GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

Artikel 5, stk. 1, litra d), i GDPR

Databeskyttelsesprincippet om nøjagtighed

Det grundlæggende databeskyttelsesprincip om nøjagtighed i henhold til GDPR omtales også som princippet om nøjagtighed. Dette princip er et af de syv databeskyttelsesprincipper i GDPR. Kort sagt betyder princippet om nøjagtighed, at virksomheder skal behandle personoplysninger, der er korrekte. Databeskyttelsesforordningens artikel 5, stk. 1, litra d), regulerer dette princip.

Databeskyttelsesprincippet om nøjagtighed i henhold til GDPR

Det er godt at starte ud fra den præmis, at jo vigtigere personoplysningerne er, jo mere skal virksomheden gøre for at sikre, at oplysningerne er korrekte. Det betyder, at virksomheden ikke kun bør stole på, at den registrerede har givet korrekte oplysninger. Virksomhederne har deres eget ansvar for at sikre dette. 

What breaches of the GDPR can lead to an administrative fine?

Hvad betyder princippet om nøjagtighed?

Kort sagt betyder princippet om nøjagtighed i henhold til GDPR følgende: 

  • Korrekt: Virksomheder, der behandler personoplysninger, skal sikre, at de er korrekte. Hvis de ikke er det, bør de rettes eller slettes. 
  • Opdateret: Virksomheder bør holde personoplysningerne ajour for at sikre, at de er korrekte. 
  • Indføre procedurer: Virksomheder bør have interne procedurer på plads for at kunne håndtere eventuelle ukorrekte personoplysninger, der behandles. 

Særligt vigtigt i nogle tilfælde

I nogle tilfælde er nøjagtigheden af personoplysningerne særlig vigtig. For eksempel når en virksomhed træffer en beslutning, der er afgørende for den registrerede. Et praktisk eksempel er, hvis et hospital behandler ukorrekte personoplysninger. Konsekvensen kan være ødelæggende og føre til foranstaltninger, der ikke er korrekte og i værste fald farlige for den registrerede. Et udgangspunkt for virksomheder er, at metoderne til at sikre, at personoplysninger er korrekte, er vigtigere, jo mere følsomme personoplysninger er. 

Registrerede har ret til at kontakte virksomheder, hvis deres personoplysninger er ukorrekte

Registrerede kan kontakte en virksomhed, hvis deres personoplysninger er forkerte. Personoplysningerne kan f.eks. være stavet forkert, ikke længere være aktuelle på grund af ændringer, eller at visse personoplysninger skal suppleres. I sådanne tilfælde skal Selskabet berigtige personoplysningerne eller slette dem. Desuden skal virksomheden i henhold til den generelle regel underrette de registrerede, når en sådan aktivitet er blevet udført. 

What is the definition of anonymised data?

Gebyrer for overholdelse af denne ret til berigtigelse af personoplysninger

I henhold til den generelle regel har virksomheder ikke ret til at opkræve gebyr for at opfylde den registrerede ret til at få deres personoplysninger berigtiget. Der er dog undtagelser. Hvis anmodningen om berigtigelse er urimelig, uberettiget eller gentaget flere gange af den samme person, kan virksomheden være berettiget til at få et gebyr betalt, men gebyret skal være rimeligt. Desuden kan virksomheden i sådanne tilfælde afvise sagen. Hvad en urimelig eller uberettiget anmodning betyder, er normalt, om den er tilbagevendende fra den samme person. Vær opmærksom på, at virksomheden skal kunne begrunde sin beslutning.

Subjektivt integritetskänsliga personuppgifter

Opret interne rutiner

For at kunne opfylde denne ret skal virksomheden gennemføre interne procedurer, som medarbejderne skal følge. Bemærk venligst, at rettelser skal foretages uden unødig forsinkelse. Normalt inden for en måned fra datoen for den registreredes indgivelse af anmodningen. Virksomheden har dog ret til at forlænge fristen i visse særlige tilfælde. F.eks. hvis der er mange registrerede, der har anmodet om berigtigelse i samme periode, eller hvis gennemførelsen af foranstaltningen er kompliceret. I sådanne tilfælde kan den forlænges med en yderligere periode på op til to måneder. Virksomheder, der ønsker at forlænge fristen, skal kunne begrunde beslutningen.

Afslå en anmodning

Virksomheder kan få lov til at afvise en anmodning om berigtigelse. I sådanne tilfælde skal virksomheden kunne begrunde beslutningen. Virksomheder kan konkludere, at personoplysningerne er korrekte, selv om en registreret ikke mener, at det er tilfældet. Hvis virksomheden når frem til dette, skal den underrette den registrerede om afgørelsen. Dette skal ske senest en måned efter modtagelsen af anmodningen fra den registrerede. Virksomhederne skal træffe rimelige foranstaltninger for at sikre, at de personoplysninger, de behandler, er korrekte. 

Styrkelse af identiteten

Når en registreret anmoder om at få sine personoplysninger rettet eller opdateret, skal virksomheden sikre, at kontakten sker med den rette person. Virksomheden har derfor ret til først at kontrollere den registreredes identitet. Dette kan dog kun ske, hvis der er rimelig grund til at betvivle den registreredes identitet. I sådanne tilfælde kan virksomheden have ret til at anmode om yderligere oplysninger for at bevise sin identitet. Det skal dog gøres på en måde, der er forholdsmæssig.

I henhold til databeskyttelsesforordningens artikel 12, stk. 6, er det ikke tilladt at indsamle flere personoplysninger, end hvad der er nødvendigt for identifikationen. Indsamlingen af yderligere data må ikke finde sted uden gyldige grunde, da dette også ville være i strid med princippet om dataminimering. Indsamlingen skal med andre ord være forholdsmæssig. Det må ikke føre til en ny, ikke-nødvendig indsamling af personoplysninger. 

Virksomheden skal foretage en proportionalitetsvurdering, der bl.a. tager hensyn til de konsekvenser eller risici, som en uautoriseret brug af retten kan medføre for den registrerede. For eksempel, hvilken skade der kan opstå, hvis dataene videregives til den forkerte person, eller hvis korrektionen foretages forkert. 

Yderligere faktorer, der kan være nyttige at medtage i vurderingen, er, om anmodningen vedrører følsomme personoplysninger, oplysningernes art og den sammenhæng, hvori anmodningen fremsættes. Den type aktivitet, som virksomheden udfører, kan også være relevant at tage i betragtning ved vurderingen.

Hvornår kan virksomheden kræve fremlæggelse af et ID-dokument?

I de fleste tilfælde er det ikke nødvendigt at kræve, at den registrerede fremlægger sit identifikationsdokument, for at virksomheden kan foretage en identifikation. Kravet om en sådan præsentation kan faktisk udgøre en sikkerhedsrisiko. Selskaber bør derfor kun kræve forevisning af et identitetsdokument, hvis det er strengt nødvendigt og udføres i overensstemmelse med lovgivningen. 

En virksomhed skulle betale en bøde, fordi den anmodede om en kopi af sit pas for at bevise sin identitet. Databeskyttelsesmyndigheden anså dette for urimeligt, da denne dokumentation indeholdt for mange oplysninger og ikke var forholdsmæssig. 

Analyser, om der er andre måder

Virksomheden bør i stedet overveje at kontrollere identiteten af den registrerede, der anmoder om deres rettigheder på anden vis. For eksempel ved at stille kontrolspørgsmål, som kun den registrerede kunne besvare. Som f.eks. oplysninger om andre kontaktoplysninger for den registrerede, som virksomheden er i besiddelse af. 

Den generelle forordning om databeskyttelse (GDPR)

Princippet om opbevaringsbegrænsning i henhold til GDPR 

Virksomheder skal slette personoplysninger, når de ikke længere er nødvendige til det formål, hvortil de blev indsamlet. Det er også muligt at anonymisere dataene i stedet for at slette dem. Anonymiserede data er ikke længere personoplysninger og er derfor ikke omfattet af GDPR. Når en virksomhed behandler personoplysninger, skal virksomheden på forhånd vide, hvor længe personoplysningerne er nødvendige for at behandle dem. Disse oplysninger fremlægges for de registrerede. 

Vil du lære mere?

Læs mere
Scroll to Top