Artikel 16 i GDPR

Rätt till rättelse

Enligt GDPR har registrerade rätt att få sina personuppgifter rättade om de är felaktiga. Dessutom har registrerade rätt att få personuppgifter kompletterade om de är ofullständiga. 

Registrerades rätt till rättelse

Rätten till rättelse utgör en av de åtta (8) fundamentala rättigheter som registrerade har enligt GDPR. Artikel 16 i GDPR reglerar rätten till rättelse av personuppgifter.

Tidsram för att genomföra en rättelse efter mottagandet av den registrerades begäran

När ett företag mottar en begäran om rättelse från den registrerade, ska företaget besvara detta inom en skälig tid. Enligt huvudregeln ska företaget hantera ärendet inom en månad.

Däremot kan företaget förlänga denna tidsfrist i vissa fall. Om företaget har behov av en förlängning av tidsfristen, ska företaget informera den registrerade om detta inom den första månaden och ange skälen. Tidsfristen kan förlängas maximalt i två månader till. 

Observera att företaget måste motivera sitt beslut om att förlänga tiden. En orsak till när det kan vara tillåtet att förlänga tiden är om det avser en komplicerad begäran. Alternativt om företaget har fått väldigt många förfrågningar på kort tid.

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

De sex rättsliga grunderna

  • Samtycke
  • Avtal med registrerad
  • Rättslig förpliktelse
  • Skydda grundläggande intressen
  • Berättigat intresse
  • Uppgift av allmänt intresse och myndighetsutövning

Ta betalt för att rätta personuppgifter

I vissa få fall kan ett företag ta ut en avgift för att rätta personuppgifter. Men i de allra flesta fall är det inte tillåtet att debitera en avgift. Ett exempel på när det kan vara tillåtet att ta betalt, är om det avser en orimlig eller ogrundad begäran. Exempelvis om en person varje vecka begär rättelse eller annan rättighet. Avgiften måste vid sådana fall vara rimlig och därmed får den inte vara för hög. 

Vägra tillmötesgå en registrerads begäran om att rätta personuppgifter enligt GDPR

Företag ska rätta personuppgifter som är felaktiga, antingen på en begäran eller vid företagets egen upptäckt av felaktiga personuppgifter. Däremot kan ett företag i vissa fall anse att personuppgifterna är korrekta eller kompletta, även fast den registrerade inte anser det. 

Företaget måste informera den registrerade om de vägrar att rätta personuppgifterna. Informationen ska bland annat inkludera motiveringen till vägran. Dessutom ska företaget informera den registrerade om dennes rätt att lämna in ett klagomål till den nationella tillsynsmyndigheten för ärenden om GDPR.

Ett företag underlättade inte kundens rätt till rättelse av personuppgifter

Den svenska dataskyddsmyndigheten konstaterade att ett internationellt välkänt företag inte underlättade för kunden att få rätten till rättelse tillgodosedd när denne ville få sin e-postadress rättad. Dessutom saknade företaget i fråga tekniska åtgärder, för att kunden själv skulle kunna ändra sin e-postadress. Därmed uppfyllde företaget inte kraven i GDPR. Konsekvensen för företaget blev en reprimand istället för en sanktionsavgift (se Skäl 148 i GDPR). En reprimand är en form av skriftlig varning som ofta utdöms vid mindre överträdelser.

Företag får styrka identiteten hos den registrerade innan företaget påbörjar hanteringen av begäran

Ett företag som mottar en begäran om att tillgodose en rättighet enligt GDPR, behöver först verifiera identiteten hos den registrerade. Exempelvis vid begäran om rätten till rättelse och andra rättigheter. 

Här är några exempel på rättigheter som registrerade inte kan utöva om de inte kan identifieras av företaget: 

Rätten till:

Tillgång

Få tillgång till personuppgifter.

Rättelse

Få personuppgifter rättade eller kompletterade.

Radering

Få personuppgifter raderade.

Begränsning av behandlingen

Få företaget att begränsa behandlingen av personuppgifter.

Flytta personuppgifter

Få flytta personuppgifter mellan olika system (dataportabilitet).

Företag ska informera om en genomförd rättelse

Ifall personuppgifter blir rättade på den registrerades begäran, ska företaget informera om rättelsen. Företaget ska ge informationen om rättelsen till de eventuella tredje parter som företaget har lämnat ut personuppgifterna till. Detta ska ske för att säkerställa att även de rättar personuppgifterna på motsvarande sätt.

Däremot gäller detta informationskrav inte om sådan underrättelse skulle innebära en för betungande insats för företaget. Det gäller inte heller om företaget kan visa att det vore omöjligt för dem att göra. Vidare har den registrerade rätt att få information från företaget om till vilka tredje parter företaget har lämnat ut den registrerades personuppgifter till. 

Fler rättigheter i GDPR

Rätt till radering

Registrerade har enligt GDPR rätt att be ett företag att radera den registrerades personuppgifter som de behandlar. Däremot innebär detta inte alltid att företaget måste radera personuppgifterna, då det finns vissa undantag enligt lagen. Företag ska bland annat radera personuppgifter om de inte längre är nödvändiga för ändamålet de blev insamlade för eller om den rättsliga grunden är samtycke och den registrerade återkallar det. 

Vill du lära dig mer?

Läs mer
Rulla till toppen