Måste mejl raderas och vad ska man tänka på när man upprättar en e-postpolicy för sina anställda? GDPR-experten Monica Wendleby reder ut.
För drygt sju månader sedan började den europeiska lagstiftningen GDPR att tillämpas. Inför övergången från PUL till GDPR tog Resultat hjälp av Monika Wendleby, lärare på FAR:s utbildning ”GDPR – förstå och tillämpa den nya dataskyddsförordningen” för att få koll på vad som gäller. Nu är det dags igen för henne att svara på några frågor.
Måste alla mejl raderas efter viss tid eller endast de som innehåller ”känsliga” personuppgifter?
– Mejl får bara behållas så länge man har laglig grund. Du måste också veta ändamålet för hanteringen och utifrån det och den lagliga grunden kan du avgöra när du måste gallra.
Vad ska man tänka på när man upprättar en e-postpolicy för sina anställda? Det känns extremt att föreskriva att alla mejl ska rensas inom en viss tid. Vilken tid är rimlig?
– Det finns ingen central regel för hur e-post ska hanteras utan det beror på vilken typ av behandling det är. Det är för varje mejl viktigt att veta vilken laglig grund man stödjer behandling av personuppgifter på. Personuppgifter som inte längre är relevanta för ändamålet ska gallras. Ett mejl som skickats fel till företaget ska man ju till exempel radera direkt, men ett business to business-mejl utan känsliga personuppgifter är inte så känsligt att lagra längre, exempelvis om man förhandlar om villkor i en affär företaget ska göra.
Om du inte gallrar fortlöpande måste du göra fortlöpande bedömningar för varje mejl. Det är därför både enklare och bättre att i en policy ange en kort generell gallringstid och att sedan lagra de mejl som inte ska gallras i ett säkrare system. Det är också viktigt att skriva in i policyn att känsliga personuppgifter inte ska skickas via mejl, om försändelsen inte är krypterad.
Jag använder ibland min privata mejl för jobbärenden. Jag vet att det inte är att rekommendera, men hur känsligt är det egentligen?
– Det är viktigt att särskilja den privata mejlen och jobbmejlen. Om det uppstår en incident kan det bli mycket svårare att hantera den om man inte särskiljer den privata mejlen från jobbmejlen. Privat mejl kan också ha lägre säkerhet och hamnar utanför företagets brandvägg. Detta är en fråga man bör man vara tydlig med i företagets e-post-policy.
I Resultat nr 1 2019 hittar du en längre intervju med henne kring GDPR och frågor som rör dig som företagare. Tidningen kommer ut i mitten av februari.
Pernilla Halling
Texten publiceras i samarbete med tidningen Resultat