I dagens samhälle är det vanligt att ens arbetsmejl innehåller flertalet personuppgifter och olika typer av behandlingar. Vi får många frågor kring hur e-postmeddelande ska hanteras enligt GDPR. Därför beskriver vi i detta blogginlägg hur ni kan hantera er e-post på ett GDPR-smart sätt!
Personuppgiftsbehandling
De flesta e-postmeddelandena innehåller personuppgifter, ofta både i form av mejladresserna på parterna som berörs och genom innehållet i mejlet. När dessa personuppgifter lagras, skickas från eller inkommer till mejlen sker personuppgiftsbehandling. Eftersom att det i princip alltid är personuppgiftsbehandling som sker i e-posten ska den finnas med i er förteckning över personuppgiftsbehandlingar. Er hantering av e-posten ska även uppfylla de övriga krav som ställs upp i GDPR.
Ett av dessa övriga krav, ett viktigt sådant, är att all personuppgiftsbehandling ska ha en laglig grund för behandling. Ni kan läsa mer om lagstöden här. Beroende på vad mejlet innehåller och varför ni behandlar personuppgifterna i mejlet kan denna lagliga grund skilja sig åt.
Exempel:
- Ni mejlar med en privat kund kring villkor i ett avtal som snart kommer finnas på plats. I detta fall kan den personuppgiftsbehandling som sker knytas till avtalet och därmed kan den lagliga grunden avtal användas.
- Ni mejlar ut reklambrev till tidigare kunder, som köpt en tjänst eller vara av er och kan vara intresserade av ett erbjudande. Om ni har gjort en giltig intresseavvägning för behandlingen, där resultatet blivit att den registrerades integritet inte väger tyngre än ert intresse av att behandla personuppgifterna, kan den lagliga grunden berättigat intresse användas.
E-postens andra sida
Det som gör e-post oberäknelig är att det kan inkomma e-postmeddelanden med ett för er okänt innehåll. För att verksamheten ska fungera behövs det dock som regel finnas en möjlighet att behandla personuppgifter i inkommande mejl. Här kan en intresseavvägning göras för privata organisationer och företag. För myndigheter är det möjligt att behandla personuppgifterna med stöd av den lagliga grund som kallas allmänt intresse, om behandlingen har koppling till denna del av er verksamhet.
Dessa lagstöd fungerar troligtvis för behandlingen inledningsvis, när mejlet kommer till inkorgen. Efter att ni läst mejlet måste ni dock ta ställning till om innehållet får sparas och, för det fall att innehållet får sparas, vilket lagstöd ni använder er av fortsättningsvis. Ni behöver även ta ställning till hur länge innehållet i mejlet får sparas. Är det möjligt bör ni föra över informationen från mejlet till ett annat system, där ni enklare kan säkerställa att GDPR efterlevs.
Information till registrerad
Informationsskyldigheten gentemot de registrerade gäller även i fallet med personuppgiftsbehandling i e-post. Om ni får ett e-postmeddelande bör ni informera den som skickat meddelandet om hur ni hanterar deras personuppgifter. Ett sätt att uppfylla informationsskyldigheten är att ha en personuppgiftspolicy på er hemsida, som ni länkar till i svarsmejlet till de som skickar e-postmeddelanden till er.
I e-postmeddelande nämns ibland personer som inte är inkluderade i mejlkonversationen. Det kan krävas av er att skicka information även till en person som nämns i konversationen för att ni ska anses uppfylla er informationsskyldighet. För att avgöra om ni behöver skicka sådan information till den tredje personen bör ni göra en bedömning: väg arbetsinsatsen från ert håll för att kontakta personen mot vikten av att personen får informationen. Tänk på att proportionalitetsprincipen (vad är rimligt?) är en del av ert GDPR-arbete.
Särskilt om löneuppgifter i e-post
Lönespecifikationer innehåller i princip alltid personuppgifter och skickas av många organisationer via e-post till anställda. I vissa fall finns information om frånvaro p.g.a. sjukdom i en lönerapport. Detta är en uppgift om hälsa, vilket är en s.k. särskild kategori av personuppgifter. Särskilda kategorier av personuppgifter anses extra känsliga och förtjänar extra skydd enligt GDPR. Läs mer om känsliga personuppgifter här. Om en lönespecifikation innehåller uppgifter om exempelvis hälsa bör denna hanteras särskilt varsamt.
Det finns inget uttryckligt krav i GDPR som förbjuder er från att skicka löneuppgifter via e-post, men för att uppfylla de krav som förordningen ställer på säkerhet kan det vara bra att inte välja e-post som kommunikationsmedel för löneuppgifter. Det är dock upp till den personuppgiftsansvarige att göra bedömningen av vilken säkerhet som är lämplig med beaktande av vilka personuppgifter som berörs i de respektive behandlingarna.
Särskilt om upphörande av anställning
En fråga som kan vålla bekymmer är vad som ska ske med en anställds e-post när personen slutar på företaget. För att få fortsätta behandla personuppgifterna som troligtvis finns i inkorg och skickat-mapp kan ni använda er av den lagliga grunden berättigat intresse, om ert intresse av att behandla personuppgifterna väger tyngre än den enskildes intresse av att inte få sina personuppgifter behandlade. Det rör sig här om personuppgifter från den tidigare anställda och personer som denne haft kontakt med. Även här måste ni uppfylla er informationsskyldighet och det är viktigt att ni har rutiner för hantering av tidigare anställdas mejl.
Flera behandlingar
Tänk på att det ofta är flera, olika behandlingar som sker i er e-post. Ni skickar troligtvis mejl till kollegor, kunder, medlemmar, leverantörer med flera. Det går därför inte att bestämma endast en laglig grund för all behandling i er e-post. Vi informerar gärna om vad detta kan innebära för er verksamhet!
Vill ni veta mer?
Kontakta oss gärna på vår mejl, info@gdprhero.se, eller på telefonnummer 046 – 273 17 17.