et eget ansvar for å sikre dette. 

What breaches of the GDPR can lead to an administrative fine?

Hva betyr prinsippet om nøyaktighet?

Kort sagt betyr prinsippet om nøyaktighet under GDPR at: 

  • Riktig: Bedrifter som behandler personopplysninger må sørge for at de er nøyaktige. Hvis de ikke gjør det, vil de bli korrigert eller slettet. 
  • Oppdatert: Bedrifter bør holde personopplysninger oppdatert for å sikre at de er nøyaktige. 
  • Gjennomføringsprosedyrer: Bedrifter bør ha interne prosedyrer på plass for å håndtere eventuelle unøyaktige personopplysninger som behandles. 

Spesielt viktig i noen tilfeller

I noen tilfeller er nøyaktigheten av personopplysninger spesielt viktig. For eksempel når et selskap tar en beslutning som er avgjørende for den registrerte. Et praktisk eksempel er når et sykehus behandler unøyaktige personopplysninger. Konsekvensen kan være ødeleggende, noe som fører til tiltak som ikke er riktige og i verste fall farlige for den registrerte. Et utgangspunkt for bedrifter er at jo mer sensitive personopplysninger er, desto viktigere er midlene for å sikre at personopplysninger er nøyaktige. 

Registrerte personer har rett til å kontakte selskaper når deres personopplysninger er unøyaktige

Registrerte personer kan kontakte et selskap hvis personopplysningene deres er unøyaktige. For eksempel kan personopplysninger være feilstavet, ikke lenger oppdatert på grunn av en endring eller behovet for å supplere visse personopplysninger. I slike tilfeller skal selskapet rette opp personopplysningene eller slette dem. I tillegg skal selskapet som hovedregel informere de registrerte når slik aktivitet har funnet sted. 

What is the definition of anonymised data?

Gebyrer for å overholde denne retten til korrigering av personopplysninger

Selskaper har som hovedregel ikke rett til å kreve betaling for den registrertes rett til å få sine personopplysninger rettet. Det finnes imidlertid unntak. Dersom kravet om utbedring er urimelig, uberettiget eller gjentatt flere ganger av samme person, kan selskapet ha rett til å få betalt gebyr, men gebyret må være rimelig. I tillegg kan selskapet i slike tilfeller avvise saken. Hva en urimelig eller uberettiget forespørsel betyr er vanligvis hvis den kommer tilbake fra samme person. Vær oppmerksom på at selskapet må kunne rettferdiggjøre sin beslutning.

Subjektivt integritetskänsliga personuppgifter

Opprette interne prosedyrer

For å oppfylle de registrertes rett bør selskapet innføre interne framgangsmåter som skal følges av de ansatte. Vær oppmerksom på at utbedring må skje uten unødig forsinkelse. Normalt innen én måned fra datoen da registranten sendte inn anmodningen. På den annen side har selskapet rett til å forlenge fristen i visse konkrete tilfeller. For eksempel dersom et stort antall registrerte har bedt om utbedring i samme periode, eller dersom gjennomføringen av tiltaket er kompleks. I slike tilfeller kan den forlenges med ytterligere høyst to måneder. Bedrifter som ønsker å forlenge fristen må kunne begrunne sin beslutning.

Avslår en forespørsel

Bedrifter kan få lov til å avvise en forespørsel om korrigering. I slike tilfeller må foretaket kunne begrunne sin beslutning. Foretak kan konkludere med at personopplysningene er korrekte selv om en registrert ikke anser dette for å være tilfelle. Hvis selskapet kommer til denne konklusjonen, må de informere den registrerte om beslutningen. Den skal finne sted innen én måned etter at den registrerte har mottatt anmodningen. Bedrifter må ta rimelige skritt for å sikre nøyaktigheten av personopplysningene de behandler. 

Bevise identitet

Når en registrert ber om at hans eller hennes personopplysninger blir korrigert eller oppdatert, må selskapet sørge for at kontakten er med riktig person. Derfor har selskapet rett til å først verifisere identiteten til den registrerte. Dette kan imidlertid bare gjøres dersom det er rimelig grunn til å tvile på identiteten til den registrerte. I slike tilfeller kan foretaket ha rett til å kreve ytterligere opplysninger for å bevise sin identitet. På den annen side må det gjøres på en forholdsmessig måte.

I samsvar med artikkel 12 nr. 6 i GDPR kan det ikke samles inn flere personopplysninger enn det som er nødvendig for identifikasjonsformål. Innsamling av tilleggsopplysninger må ikke skje uten behørig begrunnelse, da dette også vil være i strid med prinsippet om dataminimering. Samlingen må med andre ord være forholdsmessig. Det skal ikke føre til en ny, ikke-essensiell innsamling av personopplysninger. 

Selskapet må foreta en forholdsmessighetsvurdering som blant annet tar hensyn til hvilke konsekvenser eller risikoer uautorisert bruk av rettigheten kan medføre for den registrerte. For eksempel, hvilken skade kan oppstå hvis dataene ble utlevert til feil person, eller hvis korrigeringen er feil. 

Ytterligere elementer som kan være nyttige å ta med i vurderingen, er om anmodningen gjelder sensitive personopplysninger, opplysningenes art og i hvilken sammenheng anmodningen finner sted. Hvilken type virksomhet som utøves av foretaket, kan også være relevant å ta hensyn til i vurderingen.

Når kan selskapet kreve produksjon av et ID-dokument?

I de fleste tilfeller er det ikke nødvendig å kreve at den registrerte presenterer sitt identitetsdokument for at selskapet skal kunne utføre en identifikasjon. Å kreve en slik presentasjon kan utgjøre en sikkerhetsrisiko. Derfor bør selskaper bare kreve presentasjon av ID-dokumenter hvis det er strengt nødvendig og i samsvar med loven. 

Et selskap måtte betale en bot fordi de ba om en passkopi for å bevise sin identitet. Dette ble ikke ansett som rimelig av DPA, da denne dokumentasjonen inneholdt for mye informasjon og ikke hva som var forholdsmessig. 

Analyser om det finnes andre måter

I stedet bør selskapet vurdere å verifisere identiteten til den registrerte som ber om sine rettigheter på andre måter. For eksempel ved å stille kontrollspørsmål som bare den registrerte kan svare på. Slik som informasjon om andre kontaktdetaljer for datasubjektet som holdes av selskapet. 

Andre GDPR-prinsipper

Prinsippet om begrensning av lagring under GDPR 

Bedrifter bør slette personopplysninger når de ikke lenger er nødvendige for det formålet de ble samlet inn for. Det er også mulig å anonymisere dataene i stedet for å slette dem. Anonymiserte data er ikke lenger personopplysninger og omfattes derfor ikke av GDPR. Når et selskap behandler personopplysninger, må det vite på forhånd hvor lenge personopplysningene er nødvendige for å behandle. Disse opplysningene skal framlegges for de registrerte. 

Lyst til å lære mer?

Les mer
Skroll til toppen