Vad säger GDPR om personuppgifter i email?

Fråga: Hur skall jag hantera personuppgifter i email med hänsyn till GDPR? Vilka regler gäller? Hur gör jag om någon, som omnämns eller är adresserad i ett eller flera email, vill bli ”glömd”? Hur skall jag agera om flera personer varit med i mailkonversationen? Vilket ansvar har jag?

Svar: GDPRs samtyckes- eller t.ex. gallrings-regler gäller email också. Det innebär alltså att samtycke krävs för att lagra eller processa information via email (se även tidigare bloggar om samtycke och sociala medier, Facebook).

Det som kan göra email lite extra utmanande är t.ex när någon begär att bli glömd och man blandat in en eller flera personer i konversationer med ett eller flera ämnen/ärenden. I detta blogginlägg fokuserar vi därför på frågorna om mail och samtycke samt rätten att bli glömd.

Situationen som avgör

Om en mailkonversation behandlar ett ärende som är nödvändigt för att uppfylla kravet på er affärsöverenskommelse så behövs inte ytterligare samtycke. När ärendet är utagerat skall dess personuppgifter gallras bort, förutsatt att inget av de andra kraven för ”hantering av personuppgifter” är gällande. ”Rätten att bli glömd” kommer sannolikt tillämpas när person tar tillbaka samtycke och tvingar företaget att gallra. Om ärendet (mailet) behöver sparas, t.ex. som underlag för bokföringstransaktion, så skall det inte gallras även om kunden begärt att bli glömd.

Underlätta framtida hantering av samtycke och gallring

Om mailkonversationen innehåller flera ämnen/ärenden och/eller flera personers uppgifter uppstår en praktisk utmaning och behovet av särskilda processer eller mekanismer som hanterar email uppstår. Beroende på situationen så kan mailkonversationer behöva redigeras för att gallra bort enbart vissa uppgifter.  Samtidigt kan vissa delar, av t.ex. bokföringsmässiga- eller andra regulatoriska skäl, vara tvingande att lagras.

För att underlätta framtida hantering av samtycke och gallring kan några enkla regler införas:

  1. Använd email enbart som transportör av information, dvs ej för t.ex. lagring eller process (eg. ”master”) av vital information (på detta sätt kan mail gallras utan att vital information går förlorad)
  2. Se till att ha endast ett ärende per email-konversation
  3. Undvik massutskick och att skicka listor/personuppgifter i innehållet i ett email.
  4. Skapa effektiva och säkra rutiner för att löpande gallra email och säkerställa att det finns mekanismer för att hitta och processa personuppgifter, både i adressfält och/eller innehåll.

En djupare analys krävs

För att kunna ge råd om hantering av historiska email-konversationer – som också omfattas av GDPR – behövs en djupare analys. Allmänt kan dock sägas att man bör gallra email så mycket som möjligt. Detta underlättas om mailen enbart använts som transportör, dvs att vital information lagras och processas i andra applikationer. Om möjligt, sortera det som faller under regler där samtycke ej erfordras. Begär samtycke för kvarvarande och slutligen hantera (dvs. gallra) de mail som innehåller personuppgifter för de som inte beviljat samtycke.

Processing will only be lawful if ONE of the following conditions is met:

  1. Data subject gives consent for one or more specific purposes.
  2. Processing is necessary to meet contractual obligations entered into by the data subject.
  3. Processing is necessary to comply with legal obligations of the controller.
  4. Processing is necessary to protect the vital interests of the data subject.
  5. Processing is necessary for tasks in the public interest or exercise of authority vested in the controller.
  6. Processing is for the purposes of legitimate interests pursued by the controller.

Data subjects have the right to the ERASURE of personal data where ONE of the following grounds applies: 

  1. The data are no longer necessary in relation to the purposes for which they were collected or otherwise processed.
  2. The data subject withdraws the consent on which the processing is based and where there is no other legal ground for the processing.
  3. The data subject objects to the processing and there are no overriding legitimate grounds for the processing.
  4. The personal data have been unlawfully processed.
  5. The personal data have to be erased for compliance with a legal obligation.
  6. The personal data have been collected in relation to the offer of information society services.

Om du har frågor kring GDPR kopplat till din egen verksamhet, hör av dig till oss så kan vi hjälpa dig vidare!

By | 2017-10-19T13:12:01+00:00 oktober 15th, 2017|Modern IT-Strategi|0 Comments
Loading...
Additionally, paste this code immediately after the opening tag: