Se upp så att du inte sprider alla mottagare i julkortsutskicket!

Se upp så att du inte sprider alla mottagare i julkortsutskicket! Vid 4 tillfällen har detta lett till GDPR Sanktioner på totalt 530.000 SEK

I jultider är det vanligt att vi skickar iväg julhälsningar till vänner och kollegor. En trevlig gest att sprida julglädje som kan leda till tråkigheter om det blir fel. Vi vill uppmana att se till att placera samtliga mottagare i BCC fältet så att inte adresserna sprids till alla.

Vid 4 tillfällen har olika tillsynsmyndigheter i Europa tilldelat sanktioner för exakt detta felsteg.  Bor du i Spanien eller Tyskland så bör du ha extra koll, men samma regler gäller i Sverige. GDPR gör gällande att  hela Europa ska ha en likvärdig hantering. Sanktionernas storlek skiljer mellan 25.000 SEK till 360. 000.

Totalt har ca 50 sanktioner utdömts i Europas länder på grund av felaktig hantering av Epost. Dvs att epost skickats utan laglig grund, fall där man inte haft tillräckligt tekniskt skydd eller där man inte uppfyllt individens rättigheter.

E-post innehåller nästan alltid personuppgifter. Det betyder att GDPR gäller för e-post, precis som för all annan personuppgiftsbehandling.

Den personuppgiftsbehandling som sker i e-post ska därför finnas registret över behandlingar och uppfylla alla andra krav i dataskyddsförordningen.

Tips

Ta fram riktlinjer och utbilda alla i er organisation

Alla i er organisation måste känna till hur de ska hantera e-post. Ta fram regler och rutiner för hur ni behandlar personuppgifter i e-post, och se till att alla kan följa dem.

Sprid inte personuppgifter

Sprid inte personuppgifter i onödan. Skicka bara personuppgifter till dem som behöver uppgifterna för sitt arbete.

Om du skickar e-post till många samtidigt, säkerställ att skrivs  i fältet för dold kopia (bcc). Detta är speciellt viktigt om du skickar eposten externt.

Känsliga personuppgifter

Undvik e-post för känsliga eller integritetskänsliga uppgifter. Om ni måste använda e-post för integritetskänsliga uppgifter, använd e-post som är skyddad med kryptering så att endast den avsedda mottagaren kan ta del av uppgifterna.

Förvissa er om att alla som finns med i era E-postlistor har fått den information som krävs!

Alla personer som finns med i era e-postregister måste ha informerats på ett tillbörligt sätt. Antingen via samtycke när de tecknade sig för en maillista. Oberoende av laglig grund så gäller informationskravet i GDPR.

Om möjligt sätt upp regler i ert E-postsystem som förhindrar fel av misstag

Ert epostsystem har ofta möjlighetenen att ställa kontrollfrågor för vissa typer av händelser. I detta fall skulle det vara när ett stort antal externa adresser finns med i kopiafältet, då kommer det upp en fråga till den som skickar mailet om detta verkligen var avsikten. Ett enkelt sätt för att undvika att misstag sker.

Gör en informationsklassning och sätt upp automatiska regler

Mogna organisationer som arbetar med informationssäkerhet har utfört informationsklassning på sina uppgifter. När man gjort detta kan man koppla regler i sitt epost system till den informationsklass som finns på informationen. tex att all infomration som är strikt begränsad inte går att maila utanför organisationen.

Vi rekommenderar

• När ni mottagit och läst e-posten, bedöm om uppgifterna ska bevaras och var det i så fall ska ske för att uppfylla de krav som gäller för just dessa uppgifter.
• Skicka inte känsliga personuppgifter i oskyddad e-post.
• Informera på er webb i samband med e-postadressen hur ni behandlar personuppgifter eller länka därifrån till er integritetspolicy.
• Om ni skickar svarsmejl eller autosvar, bifoga en standardtext där ni informerar den som skickat e-post om hur ni behandlar personuppgifter eller länka till en integritetspolicy på er webbplats.
• Informera alla i er organisation om reglerna och rutinerna för hur ni behandlar personuppgifter i er organisation. Se också till att rutinerna hålls levande.