Företag som behandlar personuppgifter ska se till att de är korrekta
Företag som behandlar personuppgifter ska se till att de är korrekta och uppdaterade enligt principen om riktighet/korrekthet.
Principen om riktighet/korrekthet
Principen om riktighet innebär att all hantering av personuppgifter ska ske med noggrannhet och varje personuppgift som inte är korrekt eller komplett, måste korrigeras alternativt raderas.
Enligt GDPR måste varje rimlig åtgärd vidtas för att ta bort eller korrigera en felaktig personuppgift. Principen framgår i artikel 5.1 d) i GDPR (dataskyddsförordningen). Det är det företag som behandlar personuppgifter som ska se till att de är korrekta.
Företag behöver rutiner
Företag behöver ha rutiner för att kunna rätta och ta bort personuppgifter som inte är korrekta enligt principen om riktighet. Detsamma gäller om en registrerad begär att få ta del av sina personuppgifter som företaget behandlar. Med andra ord måste företaget vidta nödvändiga åtgärder för att personuppgifter som är felaktiga blir raderade eller att företaget rättar dem utan onödigt dröjsmål. Därför behöver företaget rutiner för att kunna tillgodose dessa rättigheter för de registrerade.
Skillnaden mellan subjektiva och objektiva personuppgifter
När många hör begreppet personuppgifter, är det vanligt att tänka på de objektiva personuppgifterna. Till exempel namn och personnummer. Däremot kan personuppgifter också ha en subjektiv karaktär. Kort sagt är objektiva personuppgifter en typ av identifierare, medan subjektiva personuppgifter är beskrivande egenskaper. Ett exempel på en personuppgift med subjektiv karaktär kan vara en diagnos från en läkare eller när ett företag gör en kreditupplysning innan ett köp.
Företag ska behandla subjektiva personuppgifter tillhörande anställda i så liten utsträckning som möjligt
Ett företag kan behandla personuppgifter om medarbetare eller före detta medarbetare och vara till exempel en referens till framtida arbetsgivare. Då är det viktigt att försöka ha som utgångspunkt att behandla så lite subjektiva omdömen som möjligt och istället basera sina omdömen på fakta. Till exempel att säga att en medarbetare var ”dålig” är ett subjektivt omdöme. Istället bör man säga objektiv fakta, såsom att ”den anställde kom försent i snitt 10 gånger per månad och uppnådde inte de dagliga målen vid majoriteten av arbetspassen”.
Principen om lagringsminimering
När personuppgifterna inte längre behöver bli behandlade för ändamålet som de blev insamlade för, ska företaget radera dem. Företaget kan även välja att avidentifiera personuppgifterna, istället för att radera dem. Efter att personuppgifter är avidentifierade, utgör de bara uppgifter och är därmed inte längre omfattade av GDPR.
Gallring av personuppgifter (radering av personuppgifter) är en viktig del av GDPR och därför ska företaget ha rutiner för att göra detta korrekt. Observera att det finns personuppgifter som är nödvändiga att lagra på grund av någon annan lagstiftning. Till exempel enligt bokföringslagen. Vid sådana fall bör företaget separera handlingarna, eftersom de inte längre är en del av den dagliga verksamheten.