Rätten att rätta uppgifter

En registrerad har rätt att begära att den personuppgiftsansvarige rättar inexakta och felaktiga personuppgifter som gäller honom eller henne. Den registrerade har också rätt att få bristfälliga personuppgifter kompletterade.

Hur snabbt ska den personuppgiftsansvarige besvara en begäran av en registrerad?

Den personuppgiftsansvarige ska svara till den registrerade utan oskäligt dröjsmål, i varje fall inom en månad från mottagandet av begäran. I svaret ska den personuppgiftsansvarige redogöra för de åtgärder som denne vidtagit med anledning av begäran.

Om antalet begäranden är många eller om de är komplicerade, kan den personuppgiftsansvarige i sitt svar meddela att mer tid behövs för handläggningen. I så fall kan den utsatta tiden förlängas med högst två månader. Förlängningen av den utsatta tiden ska motiveras.

Om den personuppgiftsansvarige vägrar att tillmötesgå den registrerades begäran, ska den underrätta den registrerade om detta senast inom en månad från det att begäran tagits emot. Vägran ska motiveras. Den personuppgiftsansvarige ska också underrätta den registrerade om möjligheten att framföra klagomål till tillsynsmyndigheten och att använda andra rättsmedel.

Är det möjligt att ta ut en avgift av den registrerade?

I princip är det avgiftsfritt att utöva en rättighet.

Om den registrerades begäranden om rättelse är uppenbart omotiverade eller orimliga, kan den personuppgiftsansvarige antingen ta ut en rimlig avgift eller vägra att tillmötesgå begäran.

Begäranden kan ses som uppenbart omotiverade eller orimliga i synnerhet om de framförs på återkommande sätt. Den personuppgiftsansvarige ska kunna visa att en begäran är uppenbart omotiverad eller orimlig.

Vid eventuellt påförande av en avgift ska man beakta de administrativa kostnaderna för överlämnande av uppgifter eller meddelanden eller vidtagande av den begärda åtgärden.

Är det möjligt att vägra att tillmötesgå en begäran?

Det ligger på den personuppgiftsansvariges ansvar att se till att de uppgifter som denne behandlar är exakta och vid behov uppdaterade. Den personuppgiftsansvarige ska vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål

När initiativet till att rätta uppgifterna tas av en registrerad, bedömer den personuppgiftsansvarige om de uppgifter som är föremål för den registrerades begäran om rättelse är bristfälliga, inexakta eller felaktiga med tanke på syftet för behandlingen.

Om den personuppgiftsansvarige anser att uppgifterna, trots de synpunkter som den registrerade lagt fram, inte är inexakta eller felaktiga med tanke på behandlingens syfte, är det inte obligatoriskt att lämna ut uppgifterna. Den personuppgiftsansvarige ska i så fall ge den registrerade ett motiverat svar om varför uppgifterna inte rättas. Den registrerade kan överföra ärendet för behandling av dataombudsmannen.

Om den personuppgiftsansvarige inte anser att det är motiverat att rätta uppgifterna enligt den registrerades begäran, har den registrerade med beaktande av de syften för vilka uppgifterna behandlades, rätt att få bristfälliga personuppgifter kompletterade genom att bland annat lämna in tilläggsutredning.

Om den registrerades begäranden är uppenbart omotiverade eller orimliga, kan den personuppgiftsansvarige antingen ta ut en rimlig avgift eller vägra att tillmötesgå begäran.

Om den personuppgiftsansvarige vägrar att tillmötesgå den registrerades begäran, ska den underrätta den registrerade om detta senast inom en månad från det att begäran tagits emot. Vägran ska motiveras. Den personuppgiftsansvarige ska också underrätta den registrerade om möjligheten att framföra klagomål till tillsynsmyndigheten och att använda andra rättsmedel.

Anmälan om rättelse av personuppgifter

Den personuppgiftsansvarige ska i mån av möjlighet underrätta varje mottagare av personuppgifter om rättelsen av personuppgifter. Den personuppgiftsansvarige ska underrätta de registrerade om dessa mottagare, om den registrerade så begär.

Styrkande av den registrerades identitet

Den personuppgiftsansvarige ska kunna styrka identiteten hos en registrerad som utövar sina dataskyddsrättigheter. Om den personuppgiftsansvarige har motiverade skäl att tvivla på identiteten hos den som framfört en begäran, kan den be att denna ger närmare uppgifter för att styrka identiteten.

Dataskyddsförordningen innehåller inte bestämmelser om hur den registrerades identitet ska styrkas. Ofta finns det redan lämpliga förfaranden. Det är möjligt att den personuppgiftsansvarige styrkt identiteten hos den registrerade till exempel redan innan ett avtal ingåtts eller ett samtycke till behandling inhämtats. I så fall kan dessa personuppgifter användas för att fastställa identiteten också då det handlar om tillgodoseende av den registrerades rättigheter.

Om den personuppgiftsansvarige begär närmare uppgifter för att styrka identiteten, får detta inte leda till orimliga krav eller insamling av personuppgifter som inte är väsentliga eller nödvändiga.

Om den personuppgiftsansvarige inte kan identifiera den registrerade, ska den i mån av möjlighet underrätta den registrerade om detta.

Om den personuppgiftsansvarige vägrar att tillmötesgå en begäran av en registrerad på grund av att denne inte kan identifieras, ska den personuppgiftsansvarige kunna visa att den inte kan styrka den registrerades identitet.

Om den registrerade inte kan identifieras, kan han eller hon inte utöva sina rättigheter att

  • få tillgång till uppgifter
  • rätta uppgifter
  • radera uppgifter
  • begränsa behandlingen av uppgifter
  • flytta uppgifterna mellan system.

Den registrerade kan dock överlämna närmare uppgifter för identifieringen.

När behöver inte identiteten styrkas?

Personuppgifter får förvaras i en form som möjliggör identifiering av den registrerade enbart så länge som det är nödvändigt för behandlingens syfte.

Om personuppgifter som möjliggör identifiering inte är nödvändiga för syftet för behandlingen av personuppgifter, ålägger inte dataskyddsförordningen den personuppgiftsansvarige att förvara, inhämta eller behandla sådana tilläggsuppgifter enbart för att iaktta dataskyddsförordningen.

Läs mer:

Dataskyddsförordningen: artiklarna 16 och 19