Hur ska e-posten GDPR-säkras?
Den här artikeln är publicerad för mer än ett år sedan
Var uppmärksam på att lagar och regler ändras med jämna mellanrum. För att vara säker på att du alltid har korrekt och uppdaterad information tillgänglig rekommenderar vi att du abonnerar på något av våra Expertstöd. Jag vill ta steget mot en enklare arbetsvardag!
I princip innehåller all e-post någon form av personuppgift. E-postadressen i sig är normalt en personuppgift och själva innehållet kan oftast kopplas samman med en enskild person. Man kan alltså utgå från att e-post innehåller personuppgifter vilket i sin tur innebär dataskyddsförordningens bestämmelser gäller.
Behandling kräver rättslig grund
Utgångspunkten för all behandling av personuppgifter är att det finns en rättslig grund för behandlingen, t ex för att fullgöra en del i ett avtal eller bestämmelser i en lag. Det här gäller även för e-post. För att hantera personuppgifter i e-post måste det alltså finnas en rättslig grund för behandlingen.
Det som gör att personuppgifter i e-post kan vara svårt att hantera är att innehållet i princip alltid är okänt när det kommer in i verksamheten. Det går inte att i förväg veta vilken rättslig grund som gäller för behandlingen. Enligt Datainspektionen kan företag därför behandla personuppgifter i inkommande e-post med stöd av en intresseavvägning.
Efter att meddelande har mottagits och lästs blir det en fråga om hur länge uppgifterna får sparas. Här måste varje mottagare själv avgöra om personuppgifterna får sparas och i så fall med vilket rättsligt stöd.
Spara inte i e-postsystemet
Även om man har rättslig grund för att spara personuppgifter som man har fått via e-post bör personuppgifterna flyttas till ett annat säkrare system. Till vilket system man flyttar uppgifterna till beror på vilken typ av personuppgifter det handlar om. Uppgifter kan t ex flyttas till ett ärendehanteringssystem, kundregister eller personalregister.
Känsliga personuppgifter
Vissa personuppgifter är kategoriserade som särskilt känsliga och ska normalt aldrig skickas med e-post. Om man skickar sådan information med e-post bör meddelande krypteras så att endast mottagaren kan ta del av informationen.
I stället för att skicka personuppgifter via e-post kan det vara bättre att ha ett HR-system där anställdas personuppgifter hanteras och sparas på ett säkert sätt.
Ta fram rutiner!
Det är viktigt att alla medarbetare känner till hur de ska hantera e-post. Datainspektionen har tagit fram rekommendationer för att hantera e-post enligt GDPR. Här är några av deras råd:
- När e-posten kommer in, avgör om uppgifterna ska sparas eller gallras bort. Om de ska sparas – ha säkra system för detta.
- Känsliga personuppgifter ska inte skickas i oskyddad e-post.
- Ta fram en standardtext som bifogas i e-postsvar där information finns om hur personuppgifter behandlas i organisationen.
- Ha information på företagets webbplats om hur personuppgifter behandlas. Informationen kan finnas där e-postadressen finns.
Gratis webinar: Kompetensutveckling – nyckeln till ett bra ledarskap
Ett av de viktigaste uppdragen en ledare har är att påverka andra genom utveckling, kulturbyggande och engagemang. Om du som ledare inte finns där för att påverka dina medarbetare, så finns det inget ledarskap. Men hur gör du då för att påverka andra? Och hur hänger det ihop med att bygga en lärande organisation?
