Artikel 5(1)(d) i GDPR

Dataskyddsprincipen om riktighet

Den grundläggande dataskyddsprincipen om riktighet enligt GDPR är även kallad för principen om korrekthet. Denna princip utgör en av de sju dataskyddsprinciperna i GDPR. Kort sagt innebär principen om riktighet att företag ska behandla personuppgifter som är korrekta. Artikel 5(1)(d) i GDPR reglerar denna princip.

Dataskyddsprincipen om riktighet enligt GDPR

Det är bra att ha som utgångspunkt att ju viktigare personuppgifterna är, desto mer bör företaget göra för att säkerställa att uppgifterna är korrekta. Detta innebär att företaget inte bara ska förlita sig på att den registrerade har angivit korrekta uppgifter. Företag har därmed också ett eget ansvar att säkerställa detta. 

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Vad innebär principen om riktighet?

Kort sagt innebär principen om riktighet enligt GDPR följande: 

  • Korrekta: Företag som behandlar personuppgifter ska se till att de är korrekta. Om de inte är det, ska de bli rättade eller raderade. 
  • Uppdaterade: Företag ska hålla personuppgifterna uppdaterade, för att se till att de är korrekta. 
  • Införa rutiner: Företag bör ha interna rutiner för att kunna hantera eventuella felaktiga personuppgifter som blir behandlade. 

Särskilt viktigt i vissa fall

I vissa fall är det särskilt viktigt att personuppgifterna är korrekta. Till exempel när ett företag fattar ett beslut som är väsentligt för den registrerade. Ett praktiskt exempel är om ett sjukhus behandlar felaktiga personuppgifter. Konsekvensen kan vara förödande och leda till åtgärder som inte är korrekta och i värsta fall farliga för den registrerade. En utgångspunkt för företag är att metoderna för att säkerställa att personuppgifter är korrekta är viktigare ju känsligare en personuppgift är. 

Registrerade har rätt att kontakta företag när deras personuppgifter är inkorrekta

Registrerade kan kontakta ett företag om deras personuppgifter inte stämmer. Exempelvis kan personuppgifterna vara felstavade, ej aktuella längre på grund av ändring eller att viss personuppgift behöver bli kompletterad. Vid sådana fall ska företaget rätta personuppgifterna eller radera dem. Dessutom ska företaget enligt huvudregeln informera de registrerade när sådan aktivitet har blivit genomförd. 

An administrative fine

Avgifter för att tillgodose denna rättighet till rättelse av personuppgifter

Företag har enligt huvudregeln inte rätt att ta betalt för att tillgodose den registrerade rättigheten att få sina personuppgifter rättade. Däremot förekommer det undantag. Om begäran om rättelse är orimlig, omotiverad eller upprepad flera gånger av samma person, kan företaget ha rätt att få en avgift betald, men avgiften måste vara rimlig. Dessutom kan företaget vid sådana fall vägra ärendet. Vad ett orimligt eller omotiverat begärande innebär brukar vara om det är återkommande från samma person. Observera att företaget måste kunna motivera sitt beslut.

Restrict or ban processing

Skapa interna rutiner

För att kunna tillgodose de registrerade denna rättighet, bör företaget implementera interna rutiner som medarbetarna ska följa. Observera att rättelse ska ske utan oskäligt dröjsmål. Normalt inom en månad från och med den dag den registrerade skickade in begäran. Däremot har företaget rätt att förlänga tidsfristen i vissa särskilda fall. Till exempel om det är många registrerade som har begärt rättelse under samma period eller om det är komplicerat att genomföra åtgärden. Det kan vid sådana fall bli förlängt i ytterligare maximalt två månader. Företag som vill förlänga tidsfristen måste kunna motivera beslutet.

Vägra en begäran

Det kan vara tillåtet för företag att vägra en begäran om rättning. Vid sådana fall måste företaget kunna motivera beslutet. Företag kan nämligen komma fram till att personuppgifterna är korrekta även fast en registrerad inte anser att det är så. Om företaget kommer fram till det, måste de informera den registrerade om beslutet. Det ska ske inom en månad från och med att företaget tagit emot begäran från den registrerade. Företag måste vidta åtgärder som är rimliga för att se till att personuppgifterna som företaget behandlar är korrekta. 

Styrka identitet

När en registrerad begär att få sina personuppgifter rättade eller uppdaterade, måste företaget försäkra sig om att kontakten sker med rätt person. Därför har företaget rätt att först säkerställa identiteten hos den registrerade. Detta får dock endast ske om det finns rimliga skäl att tvivla på den registrerades identitet. I sådana fall kan företaget ha rätt att begära in kompletterande informatio för att styrka identiteten. Däremot måste det ske på ett sätt som är proportionerligt.

I enlighet med artikel 12.6 i GDPR är det inte tillåtet att samla in fler personuppgifter än vad som är nödvändigt för identifieringen. En insamling av kompletterande uppgifter får inte ske utan godtagbara skäl, eftersom det då skulle strida även mot principen om uppgiftsminimering. Med andra ord måste insamlingen vara proportionerlig. Den får inte leda till en ny, icke nödvändig insamling av personuppgifter. 

Företaget behöver utföra en proportionalitetsbedömning som tar hänsyn till bland annat vilka konsekvenser eller risker ett obehörigt utnyttjande av rättigheten skulle kunna innebära för den registrerade. Till exempel vilken skada som skulle kunna inträffa av att uppgifterna blir utlämnade till fel person, eller om rättelse sker felaktigt. 

Ytterligare faktorer som kan vara bra att inkludera i bedömningen är om begäran avser känsliga personuppgifter, vilken art uppgifterna har och i vilket sammanhang begäran sker. Den typ av verksamhet som företaget bedriver kan också vara relevant att beakta i bedömningen.

När får företaget kräva uppvisande av en id-handling?

I de flesta fall är det inte nödvändigt att kräva att den registrerade uppvisar sin identitetshandling för att företaget ska kunna genomföra en identifiering. Att krävsa sådant uppvisande kan nämligen innebära en säkerhetsrisk. Därför ska företag endast kräva uppvisande av id-handling om det är strikt nödvändigt och sker med stöd i lag. 

Ett företag fick betala en sanktionsavgift eftersom de begärde en passkopia för att kunna styrka identiteten. Detta ansåg dataskyddsmyndigheten inte var rimligt, eftersom denna dokumentation innehöll för omfattande uppgifter och inte vad proportioneligt. 

Analysera om det finns andra sätt

Istället bör företaget överväga att kontrollera identiteten hos den registrerade som begär sina rättigheter på annat sätt. Exempelvis genom att ställa kontrollfrågor som endast den registrerade skulle kunna besvara. Såsom information om andra kontaktuppgifter om den registrerade som företaget har. 

Andra principer i GDPR

Principen om lagringsminimering i GDPR

Företag ska radera personuppgifter när de inte längre är nödvändiga för syftet de blev inhämtade för. Det är också möjligt att anonymisera uppgifterna istället för att radera dem. Anonymiserade uppgifter är inte längre personuppgifter och därmed inte omfattade av GDPR. När ett företag behandlar personuppgifter ska företaget på förhand känna till hur länge personuppgifterna är nödvändiga att behandla. Denna information ska bli presenterad till registrerade. 

Vill du lära dig mer?

Klicka här
Rulla till toppen