Frankrikes högsta förvaltningsdomstol Consiel d’Etat har klargjort att rätten till rättelse enligt artikel 16 dataskyddsförordningen (GDPR) kan användas för att rätta uppgifter efter en identitetsändring men inte retroaktivt för att rätta handlingar före identitetsändringen.
Av beslutet framgår att en person var registrerad i informationssystemet hos företaget Verifone, en leverantör av betaltjänster. Efter att ha bytt identitet begärde den registrerade att en domstol i USA skulle besluta om rättelse av hennes kundkontouppgifter som efternamn, förnamn och e-postadress, samt av hennes uppgifter i andra dokument, som exempelvis beställningar. Domstolen i USA avslog begäran och den registrerade hänsköt ärendet till Commission Nationale de l’Informatique et des Libertés (CNIL).
CNIL kontaktade Verifone för att be företaget att rätta den registrerades kundkontouppgifter, vilket företaget gjorde för kundkontouppgifterna men inte för de andra handlingarna. CNIL ansåg att de handlingar som upprättats före identitetsändringen inte behövde rättas retroaktivt eftersom identitetsändringen skedde senare.
Den registrerade överklagade CNIL:s beslut till Conseil d’Etat. Vad gäller de handlingar som upprättats före identitetsändringen ansåg Conseil d’Etat att uppgifterna inte kunde anses vara felaktiga eftersom de var korrekta vid den tidpunkt och för det ändamål som avsågs med behandlingen. Dessa handlingar innehöll därför inga felaktigheter som borde ha korrigerats enligt artikel 16 GDPR. Följaktligen fastställde Conseil d’Etat CNIL:s beslut och ansåg att CNIL korrekt tillämpat artikel 16 GDPR.