meny

Hantera personuppgifter i e-post

E-post innehåller nästan alltid personuppgifter. Det betyder att dataskyddsförordningen gäller för e-post, precis som för all annan personuppgiftsbehandling.

E-post innehåller oftast personuppgifter

E-post innebär i princip alltid att man behandlar personuppgifter. Själva e-postadressen i sig är oftast en personuppgift och all annan information i meddelandet som kan kopplas till en enskild person är också personuppgifter.

Den personuppgiftsbehandling som sker i e-post ska därför finnas med i er organisations förteckning över personuppgiftsbehandling och uppfylla alla andra krav i dataskyddsförordningen.

Rättsliga grunder för att behandla personuppgifter i e-post

Ni måste göra samma bedömningar för behandlingen av personuppgifter i e-post som för behandlingen av personuppgifter i andra system. Det innebär bland annat att ni måste ha en rättslig grund som tillåter att ni behandlar personuppgifterna. Det kan till exempel vara att ni har eller ska ingå ett avtal med den ni har e-postkontakt med, eller att kontakten sker som ett led i er myndighetsutövning.

Läs mer om olika rättsliga grunder

Det som skiljer e-post från annan uppgiftshantering är att innehållet oftast är okänt när e-posten kommer in till verksamheten. Utgångspunkten är att en verksamhet behöver ta hand om inkommande post. Företag och privata organisationer kan därför som regel behandla personuppgifter i inkommande e-post med stöd av en intresseavvägning och myndigheter kan som regel stödja sig på att det är ett allmänt intresse.

När e-posten väl är mottagen beror det på innehållet om och hur länge det får sparas. När ni läst e-posten måste ni därför bedöma hur personuppgifterna ska behandlas och vilket rättsligt stöd ni har för den fortsatta behandlingen. Personuppgifter som ni får fortsätta att behandla i exempelvis ett ärendehanteringssystem bör ni överföra dit och sedan bör ni radera e-postmeddelandet.

Myndigheter

E-post som kommer in till en myndighet blir normalt en allmän handling som ska registreras eller hållas ordnad. Enligt arkivlagen är myndigheter, kommunala bolag och vissa andra organ skyldiga att bevara allmänna handlingar. Utgångspunkten är att det är tillåtet att behandla personuppgifter för att uppfylla kraven i arkivlagen om bevarande av allmänna handlingar. Alla e-postmeddelanden hos myndigheter är dock inte allmänna handlingar, till exempel privata meddelanden och meddelanden inom en facklig organisation.

Flytta personuppgifter till andra system

Det är ofta olämpligt att använda e-post för att behandla personuppgifter långsiktigt, både för myndigheter och för privata organisationer. E-post är inte en säker förvaring och det kan vara svårt att hitta uppgifter om en enskild i e-posten eller säkerställa att uppgifterna blir borttagna när de inte längre behövs. För att göra det lättare att följa dataskyddsförordningen kan det därför vara viktigt att flytta vissa uppgifter från e-posten till ett lämpligare system, som ett ärendehanteringssystem eller kundregister.

Ta fram riktlinjer och utbilda alla i er organisation

Alla i er organisation måste känna till hur de ska hantera e-post. Ta fram regler och rutiner för hur ni behandlar personuppgifter i e-post, och se till att alla kan följa dem.

Sprid inte personuppgifter

Sprid inte personuppgifter i onödan. Skicka bara personuppgifter till dem som behöver uppgifterna för sitt arbete.

Om du skickar e-post till många samtidigt, överväg om adresserna ska skrivas i fältet för dold kopia (bcc).

Känsliga personuppgifter

Undvik e-post för känsliga eller integritetskänsliga uppgifter. Om ni måste använda e-post för integritetskänsliga uppgifter, använd e-post som är skyddad med kryptering så att endast den avsedda mottagaren kan ta del av uppgifterna.

Försök att i möjligaste mån styra bort från att enskilda skickar in känsliga personuppgifter via oskyddad e-post. Om ni får in känsliga uppgifter via e-post, se till att de tas bort från e-postsystemet så snart som möjligt. Om ni får lagra den typen av uppgifter bör ni så snart som möjligt överföra dem till det system där de hör hemma – till exempel ett ärendehanteringssystem.

Informera alla som kontaktar er

När någon skickar e-post till er är utgångspunkten att ni måste informera dem om hur ni hanterar deras personuppgifter.

Läs mer om rätten till information

Ni kan till exempel informera genom ett svar eller ett autosvar där ni länkar till en integritetspolicy på er webbplats, eller redan i kontaktformuläret om ni använder ett sådant.

Personer som omnämns i e-post

Om en person skickar e-post till er och nämner en tredje person så kan ni behöva informera den tredje personen om att ni behandlar personuppgifter om hen. Ni måste göra en sammanvägd bedömning utifrån omständigheterna i varje enskilt fall om arbetsinsatsen för att få tag i personen och ge informationen står i proportion till vikten av att personen informeras. Dataskyddsförordningen kräver inte att ni skaffar eller behandlar ytterligare information för att identifiera den registrerade personen endast i syfte att följa förordningen.

Om det rör sig om personuppgifter av okänslig karaktär, exempelvis i sedvanlig e-postkorrespondens mellan kollegor eller i andra vardagliga meddelanden, anser Datainspektionen att det normalt sett är oproportionerligt att kräva att den tredje personen informeras särskilt.

Behandling av sådana kategorier av registrerade kan finnas med i ert register över behandlingar enligt artikel 30 i dataskyddsförordningen. Det kan även vara lämpligt att på er webbplats i en allmän information om er behandling av personuppgifter nämna förekomsten av sådan behandling av personuppgifter om tredje person.

Datainspektionen rekommenderar

  • När ni mottagit och läst e-posten, bedöm om uppgifterna ska bevaras och var det i så fall ska ske för att uppfylla de krav som gäller för just dessa uppgifter.
  • Skicka inte känsliga personuppgifter i oskyddad e-post.
  • Informera på er webb i samband med e-postadressen hur ni behandlar personuppgifter eller länka därifrån till er integritetspolicy.
  • Om ni skickar svarsmejl eller autosvar, bifoga en standardtext där ni informerar den som skickat e-post om hur ni behandlar personuppgifter eller länka till en integritetspolicy på er webbplats.
  • Informera alla i er organisation om reglerna och rutinerna för hur ni behandlar personuppgifter i er organisation. Se också till att rutinerna hålls levande.