1. Państwa członkowskie zapewniają, by osoba, której dane dotyczą, miała prawo uzyskania od administratora sprostowania bez zbędnej zwłoki jej danych osobowych, jeżeli są nieprawidłowe. Mając na względzie cel przetwarzania, państwa członkowskie zapewniają, by osoba, której dane dotyczą, miała prawo uzyskania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.
2. Państwa członkowskie nakładają na administratora wymóg usunięcia bez zbędnej zwłoki danych osobowych i zapewniają, by osoba, której dane dotyczą, miała prawo uzyskać od administratora usunięcie bez zbędnej zwłoki jej danych osobowych, jeżeli przetwarzanie narusza przepisy przyjęte na podstawie art. 4, 8 i 10, lub jeżeli dane osobowe muszą zostać usunięte w celu wypełnienia obowiązku prawnego ciążącego na administratorze.
3. Zamiast usunięcia, administrator ogranicza przetwarzanie, jeżeli:
a) osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych, a ich prawidłowości lub nieprawidłowości nie można stwierdzić; lub
b) dane osobowe muszą zostać zachowane do celów dowodowych.
Jeżeli przetwarzanie jest ograniczone na mocy akapitu pierwszego lit. a), przed zniesieniem tego ograniczenia administrator informuje o tym osobę, której dane dotyczą.
4. Państwa członkowskie zapewniają, by administrator informował pisemnie osobę, której dane dotyczą, o każdej odmowie sprostowania lub usunięcia danych osobowych lub ograniczenia przetwarzania danych oraz o przyczynach tej odmowy. Państwa członkowskie mogą przyjąć akty prawne, które w całości lub w części ograniczają obowiązek udzielania takich informacji, jeżeli takie ograniczenie przetwarzania jest działaniem niezbędnym i proporcjonalnym w społeczeństwie demokratycznym, z należytym uwzględnieniem praw podstawowych i uzasadnionych interesów danej osoby fizycznej, aby:
a) uniemożliwić utrudnianie czynności postępowań urzędowych lub sądowych, postępowań przygotowawczych lub procedur;
b) uniemożliwić zakłócanie zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar;
c) chronić bezpieczeństwo publiczne;
d) chronić bezpieczeństwo narodowe;
e) chronić prawa i wolności innych osób.
Państwa członkowskie zapewniają, by administrator informował osobę, której dane dotyczą, o możliwości wniesienia skargi do organu nadzorczego lub środka prawnego do sądu.
5. Państwa członkowskie zapewniają, by administrator informował o sprostowaniu nieprawidłowych danych osobowych właściwy organ, od którego nieprawidłowe dane pochodzą.
6. Państwa członkowskie zapewniają, by w przypadkach sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania, na podstawie ust. 1, 2 i 3, administrator miał obowiązek powiadomienia o tym odbiorców, a odbiorcy mieli obowiązek sprostowania lub usunięcia danych osobowych lub ograniczenia przetwarzania danych osobowych.
(46) Każde ograniczenie praw osoby, której dane dotyczą, musi być zgodne z Kartą i EKPC, w myśl wykładni zawartej, odpowiednio, w orzecznictwie Trybunału Sprawiedliwości i Europejskiego Trybunału Praw Człowieka, a zwłaszcza musi odbywać się z poszanowaniem istoty tych praw i wolności.
(47) Każda osoba fizyczna powinna mieć prawo do uzyskania sprostowania dotyczących jej nieprawidłowych danych osobowych, zwłaszcza danych dotyczących faktów, oraz prawo do usunięcia danych, jeżeli przetwarzanie takich danych narusza niniejszą dyrektywę. Niemniej prawo do sprostowania danych nie powinno dotyczyć, na przykład, treści zeznania świadka. Każda osoba fizyczna powinna mieć również prawo do ograniczenia przetwarzania danych osobowych, gdy kwestionuje ona ich prawidłowość, której nie da się potwierdzić, lub gdy dane osobowe muszą zostać zachowane do celów dowodowych. W szczególności należy ograniczyć przetwarzanie danych osobowych zamiast ich usuwania, jeżeli w konkretnym przypadku uzasadnione przesłanki sugerują, że usunięcie mogłoby wpłynąć na uprawnione interesy osoby, której dane dotyczą. W takim przypadku ograniczone dane należy przetwarzać tylko w celu, który zapobiegł ich usunięciu. Metody ograniczonego przetwarzania danych osobowych obejmują między innymi przeniesienie wybranych danych do innego systemu przetwarzania – np. do celów archiwizacyjnych – lub uniemożliwienie użytkownikom dostępu do wybranych danych. W zautomatyzowanych zbiorach danych ograniczenie przetwarzania danych osobowych należy zasadniczo zapewnić środkami technicznymi. Fakt ograniczenia przetwarzania danych osobowych należy zaznaczyć w systemie w sposób jasno wskazujący, że przetwarzanie tych danych jest ograniczone. O takim sprostowaniu lub usunięciu danych osobowych lub ograniczeniu ich przetwarzania należy poinformować odbiorców, którym dane zostały ujawnione, oraz właściwe organy, od których pochodzą nieprawidłowe dane. Administratorzy powinni również powstrzymać się od dalszego rozpowszechniania tych danych.
Zobacz także: WYTYCZNE