GDPR og kommunikasjon
Behandling av personopplysninger ved bruk av e-post
Behandling av personopplysninger i sammenheng med bruk av e-post er vanlig praksis i næringslivet. Det er derfor nyttig å kjenne reglene i GDPR i denne forbindelse, for ikke å bryte dem.
Behandle personopplysninger ved bruk av e-post
Behandling av personopplysninger ved bruk av e-post i virksomheten er svært vanlig. Fra når potensielle ansatte sender sin CV, sender klienter forespørsler, e-postmeldinger mellom ansatte og mye mer.
Det er mange situasjoner der selskaper sender e-post som inneholder personopplysninger og dermed må overholde reglene i GDPR. I tillegg kan en e-postadresse i seg selv utgjøre personopplysninger.
Bruke e-post til å sende reklame
Det er vanlig for bedrifter å bruke e-post som en markedsføringskanal. Bedrifter kan sende markedsføring e-post til både tidligere kunder og potensielle nye kunder. Som markedsføring er involvert, kan det også være nasjonale lover som regulerer hvordan bedrifter kan gjøre det. På den annen side må foretak også overholde reglene i GDPR, da det gjelder behandling av personopplysninger.
Reglene for samtykke ved utsendelse kan være forskjellige i de ulike medlemsstatene
Vær oppmerksom på at det kan være nasjonale markedsføringslover som krever samtykke til utsendelse for markedsføringsformål. I Sverige kreves for eksempel samtykke dersom det er et «kaldt forhold» etter markedsføringsloven. Det vil si at det ikke tidligere har vært et kommersielt forhold mellom foretaket og mottakeren av e-postmarkedsføringen. Hvis det derimot har vært et forretningsforhold tidligere, er samtykke ikke nødvendig, da behandlingen kan være basert på legitim interesse som lovlig grunnlag i stedet. Vær imidlertid oppmerksom på at selskapet må slutte å sende mail-mail-mail-mail-mail-mail-mail-mail-mail-mail-mail-mail-mail-ma@@
Feilmeldinger er et vanlig brudd på personopplysninger
En av de vanligste bruddene på personopplysninger er e-post sendt ved en feil. Dette gjøres vanligvis ved å feilstave mottakerens e-post når du sender en e-post som inneholder personopplysninger. For å unngå dette er det nyttig å skape klare prosedyrer for ansatte. For eksempel, gjør det til en del av databeskyttelseskulturen i selskapet å alltid kryssjekke slik at mottakeren er riktig identifisert. I tillegg er det viktig å huske på at mange svindlere / svindlere sender e-postmeldinger som sier at de er noen de ikke er. Derfor er det også godt å alltid dobbeltsjekke at mottakeren er den de utgir seg for å være.
Kontrakter med registrerte kan være det juridiske grunnlaget i noen tilfeller
I noen tilfeller brukes e-post som kommunikasjonsmiddel for å inngå kontrakter. For eksempel, hvis en person ønsker å bestille en tjeneste på et nettsted, og meldingen sendes til e-postene til selskapet. Vær imidlertid oppmerksom på at det kan være å foretrekke å lagre personopplysningene på et annet juridisk grunnlag hvis det er mulig.
Tynn innboks og utboks med jevne mellomrom
GDPR krever at selskaper sletter eller anonymiserer personopplysninger når de ikke lenger er nødvendige for formålet de ble samlet inn for. Mange personopplysninger i ulike e-poster trenger ikke lagres i svært lang tid i forhold til formålet med behandlingen. For eksempel meldinger med spørsmål fra kunder, en forespørsel fra en registrert for å få en rett under GDPR eller lignende.
Ikke glem utboksen
En vanlig feil som mange bedrifter gjør når de sjekker e-post, er å bare slette de ikke-essensielle e-postene fra innboksen. Med andre ord glemmer bedrifter ofte å slette e-postmeldinger som inneholder personopplysninger fra utboksen, noe som er like viktig.
Har forhåndsbestemte datoer
For å sikre at e-poster som inneholder personopplysninger slettes regelmessig i samsvar med GDPR, er det nyttig å ha forhåndsbestemte datoer. For eksempel kan de skriftlige instruksjonene angi at alle ansatte må gjennomgå innboksen og utboksen hvert kvartal, halvårlig eller årlig, for å slette det som ikke er nødvendig for å fortsette behandlingen.
Unntak
Hvis en e-post inneholder informasjon som selskapet trenger for å forsvare eller bestride et juridisk krav, kan filen beholdes så lenge det er relevant for saken. Behandlingen utføres deretter i selskapets legitime interesse for å forsvare eller bestride et juridisk krav.
Er det tillatt å sende lønnsslipper via e-post?
Svaret på spørsmålet er at det avhenger av hva lønnsslippen inneholder og om e-posten er kryptert. Mange lønnsslipper inneholder informasjon om sykefravær, som utgjør sensitive personopplysninger i henhold til GDPR. Dette innebærer blant annet at bedriften må håndtere de sensitive personopplysningene med større sikkerhet enn «vanlige personopplysninger», som for eksempel å ikke sende dem via ukryptert e-post. Med andre ord, lønnsslipper skal ikke sendes via ukryptert e-post hvis de inneholder informasjon om sykefravær eller andre sensitive personopplysninger.
Ikke send andre personvernsensitive personopplysninger via ukryptert e-post heller
Det er fire grupper av personvernsensitive data, hvorav den ene er sensitive personopplysninger. Eksempler på personvernsensitive personopplysninger inkluderer: kredittkortnummer, personnummer og opplysninger om lovbrudd. Selskaper bør ikke sende personvernsensitive personopplysninger via ukryptert e-post, som blant annet avklart av den svenske tilsynsmyndigheten.
Overføring av personopplysninger til tredjeland via e-post
Definisjonen av «tredjeland» i henhold til GDPR
Et tredjeland er et land utenfor EU/EØS, og det er strengere regler for overføring av personopplysninger. Dersom dette tredjelandet har et tilstrekkelig beskyttelsesnivå, som bare EU-kommisjonen kan bestemme seg for, er det tillatt å overføre personopplysninger der uten å måtte ta ytterligere forholdsregler, for eksempel EUs standardklausuler (SCC).
Det er ikke uvanlig at selskaper sender e-post som inneholder personopplysninger til en mottaker som befinner seg i et tredjeland. Hvis det er individuelle e-postmeldinger, er det normalt ikke noe problem uten ytterligere sikkerhetstiltak, selv om landet ikke har et tilstrekkelig beskyttelsesnivå. På den annen side kan det hende at selskapet må ta ytterligere beskyttelsestiltak hvis dette skjer regelmessig.
Arbeidsgivere som behandler ansattes personopplysninger via e-post
Samtykke er ikke et passende rettslig grunnlag for å støtte behandlingen av ulike maktforhold mellom de to partene. For eksempel mellom arbeidsgiver og arbeidstaker. Hvis en arbeidsgiver behandler ansattes personopplysninger via e-post, kan legitim interesse være et hensiktsmessig grunnlag å bruke for behandlingen i stedet. Alternativt, for utførelsen av kontrakten med den registrerte (dvs. arbeidskontrakten).
Positiv til å beskrive behandlingen av e-post i personvernerklæringen
Bedrifter må informere de registrerte om hvordan de behandler sine personopplysninger, noe som fremgår av prinsippet om lovlighet, rettferdighet og åpenhet, som utgjør et av de syv databeskyttelsesprinsippene. Informasjonen er vanligvis inneholdt i en personvernerklæring, og det er nyttig å inkludere hvordan selskapet behandler personopplysninger i sin e-post. For eksempel informasjon om lagring og hvor ofte de blir avlivet. Personvernerklæringen skal også fremgå av selskapets e-postsignatur, slik at mottakerne av e-posten blir informert om behandlingen.
Mer om GDPR
Behandling av personopplysninger er vanlig i HR-arbeid
Bedrifter må behandle personopplysninger i sitt HR-arbeid. Fra behandling før arbeidsforholdet, under arbeidsforholdet til etter at arbeidsforholdet er avsluttet. I tillegg behandler selskaper vanligvis sensitive personopplysninger om sine ansatte. For eksempel informasjon om sykefravær og legeattester ved sykefravær. I tillegg til de sensitive personopplysningene, behandler selskaper også typisk personopplysninger som kan være subjektivt personvernsensitive, for eksempel vurderinger av den ansattes prestasjoner. Det er viktig å huske på at ansatte har de samme rettighetene som andre registrerte under GDPR. Arbeidsgivere må behandle ansattes personopplysninger med samme varsomhet som kundene.