Bliv klar til den nye persondataforordning – Del 5: E-mails

Virksomheders brug eller overvågning af e-mails, som indeholder persondata, er allerede i dag omfattet af en række regler, hvoraf nogle forventes at blive videreført, mens flere nye kommer til som et resultat af de nye regler.

Generelle krav til e-mails

Virksomheder, der sender e-mails med persondata, skal fremover sørge for, at de lever op til forordningens nye krav på området. Vi har kigget på nogle af de krav, som kan påvirke brugen af e-mails.

• Skærpede krav om datasikkerhed

Datatilsynet stiller i dag krav om kryptering, når følsomme personoplysninger, såsom personnumre, passwords eller lignende sendes med e-mail. I andre tilfælde anbefaler Datatilsynet blot kryptering. 

De nye regler skærper generelt kravene til datasikkerhed, men opstiller ikke noget generelt krav til kryptering af e-mails. Da de nuværende krav bygger på almindelige principper om god dataskik, må det forventes, at anbefalingen bliver videreført, og at virksomheder derfor bør kryptere e-mails med følsomme persondata. Virksomhederne opnår ved at kryptere alle e-mails med persondata dog nogle fordele, eksempelvis de mere lempelige krav til at offentliggøre databrud overfor alle datasubjekterne.

• Retten til indsigt og retten til at blive glemt

Med persondataforordningen øges muligheden for at kræve indsigt i de data, der er registreret om én. I det omfang virksomheden sender e-mails med persondata, eksempelvis i forbindelse med rekruttering, eller afskedigelse, vil de nye regler stille større krav til virksomhederne, når de skal efterkomme sådanne krav om indsigt. Se mere om retten til indsigt her.

• Retten til at blive glemt

Virksomheden har med de nye regler en skærpet pligt til at slette alle personoplysninger, der ikke længere er nødvendige til det indsamlede formål. Ligesom det er tilfældet med retten til indsigt, vil virksomheder, der bruger e-mails til at sende og modtage persondata, i praksis få vanskeligere ved at overholde anmodninger om at få slettet persondata. Virksomhederne har altså en interesse i at begrænse mængden af persondata i e-mails.

Datatilsynet har tidligere udarbejdet retningslinjer for håndtering af ansattes e-mails i forbindelse med fratræden. Disse retningslinjer bygger i vidt omfang på principperne om god databehandlingsskik og må forventes at blive videreført. Se mere om retningslinjerne her.

• Fortegnelsespligt

Virksomheder, der er omfattet af kravene om fortegnelsespligt, vil være forpligtet til at registrere alle behandlinger af persondata i virksomheden, også når det foregår via e-mail. Hertil kommer, at virksomhedens brug af e-mails til at sende og modtage følsomme persondata i sig selv vil kunne medføre en fortegnelsespligt for virksomheden.

Overvågning og kontrol af ansattes e-mails

Mange virksomheder oplever et behov for at beskytte virksomhedens data ved at indføre en form  for overvågning af IT-systemet, herunder ansattes brug af e-mails. I EU's vejledning for behandling af ansattes persondata anerkender man, at der kan være et legitimt behov for at overvåge ansattes e-mails.

Betingelserne for at kunne iværksætte en form  for overvågning af e-mails er baseret på principperne om god databehandlingsskik og saglighed, og er en videreførelse af de eksisterende krav. Når en virksomhed ønsker at få adgang til en medarbejders e-mail, eksempelvis ved mistanke om misbrug, skal tre krav udarbejdet på baggrund af de nuværende regler først opfyldes:

• Overvågningen skal forfølge en berettiget interesse, eksempelvis hensynet til kontrol af brug
• Medarbejderen skal på forhånd gives klar og utvetydig besked om foranstaltningen
• Overvågningen må ikke krænke medarbejderens integritet
• Overvågningen skal være proportional, og mindre indgribende metoder skal overvejes

Virksomheder, der indfører overvågning af medarbejderes e-mails, skal også overveje, om de nye krav til konsekvensanalyse gælder. Det vil navnlig være tilfældet, hvis overvågningen gør brug af ny overvågningsteknologi og omfatter følsomme personoplysninger.

Kravet til klar og utvetydig information betyder, at virksomheder der ønsker at indføre overvågningen, bør udarbejde en e-mail politik, eventuelt som en del af en samlet datapolitik, og sørge for, at de ansatte har modtaget, læst og forstået politikken, før overvågningen implementeres.

Virksomheder skal derudover være opmærksom på de generelle krav til information og høring i forbindelse med etablering af kontrolforanstaltninger, som videreføres i forbindelse med de nye regler. Virksomheder, der er omfattet af aftalen om kontrolforanstaltninger mellem DA og LO, er eksempelvis forpligtet til at informere sine medarbejdere senest 6 uger inden foranstaltningerne iværksættes.

Mange virksomheder har efter de gældende regler indsat et samtykke i ansættelseskontrakterne som et forsøg på at udvide muligheden for overvågning uden risiko for overtrædelse af reglerne. Med de nye regler skærpes kravene til samtykket markant. Og selv om Danmark i lovforslaget om persondatabeskyttelse forsøger at videreføre muligheden for samtykke i ansættelsesforhold, anbefales det, at undgå brugen af samtykke, hvis behandlingen kan ske på et andet grundlag, hvilket ofte vil være tilfældet for overvågning af e-mails.

I tillæg til de nye krav i persondataforordningen videreføres straffelovens regler om brevhemmelighed, der også gælder for e-mails. Virksomheder bør lave klare retningslinjer for privat brug af arbejdsmailen – men også i den situation, skal virksomhederne være opmærksomme på den særlige beskyttelse. Se mere om medarbejderes private e-mails her.

IUNO mener

Virksomheder bør være opmærksomme på, om deres forretningsgange og processer lever op til de eksisterende og nye krav på persondata-området. Vi anbefaler, at virksomheden får foretaget en gennemgang af deres behandling af personoplysninger og om nødvendigt får ændret forretningsgange, politikker og kontrakter.

Særligt omkring e-mails anbefaler vi, at virksomheder får identificeret, hvor og hvornår der sendes og modtages persondata med e-mails, hvilket er noget der generelt bør begrænses fremover, og i visse tilfælde skal ske krypteret. Derudover anbefaler vi, at de virksomheder, der har eller overvejer at etablere overvågning af medarbejderes e-mails, får foretaget en grundig gennemgang af, om overvågningen lever op til de nye og skærpede krav.