Hur ska personuppgifter i ett mail behandlas enligt GDPR?

Frågan har besvarats genom JP ITnets kostnadsfria frågeservice. Svaret är aldrig en rekommendation till beslut i något enskilt fall.

Fråga:

Hur behandlar man personuppgifter i ett mail enligt GDPR? Till exempel om jag sänder ett mail till en person utanför organisationen med personens namn och adress. Hur klassas denna?

Svar:

Mail omfattas enligt nuvarande reglering av undantaget för ostrukturerad behandling i 5 a § PuL. Det innebär att mail fram till och med den 25 maj nästa år när GDPR börjar tillämpas har varit och är undantagen personuppgiftslagstiftningen. I och med att ett undantag motsvarande 5 a § PuL inte finns kvar i förordningen måste man alltså, som för all annan personuppgiftsbehandling i verksamheten, hitta en laglig grund för behandling av personuppgifter i epostmeddelanden. De lagliga grunder för personuppgiftsbehandling som står till buds framgår av artikel 6 i förordningen.

Tanken med förordningen är självklart inte att man aldrig ska kunna behandla personuppgifter i mailen, utan det man primärt behöver tänka på och ta fram är vilka rutiner som ska gälla för gallringen av dessa. Som med alla andra personuppgifter ska inte heller personuppgifter i mail sparas längre än vad som behövs för att kunna utföra arbetet eller krävs enligt lag.

Vill du ställa frågor som rör den nya förordningen till våra jurister?

I webbtjänster JP ITnet ingår en kostnadsfri frågeservice där du får vägledning av våra jurister. Upptäck även vår webbkurs GDPR bas som ger hela din organisation en komplett grundutbildning. 

Publicerad 26 jan 2018