När man hanterar personuppgifter i e-post s�� behöver man vara extra försiktig. Vi har tidigare berättat om hur man med hjälp av samtycke kan ha rättslig grund för att hantera personuppgifter. Men när det handlar om e-post så tillkommer ytterligare en aspekt – nämligen säkerhet. Det gäller att ha en acceptabel it-säkerhet, så att den så kallade konsekvensbedömningen möjliggör att personuppgifter hanteras. I den här artikeln går vi igenom vad du bör vidta för åtgärder om du arbetar med personuppgifter i e-post.

E-post kräver att man har en acceptabel it-säkerhet.

Säkerhet och risker med e-post

Datainspektionens text är tydlig. För behandling av personuppgifter i e-post ska man vidta extra säkerhetsåtgärder. Även om man har den registrerades samtycke så får man här inte frångå reglerna. Det handlar i grund och botten om människors personliga integritet.

Risken vid hantering av personuppgifter i e-post ligger i att det finns en möjlighet att någon annan får del av uppgifterna. De kommunikationsprotokoll som ligger till grund för e-post är gamla. E-post började faktiskt skickas innan internets födelse. Även om det tillkommit många olika säkerhetssystem, så är det trots allt fortfarande ett relativt osäkert sätt att kommunicera på. Utöver alla risker som finns inbyggda i systemen så tillkommer även risken med den mänskliga faktorn. Autocorrect är en funktion som ökar riskerna. Man kan helt enkelt i all hast skicka ett e-postmeddelande till fel person.

Om det funnes en knapp som löste alla problem med Dataskydssförordningen skulle vi ha sålt den till er.

Vem bär ansvaret?

Alla verksamheter ska ha en personuppgiftsansvarig. Det är en person som är ansvarig för att personuppgifter hanteras på ett korrekt sätt i verksamheten. Arbetet och rutinerna bör dokumenteras för att enkelt kunna tas över av en eventuell ersättare. Det kan även finnas personuppgiftsbiträden i en verksamhet, vars syfte är, precis som det låter, att biträda den personuppgiftsansvarige med arbetet.

Om du är anställd i ett bolag och känner dig osäker på hanteringen av personuppgifter i något fall som rör dina uppgifter, så ska du alltid kontakta den personuppgiftsansvarige och inte ta några initiativ på egen hand.

Den personuppgiftsansvarige ska göra en riskbedömning, även kallad konsekvensbedömning, för att avgöra om hanteringen är befogad eller er. Man tittar då på riskbilden och försöker få fram vilken typ av händelser som skulle kunna inträffa vid hanteringen av e-post. Sedan försöker man utröna hur stor risken är att något sådant skulle inträffa. Slutligen behöver man se till den drabbade och få fram vilka konsekvenser det kan bli för den registrerade. Finns det något man kan göra för att minska risken?

Se till att bygga en korrekt kultur inom organisationen

När det gäller hanteringen av e-post så är det i regel en stor andel av personerna i en organisation som är med och hanterar dessa. Här gäller det alltså att bygga en sund kultur som efterlevs av alla i organisationen. Det ska helt enkelt vara relativt klart för alla i organisationen vad man kan göra, vad man inte bör göra och vad man absolut inte ska göra. Jobba därför aktivt med dokumentation och även information inom organisationen. Ta fram en policy som nya anställda kan ta del av.

Jobbar du på en myndighet så gäller exakt samma regler. Dataskyddsförordningens text gör ingen skillnad på myndigheter och privata bolag. Här är det alltså den registrerade som står i centrum och det är personernas integritet som varit huvudsyftet med att ta fram GDPR:s text. För mer upplysningar om Rättsakutens tjänster inom GDPR Dataskyddsdirektivet klicka här. Önskar ni vet hur en konsekvensbedömnings ska genomföras klicka här. Om ni önskar veta hur man ska behandla personuppgifter enligt gällande lagstiftning klicka här.

Kontakta Rättsakutens jurister!