Skip to main content

GDPR om mail

GDPR blev implementeret den 25. maj 2018 for at beskytte persondata og privatlivet for alle borgere i EU og EØS. GDPR sigter mod at give individer kontrol over deres data og standardisere reglerne i EU. Det har betydelig indflydelse på, hvordan virksomheder kommunikerer via mail. Dette omfatter både når det handler om almen mailkommunikation såvel som email-marketing.

Indlægget her handler om hvad GDPR siger om mail – hvad skal man huske, når man skal beskytte følsomme data i mails, og hvilke faldgruber er der. Med andre ord; alt hvad man skal vide for at få en sikker mail, der lever op til GDPR.

Start GDPR-oprydningen hvor det trænger mest

Følsomme data kan let ophobe sig i medarbejdernes mails. Med et GDPR Risiko-scan fra DataMapper får I en rapport, der viser potentielle GDPR-risici i virksomhedens Outlook-konti.

Grundlæggende krav i GDPR for mail

Virksomheder skal ifølge GDPR behandle persondata i mails efter en række standarder. Det gælder både, når man mailer på almindelig vis og når man bedriver email-marketing. Her er en oversigt over de grundlæggende krav:

1. Lovlighed, retfærdighed og gennemsigtighed
  • Lovlighed: Emails der indeholder persondata skal sendes og behandles lovligt. Det betyder, at man skal sørge for at indsamle et lovligt grundlag for behandlingen, såsom samtykke fra den person, hvis data behandles, eller at behandlingen er nødvendig for at opfylde en kontrakt eller lovpligtige krav.
  • Retfærdighed: Behandlingen skal være retfærdig, hvilket indebærer at virksomheden ikke må vildlede personer om formålet med indsamlingen af deres data.
  • Gennemsigtighed: Virksomheder skal informere personer om, hvilke persondata de indsamler, hvorfor de indsamler det, og hvordan det bliver brugt, i en klar og forståelig form.
2. Formålsbegrænsning

Data indsamlet via emails må kun anvendes til specifikke, udtrykkelige og legitime formål. Disse formål skal være klart defineret på tidspunktet for indsamlingen, og data må ikke anvendes til noget, der er uforeneligt med disse oprindelige formål.

3. Data-minimering

Man skal sørge for kun at have den minimale mængde af data, der er nødvendig for at opfylde det angivne formål, bør indsamles og behandles. Dette betyder, at hvis en email-kampagne kan gennemføres med mindre data, bør kun disse nødvendige data indsamles.

4. Nøjagtighed

De personoplysninger, der behandles, skal være nøjagtige og, hvor det er nødvendigt, holdes opdateret. Enhver unøjagtig data skal straks slettes eller rettes.

5. Opbevaringsbegrænsning

Persondata bør kun opbevares i en form, der tillader identifikation af personer, så længe det er nødvendigt for de formål, som persondata er indsamlet og behandlet for. Dette indebærer regelmæssig gennemgang og sletning af gamle data.

6. Fortrolighed

Persondata skal behandles på en måde, der sikrer passende sikkerhed for data, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet tab, destruktion eller skade. Anvendelse af passende tekniske eller organisatoriske foranstaltninger, såsom kryptering, er afgørende.

7. Overførsel af data

Data må kun overføres til lande uden for EU, hvis de pågældende lande har tilsvarende standarder for databeskyttelse som i EU/EØS.

8. Datarettigheder

Borgere har specifikke rettigheder under GDPR, som virksomheder skal respektere, herunder retten til indsigt, rettelse, sletning (“retten til at blive glemt”), og retten til at gøre indsigelse mod visse typer behandling.

Modtag vores nyhedsbrev!

I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.

Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.

Disse fejl laver virksomheder typisk, når de mailer

I forbindelse med email-kommunikation, begår virksomheder ofte fejl så som manglende samtykke, hvor marketingemails sendes uden klart, dokumenterbart samtykke fra modtagerne. En anden almindelig fejl er at sende følsomme data uden kryptering, hvilket øger risikoen for data lækager. Virksomheder håndterer også ofte tilbagetrækninger af samtykke ineffektivt, fortsætter med at sende emails til dem, der har frabedt sig dette, og overholder ikke tidsfrister for svar på dataanmodninger (DSARs), hvilket strider mod GDPR’s krav om rettidig datahåndtering. Opsummerende er fejlene:

  • Mails sendes uden samtykke
  • Mails sendes ukrypteret
  • Noterer ikke tilbagetrækning af samtykke
  • Overholder ikke tidsfrister for DSARs

Sådan kan vi hjælpe jer til at sende mail med GDPR-indhold

GDPR-regler om email skal sikre, at persondata håndteres med ansvarlighed. Desværre er der rigtig mange faldgruber, der gør, at  man kommer til at overtræde reglerne. Det kan både skyldes éns IT-sikkerhed, dårlig mailpraksis fra medarbejderne, virksomhedens uvidenhed eller modtageren man mailer med.

Vores løsning, ShareSimple, er en email-portal, som gør det sikkert at dele filer i Outlook via ende-til-ende kryptering, adgangskontrol og strenge dataopbevaringspolitikker i overensstemmelse med EU-standarder.

Sebastian Allerelli
Grundlægger & COO hos Safe Online
Specialist i Ledelse, Risiko og GDPR

Følg mig på LinkedIn for at få små tips til GDPR her →

GUIDE

Håndtering af følsomme persondata

GUIDE

Sådan findes persondata med Datamapping

GUIDE

Forberedelse til et datatilsyn