Dette siger GDPR om mail

GDPR blev implementeret den 25. maj 2018 for at beskytte persondata og privatlivet for alle borgere i EU og EØS. GDPR sigter mod at give individer kontrol over deres data og standardisere reglerne i EU. Det har betydelig indflydelse på, hvordan virksomheder kommunikerer via mail. Dette omfatter både når det handler om almen mailkommunikation såvel som email-marketing.

Indlægget her handler om hvad GDPR siger om mail – hvad skal man huske, når man skal beskytte følsomme data i mails, og hvilke faldgruber er der. Med andre ord; alt hvad man skal vide for at få en sikker mail, der lever op til GDPR.

Virksomheder skal ifølge GDPR behandle persondata i mails efter en række standarder. Det gælder både, når man mailer på almindelig vis og når man bedriver email-marketing. Her er en oversigt over de grundlæggende krav:

1. Lovlighed, retfærdighed og gennemsigtighed

• Lovlighed: Emails der indeholder persondata skal sendes og behandles lovligt. Det betyder, at man skal sørge for at indsamle et lovligt grundlag for behandlingen, såsom samtykke fra den person, hvis data behandles, eller at behandlingen er nødvendig for at opfylde en kontrakt eller lovpligtige krav.
• Retfærdighed: Behandlingen skal være retfærdig, hvilket indebærer at virksomheden ikke må vildlede personer om formålet med indsamlingen af deres data.
• Gennemsigtighed: Virksomheder skal informere personer om, hvilke persondata de indsamler, hvorfor de indsamler det, og hvordan det bliver brugt, i en klar og forståelig form.

2. Formålsbegrænsning

Data indsamlet via emails må kun anvendes til specifikke, udtrykkelige og legitime formål. Disse formål skal være klart defineret på tidspunktet for indsamlingen, og data må ikke anvendes til noget, der er uforeneligt med disse oprindelige formål.

3. Data-minimering

Man skal sørge for kun at have den minimale mængde af data, der er nødvendig for at opfylde det angivne formål, bør indsamles og behandles. Dette betyder, at hvis en email-kampagne kan gennemføres med mindre data, bør kun disse nødvendige data indsamles.

4. Nøjagtighed

De personoplysninger, der behandles, skal være nøjagtige og, hvor det er nødvendigt, holdes opdateret. Enhver unøjagtig data skal straks slettes eller rettes.

5. Opbevaringsbegrænsning

Persondata bør kun opbevares i en form, der tillader identifikation af personer, så længe det er nødvendigt for de formål, som persondata er indsamlet og behandlet for. Dette indebærer regelmæssig gennemgang og sletning af gamle data.

6. Fortrolighed

Persondata skal behandles på en måde, der sikrer passende sikkerhed for data, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet tab, destruktion eller skade. Anvendelse af passende tekniske eller organisatoriske foranstaltninger, såsom kryptering, er afgørende.

7. Overførsel af data

Data må kun overføres til lande uden for EU, hvis de pågældende lande har tilsvarende standarder for databeskyttelse som i EU/EØS.

8. Datarettigheder

Borgere har specifikke rettigheder under GDPR, som virksomheder skal respektere, herunder retten til indsigt, rettelse, sletning (“retten til at blive glemt”), og retten til at gøre indsigelse mod visse typer behandling.