Har din virksomhed implementeret de nødvendige procedurer til at opfylde persondatareglerne, hvis en registreret anmoder om at få berigtiget urigtige personoplysninger?
Datatilsynet har den 16. april 2019 truffet afgørelse, der belyser, hvilke krav, der stilles til den dataansvarlige. Følgende kan udledes af afgørelsen:
- Allerede inden den dataansvarlige behandler personoplysningerne, skal den dataansvarlige have det nødvendige beredskab til at berigtige urigtige personoplysninger
- Det er ikke op til den dataansvarlige, om denne vil undlade berigtigelse af urigtige personoplysninger ved i stedet at tilføje supplerende oplysninger.
- Den dataansvarlig skal som udgangspunkt besvare alle anmodninger om berigtigelse seneste en måned efter, den dataansvarlige har modtaget anmodningen. I særlige tilfælde – under hensyntagen til anmodningens kompleksitet og antal – kan fristen forlænges med to måneder.
- Afviser den dataansvarlige en anmodning fra en registreret, skal afslaget begrundes, og der skal gives vejledning om, at den pågældende kan klage til Datatilsynet eller indbringe sagen for domstolene.
Vi hjælper gerne med at belyse din virksomheds GDPR niveau. Læs mere på vores side om GDPR her. Du kan også kontakte os på info@jurafi.dk eller (+45) 5239 7005.
Den konkrete sag vedrørte Rejsekort A/S’ manglende berigtigelse af personoplysninger i form af lokationsdata ved busrejser.
Berigtigelse af urigtige personoplysninger
Den registrerede har ret til at få sine urigtige oplysninger berigtiget, jf. artikel 16, 1. pkt. Bestemmelsens 2. pkt. giver den registrerede ret at få fuldstændiggjort ufuldstændige personoplysninger, bl.a. ved at fremlægge en supplerende erklæring.
I denne sag, hvor der er tale om urigtige oplysninger og ikke ufuldstændige oplysninger, kunne Rejsekort A/S derfor ikke vælge at undlade berigtigelse ved i stedet at tilføje supplerende oplysninger. Det fremgår af Datatilsynets afgørelse.
Behandling af personoplysninger
En grundlæggende betingelse for at behandle personoplysninger, er at den dataansvarlige har opsat et rimeligt beredskab til at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges.
Datatilsynet fandt ikke, at Rejsekort A/S kunne anses at opfylde de grundlæggende betingelser i databeskyttelsesforordningens artikel 5 i forbindelse med behandling af lokalitetsoplysninger på busrejser. Blandt andet fordi, Rejsekort A/S ikke har et tilstrækkeligt beredskab til at berigtige urigtige oplysninger.
Datatilsynets afgørelse
I den konkrete sag har Datatilsynet udstedt påbud til Rejsekort A/S om, at Rejsekort A/S skal berigtige de urigtige personoplysninger i overensstemmelse med databeskyttelsesforordningens artikel 16, 1. pkt.
Endvidere har Datatilsynet udstedt påbud om, at Rejsekort A/S skal fremkomme med en beskrivelse af, hvordan Rejsekort A/S vil bringe den generelle behandling af lokalitetsoplysninger i relation til fysiske personers busrejser i overensstemmelse med databeskyttelsesforordningens bestemmelser.