Gäller GDPR alla mina medarbetares mejl?

Luftballong med EU-flagga där det står "Dataskyddsförordningen, 25 maj 2018".

Fråga experten En kollega till mig sade att GDPR gäller för varenda namn och adress som finns nånstans i min e-postlåda? Kan det verkligen vara så? Där finns tusentals mejl och jag har ingen översikt över allt som finns där, än mindre över vad som finns i mina medarbetares e-postlådor. Vad ska jag göra?

Johanna Wallnäs, Dataskyddsombud på Svenskt Näringsliv och konsult på Accndo.
Foto: Jan Anjam/Studio Tabild
Johanna Wallnäs, Dataskyddsombud på Svenskt Näringsliv och konsult på Acando.

Det är rätt uppfattat av din kollega att personuppgifter i e-post omfattas av GDPR, det vill säga dataskyddsförordningen.

En av nyheterna när förordningen börjar gälla den 25 maj är att de enklare reglerna som vi har haft i Sverige för ostrukturerad text, exempelvis e-post, texter på hemsidor och worddokument, försvinner. Själva e-postadressen i sig är ofta en personuppgift, men även annan information i meddelandet som kan kopplas till en person är personuppgifter.  

Detta innebär att företag och organisationer måste förändra sitt arbetssätt och införa nya rutiner. Ställ er frågan: Vad har vi för rättslig grund för att behandla personuppgifterna? Kanske har ni ingått ett avtal eller ska ingå ett avtal?

En annan bra fråga att utgå från är syftet med mejlet. Svaret kommer att avgöra hur länge ni får spara det.

Företag ska alltså följa de grundläggande principerna kopplade till GDPR och behöver sätta upp tydliga riktlinjer kring hanteringen av e-post och se till att alla i företaget känner till reglerna och rutinerna. Löpande behöver personalen, när de läst e-post, bedöma bland annat hur länge mejlen ska sparas utifrån syftet och ändamål. Ett sätt att hantera mejl är att arbeta med olika mappar eller flaggning av mejl för att på så sätt lättare kunna hantera meddelanden som till exempel ska rensas oftare.

Ytterligare handfasta råd är att det är lättare att följa förordningen om ni flyttar vissa uppgifter från e-posten till ett lämpligare system, som ett ärendehanteringssystem eller kundregister.

Dessutom är det viktigt att tänka på att inte sprida personuppgifter i onödan, till exempel genom att inte bifoga filer utan istället länka till dem. Skicka bara personuppgifter till dem som behöver uppgifterna för sitt arbete och om någon skickar mejl till många samtidigt, överväg om adresserna ska skrivas i fältet för dold kopia (BCC).

Slutligen bör ni tänka på att inte skicka känsliga personuppgifter i oskyddad e-post, exempelvis uppgifter om hälsa.

Förordningen ställer som sagt var nya krav på företag, men se det som en möjlighet att rensa bland sparat material och att arbeta mer strukturerat framöver.

Johanna Wallnäs

Johanna Wallnäs