En stor mängd personuppgifter behandlas varje dag i de miljontals e-postmeddelanden som svenska företag och människor skickar. Före den 25 maj 2018 omfattades inte e-post av de svenska dataskyddsreglerna, men numera är GDPR, EU:s dataskyddsförordning, fullt tillämplig på e-post. Alla – företag, myndigheter, ideella organisationer och deras utsedda konsulter – vrider sina händer och lägger pannan i djupa veck. Vad göra? Hur hantera?
Läs också: GDPR: Här är allt du behöver veta om EU:s nya dataskyddsregler
Här är mina råd och tankar i frågan:
- Upprätta interna policydokument avseende hantering av personuppgifter som innefattar hanteringen av e-post. Se därefter till att utbilda alla och hålla policydokumentet levande så att det följs. Det faktum att e-post omfattas av GDRP innebär att vi alla behöver tänker annorlunda när det gäller användningen av personuppgifter när vi skickar, skickar vidare, tar emot, sorterar, lagrar och raderar e-post.
- Gå igenom och specificera för vilka ändamål personuppgifter behandlas i e-post i organisationen. Personuppgifter får bara behandlas för specifikt angivna ändamål och dessa ändamål styr sedan hur mycket uppgifter som får behandlas, hur länge och så vidare. I den här genomgången är det relevant att först grovt dela upp ändamålen i sådana som är helt interna och sådana som är relaterade till företagets kunders, sjukhusets patienter, föreningens medlemmar och så vidare. I det GDPR-arbete som alla ändå genomför måste frågan om ändamålen med all personuppgiftsbehandling ändå ställas och sannolikt kommer man här att kunna återanvända den analysen även för att tydliggöra ändamålen med behandlingen av personuppgifter i e-post.
- Analysera vilken laglig grund som finns för behandlingen av personuppgifter i e-post, kopplat till de angivna ändamålen. I externa relationer med kunder och andra behandlas personuppgifter ofta för att kunna fullgöra avtal eller baserat på samtycken som har inhämtats i samband med att avtal ingicks. I interna relationer mellan organisationens anställda handlar det ofta om en så kallad intresseavvägning. Detsamma gäller också marknadsföringsutskick, där man dock bör betänka att huvudregeln enligt marknadsföringslagen är att det krävs samtycke för att rikta marknadsföring genom e-post.
- Implementera mekanismer för att uppfylla de registrerades rätt till information om vem som är så kallad personuppgiftsansvarig, varför uppgifterna behandlas, hur länge och så vidare. När det gäller anställda är denna fråga ofta okomplicerad: informationen bör tas med i den integritetspolicy som den anställde ska få del av i samband med att anställningsavtalet ingås. När det gäller relationer med konsumenter eller personer som ingår i myndighetsärenden kan informationen hanteras på liknande sätt, det vill säga i integritetspolicyn avseende dessa. Det blir mer komplicerat med behandling av personuppgifter om personer som man inte har någon avtalsrelation med, till exempel kontaktpersoner hos företagskunder. Ett lämpligt sätt kan vara att lägga in en standardtext i alla e-postmeddelanden, där information ges om att e-post som skickas till företaget eller organisationen kommer att behandlas enligt den integritetspolicy, som man hänvisar till genom en länk. Om man mottar ett e-postmeddelande som man inte har någon anledning att besvara det så har företaget, myndigheten eller organisationen sannolikt inget skäl att spara det inskickade meddelandet och då det bör raderas.
- Begränsa användningen personuppgifter i e-post till vad som är nödvändigt för att uppfylla de ändamålen. Detta följer av den så kallade uppgiftsminimeringsprincipen och innebär helt enkelt att vi kommer att behöva tänka på och bli betydligt mer restriktiva när det gäller användning av personuppgifter i e-post.
- Tänk på vilka som behöver ta del av e-post som innehåller personuppgifter. Som huvudregel ska bara sådana personer som har behov av tillgång till personuppgifter för att kunna utföra sitt arbete också ha tillgång till dem. Det finns därför anledning att överväga till vilka e-postmeddelanden skickas, inte minst vilka som ska stå som kopiemottagare. Strunta i att skicka information till folk som egentligen inte behöver den. De kommer att tacka dig!
- Inför tydliga rutiner för återkommande radering av e-post. Personuppgifter får bara behandlas så länge de behövs för att uppfylla ändamålen med behandlingen. Det blir därför viktigt att ha de olika ändamålen klargjorda för sig och anknyta gallringsrutiner till dessa ändamål. Lagra bara e-post som verkligen behövs för att uppfylla ändamålen och radera resten! Se därefter till att radera sparad e-post när ändamålen är uppfyllda.
- Inför lämpliga informationssäkerhetsåtgärder avseende e-posten. Detta innefattar åtgärder som till exempel att se till att skydda e-posten från obehörig åtkomst från utomstående, att införa tydliga krav på användarnamn och lösenord och så vidare. I det arbete med informationssäkerhet som ändå behövs göras för att uppfylla GDPR-kraven måste e-postsystemet helt enkelt ingå.
Jag vill påpeka att denna checklista inte är uttömmande och att Datainspektionen och andra kanske kommer att ha andra åsikter. Men den som genomför åtgärderna ovan kommer att ha kommit en väldigt lång bit på vägen på att hantera sin e-post i enlighet med GDPR.
Läs också: Därför är GDPR årets julklapp för användarna - och organisationen
Den här artikeln är tidigare publicerad i april 2018
Befattning: Advokat
Företag: Advokatfirman Lindahl
Linkedin: David Frydlinger
E-post: david.frydlinger@lindahl.se
Hemsida: www.lindahl.se
Expertområden: It-juridik, personppgiftsrätt, strategiska samarbetsavtal, molntjänstavtal, outsourcingavtal, juridik rörande informationssäkerhet.
Certifieringar: ITIL (grundnivå)
Bakgrund: Har arbetat i 16 år med it-juridiska frågeställningar. Har skrivit fem böcker inom juridik varav en nyligen publicerad om EU:s nya dataskyddsförordning, GDPR.