GDPR og kommunikation
Behandling af personoplysninger ved brug af e-mail
Det er almindeligt at behandle personoplysninger, når du bruger e-mail i erhvervslivet. Derfor er det godt at kende reglerne i GDPR vedrørende dette, for ikke tilfældigvis at overtræde dem.
Behandling af personoplysninger ved brug af e-mail
Behandling af personoplysninger ved brug af e-mail i erhvervslivet er meget almindelig. Alt fra når potentielle medarbejdere sender deres CV’er, kunder sender anmodninger, personale e-mails mellem hinanden og meget mere.
Der er mange situationer, hvor virksomheder sender e-mails, der indeholder personoplysninger, og dermed skal overholde reglerne i GDPR. Derudover kan en e-mailadresse i sig selv udgøre personoplysninger.
Brug af e-mail til at sende reklamer
Det er almindeligt for virksomheder at bruge e-mail som en markedsføringskanal. Virksomheder kan sende marketing e-mails til både tidligere kunder og potentielle nye kunder. Da det er et spørgsmål om markedsføring, kan der også være nationale love, der regulerer, hvordan virksomheder har lov til at gøre. Virksomheder skal dog også overholde reglerne i GDPR, da det vedrører behandling af personoplysninger.
Reglerne om samtykke til at sende e-mails kan være forskellige fra den ene medlemsstat til den anden
Bemærk, at der kan være nationale love om markedsføring, der kræver samtykke, når du sender e-mails til markedsføringsformål. I Sverige er der f.eks. et krav om samtykke, hvis der er tale om et »koldt forhold« i henhold til markedsføringsloven. Det vil sige, hvis der ikke tidligere har været et forretningsforhold mellem virksomheden og modtageren af e-mailmarkedsføringen. Hvis der derimod tidligere har været en forretningsforbindelse, er samtykke ikke påkrævet, da behandlingen i stedet kan baseres på legitim interesse som retsgrundlag. Vær dog opmærksom på, at virksomheden skal stoppe med at sende e-mails, hvis personen anmoder om det.
Uopfordrede meddelelser er et almindeligt brud på persondatasikkerheden
Et af de mest almindelige brud på persondatasikkerheden er fejlsendte e-mails. Dette gøres normalt ved, at nogen staver modtagerens e-mail forkert, når de sender en e-mail, der indeholder personoplysninger. For at undgå dette er det godt at skabe klare rutiner for medarbejderne. Gør det f.eks. til en del af databeskyttelseskulturen i virksomheden altid at dobbelttjekke, så modtageren er korrekt angivet. Derudover er det vigtigt at huske på, at mange svindlere sender e-mails, hvor de hævder at være nogen, de ikke er. Derfor er det også godt altid at dobbelttjekke, at modtageren er den, de hævder at være.
Kontrakter med registrerede kan være retsgrundlaget i visse tilfælde
I nogle tilfælde bruges e-mail som et kommunikationsmiddel til at indgå aftaler. For eksempel, hvis en person ønsker at bestille en tjeneste på et websted, og beskeden sendes til virksomhedens e-mail. Vær dog opmærksom på, at det kan være bedre at opbevare personoplysningerne på et andet retsgrundlag, hvis det er muligt.
Regelmæssigt tynde indbakken og udbakken
GDPR kræver, at virksomheder sletter eller anonymiserer personoplysninger, når de ikke længere er nødvendige til det formål, hvortil de blev indsamlet. Mange personoplysninger, der er indeholdt i forskellige e-mails, behøver ikke at blive opbevaret i meget lang tid i forhold til formålet med behandlingen. For eksempel meddelelser med spørgsmål fra kunder, en anmodning fra en registreret om at have en ret i henhold til GDPR opfyldt eller lignende.
Glem ikke udbakken
En almindelig fejl, som mange virksomheder begår, når de sletter e-mails, er simpelthen at slette de ikke-væsentlige e-mails fra deres indbakke. Med andre ord glemmer virksomheder ofte at slette e-mails, der indeholder personoplysninger fra udbakken, hvilket er lige så vigtigt.
Har forudbestemte datoer
For at sikre, at e-mails, der indeholder personoplysninger, screenes regelmæssigt i overensstemmelse med GDPR, er det godt at have forudbestemte datoer. Det kan f.eks. fremgå af de skriftlige instrukser, at alle medarbejdere skal gennemgå deres indbakke og udbakke hvert kvartal, halvårligt eller årligt for at slette det, der ikke er nødvendigt for at fortsætte behandlingen.
Undtagelser
Hvis en e-mail indeholder oplysninger, som virksomheden har brug for til at forsvare eller bestride et retskrav, kan denne dokumentation gemmes, så længe det er relevant for sagen. Behandlingen udføres derefter på grundlag af virksomhedens legitime interesse i at forsvare eller bestride et retskrav.
Er det tilladt at sende lønsedler via e-mail?
Svaret på spørgsmålet er, at det afhænger af, hvad lønsedlen indeholder, og om e-mailen er krypteret. Mange lønsedler indeholder oplysninger om sygefravær, som udgør følsomme personoplysninger i henhold til GDPR. Det betyder bl.a., at virksomheden skal håndtere de følsomme personoplysninger med større sikkerhed end “almindelige personoplysninger”, f.eks. ved ikke at sende dem via ukrypteret e-mail. Med andre ord bør lønsedler ikke sendes via ukrypteret e-mail, hvis de indeholder oplysninger om sygefravær eller andre følsomme personoplysninger.
Send heller ikke andre privatlivsfølsomme personoplysninger via ukrypteret e-mail.
Der er fire grupper af privatlivsfølsomme data, hvoraf følsomme personoplysninger er en. Eksempler på personlige oplysninger, der er følsomme over for privatlivets fred, er: kreditkortnummer, CPR-nummer og oplysninger om overtrædelser af loven. Virksomheder bør ikke sende privatlivsfølsomme personoplysninger via ukrypteret e-mail, som den svenske tilsynsmyndighed har præciseret.
Overførsel af personoplysninger til tredjelande via e-mail
Definitionen af et tredjeland i henhold til GDPR
Et tredjeland er et land uden for EU/EØS, og når der overføres personoplysninger der, er reglerne strengere. Hvis tredjelandet har et tilstrækkeligt beskyttelsesniveau, som kun Europa-Kommissionen kan træffe afgørelse om, er det tilladt at overføre personoplysninger der uden at skulle træffe yderligere sikkerhedsforanstaltninger, f.eks. EU's standardbestemmelser.
Det er ikke ualmindeligt, at virksomheder sender e-mails, der indeholder personoplysninger, til en modtager, der befinder sig i et tredjeland. Hvis det er en lejlighedsvis e-mail, er der normalt ikke noget problem uden nogle ekstra sikkerhedsforanstaltninger, selv om landet ikke har et tilstrækkeligt beskyttelsesniveau. Virksomheden kan dog være nødt til at træffe ekstra beskyttelsesforanstaltninger, hvis dette er noget, der sker regelmæssigt.
Arbejdsgivere, der behandler personoplysninger om medarbejdere via e-mail
Samtykke er ikke et passende retsgrundlag til støtte for en behandling af, om magtforholdet mellem de to parter er ulige. For eksempel mellem en arbejdsgiver og en medarbejder. Hvis en arbejdsgiver behandler medarbejdernes personoplysninger via e-mail, kan legitim interesse være et passende grundlag at bruge til behandlingen i stedet. Alternativt med henblik på opfyldelse af kontrakten med den registrerede (dvs. ansættelseskontrakten).
Positiv til at beskrive behandlingen af e-mails i privatlivsmeddelelsen
Virksomhederne underretter de registrerede om, hvordan de behandler deres personoplysninger, hvilket fremgår af princippet om lovlighed, rimelighed og gennemsigtighed, som er et af de syv databeskyttelsesprincipper. Oplysningerne vises normalt i en meddelelse om beskyttelse af personlige oplysninger, og det er godt at medtage, hvordan virksomheden behandler personoplysninger i sin e-mail. For eksempel oplysninger om opbevaring og hvor ofte de aflives. Meddelelsen om beskyttelse af personlige oplysninger bør også knyttes til virksomhedens e-mail-signatur, således at modtagerne af e-mailen informeres om behandlingen.
Mere om GDPR
Behandling af personoplysninger er almindelig i HR-arbejde
Virksomheder skal behandle personoplysninger i deres HR-arbejde. Alt fra behandling før ansættelsen, under ansættelsen til efter ansættelsens ophør. Derudover behandler virksomheder normalt følsomme personoplysninger om deres medarbejdere. F.eks. oplysninger om sygefravær og lægeerklæringer i forbindelse med sygefravær. Ud over de følsomme personoplysninger behandler virksomheder normalt også personoplysninger, der kan være subjektivt følsomme over for privatlivets fred, såsom vurderinger af medarbejderens arbejdsindsats. Det er vigtigt at huske, at medarbejdere har de samme rettigheder som andre registrerede i henhold til GDPR. Arbejdsgivere skal behandle medarbejdernes personoplysninger med samme omhu som deres kunder.