Hur ska e-posten GDPR-säkras?

En stor mängd personuppgifter hanteras dagligen i alla de mail som vi skickar, både internt i verksamheten och externt. Många arbetsgivare är osäkra på hur personuppgifter i e-post får hanteras med hänsyn till GDPR. Här går vi igenom vad man bör tänka på för att hantera e-post rätt.

     

den 15 augusti 2018 Anna Schönfelder

I princip innehåller all e-post någon form av personuppgift. E-postadressen i sig är normalt en personuppgift och själva innehållet kan oftast kopplas samman med en enskild person. Man kan alltså utgå från att e-post innehåller personuppgifter vilket i sin tur innebär dataskyddsförordningens bestämmelser gäller.

Behandling kräver rättslig grund

Utgångspunkten för all behandling av personuppgifter är att det finns en rättslig grund för behandlingen, t ex för att fullgöra en del i ett avtal eller bestämmelser i en lag. Det här gäller även för e-post. För att hantera personuppgifter i e-post måste det alltså finnas en rättslig grund för behandlingen.

Det som gör att personuppgifter i e-post kan vara svårt att hantera är att innehållet i princip alltid är okänt när det kommer in i verksamheten. Det går inte att i förväg veta vilken rättslig grund som gäller för behandlingen. Enligt Datainspektionen kan företag därför behandla personuppgifter i inkommande e-post med stöd av en intresseavvägning. 

Efter att meddelande har mottagits och lästs blir det en fråga om hur länge uppgifterna får sparas. Här måste varje mottagare själv avgöra om personuppgifterna får sparas och i så fall med vilket rättsligt stöd.

Spara inte i e-postsystemet

Även om man har rättslig grund för att spara personuppgifter som man har fått via e-post bör personuppgifterna flyttas till ett annat säkrare system. Till vilket system man flyttar uppgifterna till beror på vilken typ av personuppgifter det handlar om. Uppgifter kan t ex flyttas till ett ärendehanteringssystem, kundregister eller personalregister.

Känsliga personuppgifter

Vissa personuppgifter är kategoriserade som särskilt känsliga och ska normalt aldrig skickas med e-post. Om man skickar sådan information med e-post bör meddelande krypteras så att endast mottagaren kan ta del av informationen.

I stället för att skicka personuppgifter via e-post kan det vara bättre att ha ett HR-system där anställdas personuppgifter hanteras och sparas på ett säkert sätt.

Ta fram rutiner!

Det är viktigt att alla medarbetare känner till hur de ska hantera e-post. Datainspektionen har tagit fram rekommendationer för att hantera e-post enligt GDPR. Här är några av deras råd:

  • När e-posten kommer in, avgör om uppgifterna ska sparas eller gallras bort. Om de ska sparas – ha säkra system för detta.
  • Känsliga personuppgifter ska inte skickas i oskyddad e-post.
  • Ta fram en standardtext som bifogas i e-postsvar där information finns om hur personuppgifter behandlas i organisationen.
  • Ha information på företagets webbplats om hur personuppgifter behandlas. Informationen kan finnas där e-postadressen finns.

Välkommen på webinar!

29 maj: Ett år med GDPR

Nu har det snart gått ett år sedan den nya dataskyddsförordningen – GDPR – infördes. Har era rutiner satt sig eller finns det områden som fortfarande känns oklara?

Under det här webinaret kommer Linn Samuelsson, advokat på MAQS Advokatbyrå, att kolla på vad som har skett under året som gått och vilka tillsynsområden du bör ha extra koll på!

Tid: 29 maj kl 10:00  Till anmälan