Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

Bliv klar til den nye persondataforordning – Del 5: E-mails

IUNO
01/05/2018
341
Bliv klar til den nye persondataforordning – Del 5: E-mails
IUNO logo


E-mails er stadig en central kommunikationskanal. Og især på HR-området indeholder e-mails ofte personoplysninger, både i forbindelse med rekruttering og HR-administration. Dermed gælder persondataforordningen for disse e-mails. Det samme er tilfældet for virksomheder, der foretager forskellige former for overvågning af ansattes brug af e-mails. Dette nyhedsbrev fokuserer på de eksisterende og nye krav, som virksomhederne skal være opmærksomme på, inden den 25. maj 2018 med hensyn til brug og overvågning af e-mails.



Virksomheders brug eller overvågning af e-mails, som indeholder persondata, er allerede i dag omfattet af en række regler, hvoraf nogle forventes at blive videreført, mens flere nye kommer til som et resultat af de nye regler.


Generelle krav til e-mails


Virksomheder, der sender e-mails med persondata, skal fremover sørge for, at de lever op til forordningens nye krav på området. Vi har kigget på nogle af de krav, som kan påvirke brugen af e-mails.


Skærpede krav om datasikkerhed


Datatilsynet stiller i dag krav om kryptering, når følsomme personoplysninger, såsom personnumre, passwords eller lignende sendes med e-mail. I andre tilfælde anbefaler Datatilsynet blot kryptering.

De nye regler skærper generelt kravene til datasikkerhed, men opstiller ikke noget generelt krav til kryptering af e-mails. Da de nuværende krav bygger på almindelige principper om god dataskik, må det forventes, at anbefalingen bliver videreført, og at virksomheder derfor bør kryptere e-mails med følsomme persondata. Virksomhederne opnår ved at kryptere alle e-mails med persondata dog nogle fordele, eksempelvis de mere lempelige krav til at offentliggøre databrud overfor alle datasubjekterne.


Retten til indsigt og retten til at blive glemt


Med persondataforordningen øges muligheden for at kræve indsigt i de data, der er registreret om én. I det omfang virksomheden sender e-mails med persondata, eksempelvis i forbindelse med rekruttering, eller afskedigelse, vil de nye regler stille større krav til virksomhederne, når de skal efterkomme sådanne krav om indsigt. Se mere om retten til indsigt her.


Retten til at blive glemt


Virksomheden har med de nye regler en skærpet pligt til at slette alle personoplysninger, der ikke længere er nødvendige til det indsamlede formål. Ligesom det er tilfældet med retten til indsigt, vil virksomheder, der bruger e-mails til at sende og modtage persondata, i praksis få vanskeligere ved at overholde anmodninger om at få slettet persondata. Virksomhederne har altså en interesse i at begrænse mængden af persondata i e-mails.

Datatilsynet har tidligere udarbejdet retningslinjer for håndtering af ansattes e-mails i forbindelse med fratræden. Disse retningslinjer bygger i vidt omfang på principperne om god databehandlingsskik og må forventes at blive videreført. Se mere om retningslinjerne her.


Fortegnelsespligt


Virksomheder, der er omfattet af kravene om fortegnelsespligt, vil være forpligtet til at registrere alle behandlinger af persondata i virksomheden, også når det foregår via e-mail. Hertil kommer, at virksomhedens brug af e-mails til at sende og modtage følsomme persondata i sig selv vil kunne medføre en fortegnelsespligt for virksomheden.


Overvågning og kontrol af ansattes e-mails


Mange virksomheder oplever et behov for at beskytte virksomhedens data ved at indføre en form  for overvågning af IT-systemet, herunder ansattes brug af e-mails. I EU's vejledning for behandling af ansattes persondata anerkender man, at der kan være et legitimt behov for at overvåge ansattes e-mails.

Betingelserne for at kunne iværksætte en form  for overvågning af e-mails er baseret på principperne om god databehandlingsskik og saglighed, og er en videreførelse af de eksisterende krav. Når en virksomhed ønsker at få adgang til en medarbejders e-mail, eksempelvis ved mistanke om misbrug, skal tre krav udarbejdet på baggrund af de nuværende regler først opfyldes:

  • Overvågningen skal forfølge en berettiget interesse, eksempelvis hensynet til kontrol af brug

  • Medarbejderen skal på forhånd gives klar og utvetydig besked om foranstaltningen

  • Overvågningen må ikke krænke medarbejderens integritet

  • Overvågningen skal være proportional, og mindre indgribende metoder skal overvejes


Virksomheder, der indfører overvågning af medarbejderes e-mails, skal også overveje, om de nye krav til konsekvensanalyse gælder. Det vil navnlig være tilfældet, hvis overvågningen gør brug af ny overvågningsteknologi og omfatter følsomme personoplysninger.

Kravet til klar og utvetydig information betyder, at virksomheder der ønsker at indføre overvågningen, bør udarbejde en e-mail politik, eventuelt som en del af en samlet datapolitik, og sørge for, at de ansatte har modtaget, læst og forstået politikken, før overvågningen implementeres.

Virksomheder skal derudover være opmærksom på de generelle krav til information og høring i forbindelse med etablering af kontrolforanstaltninger, som videreføres i forbindelse med de nye regler. Virksomheder, der er omfattet af aftalen om kontrolforanstaltninger mellem DA og LO, er eksempelvis forpligtet til at informere sine medarbejdere senest 6 uger inden foranstaltningerne iværksættes.

Mange virksomheder har efter de gældende regler indsat et samtykke i ansættelseskontrakterne som et forsøg på at udvide muligheden for overvågning uden risiko for overtrædelse af reglerne. Med de nye regler skærpes kravene til samtykket markant. Og selv om Danmark i lovforslaget om persondatabeskyttelse forsøger at videreføre muligheden for samtykke i ansættelsesforhold, anbefales det, at undgå brugen af samtykke, hvis behandlingen kan ske på et andet grundlag, hvilket ofte vil være tilfældet for overvågning af e-mails.

I tillæg til de nye krav i persondataforordningen videreføres straffelovens regler om brevhemmelighed, der også gælder for e-mails. Virksomheder bør lave klare retningslinjer for privat brug af arbejdsmailen – men også i den situation, skal virksomhederne være opmærksomme på den særlige beskyttelse. Se mere om medarbejderes private e-mails her.


IUNO mener


Virksomheder bør være opmærksomme på, om deres forretningsgange og processer lever op til de eksisterende og nye krav på persondata-området. Vi anbefaler, at virksomheden får foretaget en gennemgang af deres behandling af personoplysninger og om nødvendigt får ændret forretningsgange, politikker og kontrakter.

Særligt omkring e-mails anbefaler vi, at virksomheder får identificeret, hvor og hvornår der sendes og modtages persondata med e-mails, hvilket er noget der generelt bør begrænses fremover, og i visse tilfælde skal ske krypteret. Derudover anbefaler vi, at de virksomheder, der har eller overvejer at etablere overvågning af medarbejderes e-mails, får foretaget en grundig gennemgang af, om overvågningen lever op til de nye og skærpede krav.









Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
IUNO logo
København
Njalsgade 19C, 3
2300 København S
53 74 27 00
communication@iuno.law
Stockholm
Grev Turegatan 30
114 38 Stockholm
Oslo
Tollbugata 8
0152 Oslo

Juridiske nyheder & artikler

Hold dig opdateret på de seneste juridiske nyheder eller søg blandt de mere end 4.000 artikler som allerede er udgivet. Vi har samlet det vigtigste viden ét sted.

Juridiske kurser & arrangementer

Find nemt dit næste kursus eller anden relevant efteruddannelse inden for dit felt. Søg på tværs af fagområder fra en række forskellige udbydere.

Find Juridisk Specialist

Brug for en advokat? Søg efter verificerede specialister på tværs af advokatbranchen og find en specialist inden for det område, hvor du søger råd og vejledning.

Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Artikler, der kunne være relevante for dig
Skabelon til samtykke: Sådan indhenter og behandler du kontakt­oplysninger på dine gæster
Skabelon til samtykke: Sådan indhenter og behandler du kontakt­oplysninger på dine gæster
10/09/2020
Persondata
Ny afgørelse om brug af medarbejderes fingeraftryk ved adgangskontrol
Ny afgørelse om brug af medarbejderes fingeraftryk ved adgangskontrol
11/08/2020
Persondata
Derfor kunne sejlklub lovligt offentliggøre person­oplysninger i gamle klubblade
Derfor kunne sejlklub lovligt offentliggøre person­oplysninger i gamle klubblade
07/08/2020
Persondata
Kritik fra Datatilsynet: Tidligere medarbejder har ret til at blive glemt
Kritik fra Datatilsynet: Tidligere medarbejder har ret til at blive glemt
06/08/2020
Persondata
Datatilsynet indstiller administrationsselskab til en bøde på 150.000 kr. for videregivelse af personoplysninger
Datatilsynet indstiller administrationsselskab til en bøde på 150.000 kr. for videregivelse af personoplysninger
06/08/2020
Persondata
Datatilsynet indstiller hotelkæde til bøde på 1,1 mio. kr. for manglende sletning
Datatilsynet indstiller hotelkæde til bøde på 1,1 mio. kr. for manglende sletning
05/08/2020
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
Vandtårnsvej 77, DK-2860 Søborg
E-mail: kontakt@jurainfo.dk
CVR-nr. 38375563
Følg Jurainfo.dk på:
© 2020 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted