GDPR och kommunikation
Behandling av personuppgifter vid användning av e-post
Det är vanligt med behandling av personuppgifter vid användning av e-post inom näringslivet. Därför är det bra att känna till reglerna i GDPR gällande detta, för att inte råka bryta mot dem.
Behandla personuppgifter vid användning av e-post
Behandling av personuppgifter vid användning av e-post inom näringslivet är väldigt vanligt. Alltifrån när potentiella anställda skickar in sitt CV, kunder skickar in förfrågningar, personalen mejlar mellan varandra och mycket mer.
Det finns många situationer där företag skickar e-post som innehåller personuppgifter och därmed måste följa reglerna i GDPR. Dessutom kan en e-postadress i sig utgöra en personuppgift.
Att använda e-post för att skicka ut reklam
Det är vanligt för företag att använda e-post som en marknadsföringskanal. Företag kan skicka e-postmeddelanden med marknadsföring till både tidigare kunder och potentiella nya kunder. I och med att det är fråga om marknadsföring, kan det även finnas nationella lagar som reglerar hur företag får göra. Däremot måste företag följa reglerna i GDPR också, i och med att det avser en behandling av personuppgifter.
Reglerna kring samtycke vid mejlutskick kan skilja sig åt i de olika medlemsländerna
Observera att det kan finnas nationella lagar om marknadsföring som kräver samtycke vid mejlutskick i marknadsföringssyfte. I till exempel Sverige är det krav på samtycke om det är en ”kall relation”, enligt marknadsföringslagen. Det vill säga, i det fall det inte har förelegat en affärsrelation mellan företaget och mottagaren av e-postmarknadsföringen tidigare. Om det däremot har funnits en affärsrelation tidigare behövs inte samtycke, eftersom behandlingen kan stödjas på berättigat intresse som laglig grund istället. Observera dock att företaget måste upphöra med mailutskicken om personen begär det.
Felskickade meddelanden är en vanlig personuppgiftsincident
En av de allra vanligaste personuppgiftsincidenterna är felskickade e-postmeddelanden. Det brukar ske genom att någon felstavar mottagarens e-post när denne skickar ett mejl som innehåller personuppgifter. För att undvika detta, är det bra att skapa tydliga rutiner för medarbetare. Till exempel göra det en del av dataskyddskulturen inom företaget att alltid dubbelkolla så att mottagaren är korrekt angiven. Dessutom är det viktigt att tänka på att många scammers/bedragare skickar ut mejl där de uppger sig att vara någon som de inte är. Därför är det också bra att alltid dubbelkolla så att mottagaren är den denne utger sig att vara.
Avtal med registrerad kan vara den rättsliga grunden i vissa fall
I vissa fall används e-post som kommunikationsväg för att ingå avtal. Till exempel om en person vill beställa en tjänst på en webbplats och meddelandet skickas till e-posten hos företaget. Observera dock att det kan vara bättre att lagra personuppgifterna med en annan rättslig grund om det är möjligt.
Gallra inkorgen och utkorgen regelbundet
GDPR kräver att företag raderar eller anonymiserar personuppgifter när de inte längre är nödvändiga för syftet de blev inhämtade för. Många personuppgifter som finns i olika e-postmeddelanden behöver inte vara lagrade väldigt länge i förhållande till syftet med behandlingen. Till exempel meddelanden med frågor från kunder, en begäran från en registrerad om att få en rättighet enligt GDPR tillgodosedd eller liknande.
Glöm inte utkorgen
Ett vanligt misstag som många företag gör vid gallring av e-post, är att enbart radera de icke nödvändiga mejlen ur inkorgen. Med andra ord glömmer företag ofta att radera mejl som innehåller personuppgifter från utkorgen, vilket är precis lika viktigt.
Ha förutbestämda datum
För att se till att e-post som innehåller personuppgifter gallras regelbundet i enlighet med GDPR, är det bra att ha förutbestämda datum. Exempelvis kan det i de skriftliga instruktionerna framgå att samtliga medarbetare varje kvartal, halvårsvis eller årsvis ska gå igenom sin inkorg och utkorg, för att radera det som inte är nödvändigt att fortsätta behandla.
Undantag
Om ett mejl innehåller information som företaget behöver för att försvara eller bestrida ett rättsligt anspråk, får det underlaget sparas så länge det är relevant för ärendet. Behandlingen sker då med stöd i företagets berättigade intresse att försvara eller bestrida ett rättsligt anspråk.
Är det tillåtet att skicka lönespecifikationer via e-post?
Svaret på frågan är att det beror på vad lönespecifikationen innehåller samt om e-posten är krypterad. Många lönespecifikationer innehåller nämligen uppgift om sjukfrånvaro, vilket utgör en känslig personuppgift enligt GDPR. Det innebär bland annat att företaget måste hantera de känsliga personuppgifterna med större säkerhet än ”vanliga personuppgifter”, såsom att inte skicka det via okrypterad e-post. Med andra ord ska lönespecifikationer inte skickas via okrypterad e-post, om de innehåller uppgift om sjukfrånvaro eller andra känsliga personuppgifter.
Skicka inte heller andra integritetskänsliga personuppgifter via okrypterad e-post
Det finns fyra grupper av integritetskänsliga uppgifter, varav känsliga personuppgifter utgör en av dem. Exempel på integritetskänsliga personuppgifter är: kreditkortsnummer, personnummer och uppgifter om lagöverträdelser. Företag ska inte skicka integritetskänsliga personuppgifter via okrypterad e-post, vilket bland annat den svenska tillsynsmyndigheten har klargjort.
Överföringar av personuppgifter till tredjeland via e-post
Ett tredjeland är ett land utanför EU/EES, och vid överföringar av personuppgifter dit är reglerna striktare. Om det tredjelandet har en adekvat skyddsnivå, vilket enbart EU-kommissionen kan besluta om, är det tillåtet att överföra personuppgifter dit utan att behöva vidta några extra skyddsåtgärder, såsom EU:s standardklausuler (SCC).
Det är inte ovanligt för företag att skicka e-post med personuppgifter till en mottagare som befinner sig i ett tredjeland. Om det är enstaka mejl, är det normalt inga problem utan några extra skyddsåtgärder även om landet inte har adekvat skyddsnivå. Däremot kan företaget behöva vidta extra skyddsåtgärder om det är något som sker regelbundet.
Arbetsgivare som behandlar personuppgifter om anställda via e-post
Samtycke är inte en lämplig rättslig grund att stödja en behandling på om maktförhållandet mellan de två parterna är ojämlikt. Exempelvis mellan en arbetsgivare och arbetstagare. Om en arbetsgivare behandlar arbetstagarnas personuppgifter via e-post, kan berättigat intresse vara en lämplig grund att använda för behandlingen istället. Alternativt för fullgörandet av avtalet med den registrerade (det vill säga, anställningsavtalet).
Positivt att beskriva behandlingarna av e-post i integritetsmeddelandet
Företag ska informera de registrerade hur de behandlar deras personuppgifter, vilket framgår av principen om laglighet, korrekthet och öppenhet, som utgör en av de sju dataskyddsprinciperna. Informationen brukar framgå i ett integritetsmeddelande, och det är bra att inkludera hur företaget behandlar personuppgifter i sin e-post. Till exempel information om lagring och hur ofta de gallras. Integritetsmeddelandet bör även framgå länkad i företagets e-postsignatur, så att mottagare av e-posten blir informerad om behandlingen.
Mer om GDPR
Behandlingen av personuppgifter är vanligt vid HR-arbete
Företag behöver behandla personuppgifter i sitt HR-arbete. Allt ifrån behandling innan anställningen, under anställningen till efter anställningens upphörande. Dessutom brukar företag behandla känsliga personuppgifter tillhörande de anställda. Till exempel information om sjukfrånvaro och läkarintyg vid sjukskrivningar. Utöver de känsliga personuppgifterna brukar företag också behandla personuppgifter som kan vara subjektivt integritetskänsliga, såsom bedömningar om arbetstagarens arbetsprestation. Det är viktigt att komma ihåg att anställda har samma rättigheter som övriga registrerade enligt GDPR. Arbetsgivaren måste behandla anställdas personuppgifter med samma försiktighet som sina kunders.