dataskyddsregler
GDPR – EU:s nya dataskyddsregler
26 januari, 2018
Visa alla

GDPR – slutet för personuppgiftshantering i e-post / mail?

Missbruksregeln är borta:
GDPR gäller retroaktivt på din e-post / mail

Det finns ett inarbetat beteende hos många att spara e-post som kan vara ”bra att ha”. Känner du dig träffad? Vi med. I och med att den nya dataskyddslagstiftningen trädde ikraft har alla med detta beteende blivit tvungna att släppa taget om den överflödiga e-posten. Det finns nämligen inte längre möjlighet att spara e-post i samma omfattning som innan den 25 maj 2018.

 

All e-post omfattas

E-postmeddelanden innehåller oftast personuppgifter såsom namn och kontaktuppgifter, vilket innebär att du med största sannolikhet behandlar och sedan länge har behandlat personuppgifter så fort du skickat och tagit emot e-post. Eftersom de nya reglerna kräver att all personuppgiftsbehandling har ett tydligt ändamål och en rättslig grund påverkas all e-postkommunikation, såväl kommunikationen innan som efter den 25 maj 2018.

 

Oundviklig hantering av personuppgifter

Rättslig grund

e-post

För att över huvud taget behandla personuppgifter behöver du ett stöd i dataskyddsförordningen, en så kallad rättslig grund. Om det inte finns någon annan anledning än att det kan vara ”bra att ha” måste du tyvärr trycka på Delete-knappen och tömma papperskorgen. Vad skulle kunna vara en annan anledning då? Nedan listar vi några rättsliga grunder för behandling av personuppgifter.

  • Du har, alternativt ska ingå, ett avtal med den du har e-postkontakt med.
  • Inkommande e-post är okänd, därmed tar du emot och behandlar den med stöd av en intresseavvägning (berättigat intresse).
  • Om du är en myndighet tar du emot och behandlar e-post med stöd av allmänt intresse.

 

Rätten till information

Den som skickar ett e-postmeddelande till dig eller din organisation omfattas per automatik av organisationens behandling av personuppgifter. Denne har alltså samma rätt till information som organisationens övriga registrerade. När du tar emot ett e-postmeddelande kan du därför genom ditt svar eller autosvar länka till organisationens integritetspolicy, alternativt länka till denna redan i kontaktformuläret på hemsidan om det finns ett sådant.
Vår integritetspolicy hittar du här.

 

E-post är till för att kommunicera, inte lagraMail

När du har tagit emot och sparat e-posten med stöd av någon rättslig grund måste du avgöra hur länge och var du bör lagra kommunikationen. E-posthantering är inte lämpligt om det är en långsiktig behandling av personuppgifter som ligger för handen. Vid långsiktiga behandlingar bör uppgifterna flyttas över till ett ärende- eller dokumenthanteringssystem och e-posten med personuppgifterna raderas.

En annan aspekt att ta hänsyn till är vilken typ av personuppgift det är fråga om. Känsliga och integritetskänsliga uppgifter ska raderas från e-posten snarast möjligast och flyttas över till ett ärende- eller dokumenthanteringssystem. Namn och postadress utgör i de flesta fall inte integritetskänsliga uppgifter, dock kan det vara fråga om en person med särskilt behov av skydd för sin identitet. I dessa fall bör du vara försiktig med hur du hanterar uppgifterna.

 

Ingen nämnd, inget glömt…

Ordspråket lyder: ”ingen nämnd, ingen glömd”, men om det skulle vara så att en tredje person ändå omnämns i ett e-postmeddelande kan det vara så att denne behöver informeras om detta. Nämns inga identifierbara uppgifter om en tredje person behöver du däremot inte oroa dig för att ha glömt att göra något. Yrkestitel och företagsnamn är i de flesta fall harmlös information och räcker ofta långt. Är det så att du ändå behöver nämna någon vid namn och lämna dennes kontaktuppgifter till någon, eller om du tar emot uppgifter om en tredje person, kan det alltså vara så att du behöver informera denne om att du lämnar ut eller behandlar uppgifter om hen. Detta är dock en bedömning som du måste göra utifrån omständigheterna i varje enskilt fall. Gör en avvägning om arbetsinsatsen att få tag i personen är rimlig i förhållande till att personen ifråga informeras.

 

Sedvanlig e-postkorrespondens mellan kollegor är OK

Enligt Datainspektionen är det OK kollegor emellan att skicka uppgifter om en tredje person utan att informera denne om detta, under förutsättning att personuppgifterna är av okänslig karaktär. Datainspektionen ser det nämligen som ”oproportionerligt” att kräva att den tredje personen informeras särskilt när det gäller personuppgifter i ”sedvanlig e-postkorrespondens mellan kollegor eller i andra vardagliga meddelanden”.

 

Marknadsföring via e-post

Ett hett diskussionsämne inför implementeringen av den europeiska dataskyddsförordningen (GDPR) var marknadsföring via e-post. Hur ligger det till egentligen? Får ett företag göra nyhetsbrevs- och reklamutskick till privatpersoner via e-post?

 

Vad säger lagen?

Enligt marknadsföringslagen är det inte tillåtet att skicka reklam via mail till vem som helst, när som helst och hur som helst. Lagen föreskriver istället specifika situationer där det är tillåtet, vilka brukar kallas för opt in och soft opt in, samt hur ett reklamutskick via e-post ska se ut.

Opt in-situation – Denna situation innebär att ett företag får skicka reklam via e-post till en fysisk person (privatpersoner och enskilda näringsidkare) endast om denna har samtyckt till det på förhand.

Soft opt in-situation – Denna situation kräver inget samtycke utan grundar sig på att ett företag har fått den fysiska personens e-postadress i samband med försäljning till personen ifråga. Om personen har motsatt sig eller motsätter sig att att dennes e-postadress används för att ta emot marknadsföring, försvinner rätten för företaget att marknadsföra via e-post. Marknadsföringen får dessutom endast avse företagets egna produkter, som ska ha en nära anknytning till den först inköpta produkten.

Formella krav – Oavsett ovannämnda situationer ska e-postmeddelandet alltid innehålla en giltig adress till vilken mottagaren kan vända sig med en begäran om att marknadsföringen ska upphöra. Observera att detta krav även gäller när ett företag skickar marknadsföring till juridiska personer (till detta räknas personliga adresser till arbetsplatsen, t.ex. förnamn@företag.se). Det är även viktigt att e-postadresserna som marknadsföringen skickas till inte är synliga för alla mottagare.

SWEDMA har tagit fram etiska regler vid e-postmarknadsföring.
SWEDMA är en bransch- och intresseorganisation för företag som producerar eller använder sig av direkt eller interaktiv marknadsföring.

 

En hälsning från Datainspektionen…

Skicka inte känsliga personuppgifter i oskyddad e-post!
Sprid inte personuppgifter i onödan!

 

MED VÅRT WEBBASERADE AFFÄRSSYSTEM

WORKCLOUD

KAN DU PÅ ETT SÄKERT SÄTT HANTERA PERSONUPPGIFTER VIA

ÄRENDEHANTERING

Hör av dig till oss så visar vi hur WorkCloud Ärendehantering förenklar vardagen för dig och dina medarbetare!