Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Bliv klar til den nye persondataforordning – Del 5: E-mails

IUNO
01/05/2018
Bliv klar til den nye persondataforordning – Del 5: E-mails


E-mails er stadig en central kommunikationskanal. Og især på HR-området indeholder e-mails ofte personoplysninger, både i forbindelse med rekruttering og HR-administration. Dermed gælder persondataforordningen for disse e-mails. Det samme er tilfældet for virksomheder, der foretager forskellige former for overvågning af ansattes brug af e-mails. Dette nyhedsbrev fokuserer på de eksisterende og nye krav, som virksomhederne skal være opmærksomme på, inden den 25. maj 2018 med hensyn til brug og overvågning af e-mails.



Virksomheders brug eller overvågning af e-mails, som indeholder persondata, er allerede i dag omfattet af en række regler, hvoraf nogle forventes at blive videreført, mens flere nye kommer til som et resultat af de nye regler.


Generelle krav til e-mails


Virksomheder, der sender e-mails med persondata, skal fremover sørge for, at de lever op til forordningens nye krav på området. Vi har kigget på nogle af de krav, som kan påvirke brugen af e-mails.


Skærpede krav om datasikkerhed


Datatilsynet stiller i dag krav om kryptering, når følsomme personoplysninger, såsom personnumre, passwords eller lignende sendes med e-mail. I andre tilfælde anbefaler Datatilsynet blot kryptering.

De nye regler skærper generelt kravene til datasikkerhed, men opstiller ikke noget generelt krav til kryptering af e-mails. Da de nuværende krav bygger på almindelige principper om god dataskik, må det forventes, at anbefalingen bliver videreført, og at virksomheder derfor bør kryptere e-mails med følsomme persondata. Virksomhederne opnår ved at kryptere alle e-mails med persondata dog nogle fordele, eksempelvis de mere lempelige krav til at offentliggøre databrud overfor alle datasubjekterne.


Retten til indsigt og retten til at blive glemt


Med persondataforordningen øges muligheden for at kræve indsigt i de data, der er registreret om én. I det omfang virksomheden sender e-mails med persondata, eksempelvis i forbindelse med rekruttering, eller afskedigelse, vil de nye regler stille større krav til virksomhederne, når de skal efterkomme sådanne krav om indsigt. Se mere om retten til indsigt her.


Retten til at blive glemt


Virksomheden har med de nye regler en skærpet pligt til at slette alle personoplysninger, der ikke længere er nødvendige til det indsamlede formål. Ligesom det er tilfældet med retten til indsigt, vil virksomheder, der bruger e-mails til at sende og modtage persondata, i praksis få vanskeligere ved at overholde anmodninger om at få slettet persondata. Virksomhederne har altså en interesse i at begrænse mængden af persondata i e-mails.

Datatilsynet har tidligere udarbejdet retningslinjer for håndtering af ansattes e-mails i forbindelse med fratræden. Disse retningslinjer bygger i vidt omfang på principperne om god databehandlingsskik og må forventes at blive videreført. Se mere om retningslinjerne her.


Fortegnelsespligt


Virksomheder, der er omfattet af kravene om fortegnelsespligt, vil være forpligtet til at registrere alle behandlinger af persondata i virksomheden, også når det foregår via e-mail. Hertil kommer, at virksomhedens brug af e-mails til at sende og modtage følsomme persondata i sig selv vil kunne medføre en fortegnelsespligt for virksomheden.


Overvågning og kontrol af ansattes e-mails


Mange virksomheder oplever et behov for at beskytte virksomhedens data ved at indføre en form  for overvågning af IT-systemet, herunder ansattes brug af e-mails. I EU's vejledning for behandling af ansattes persondata anerkender man, at der kan være et legitimt behov for at overvåge ansattes e-mails.

Betingelserne for at kunne iværksætte en form  for overvågning af e-mails er baseret på principperne om god databehandlingsskik og saglighed, og er en videreførelse af de eksisterende krav. Når en virksomhed ønsker at få adgang til en medarbejders e-mail, eksempelvis ved mistanke om misbrug, skal tre krav udarbejdet på baggrund af de nuværende regler først opfyldes:

  • Overvågningen skal forfølge en berettiget interesse, eksempelvis hensynet til kontrol af brug

  • Medarbejderen skal på forhånd gives klar og utvetydig besked om foranstaltningen

  • Overvågningen må ikke krænke medarbejderens integritet

  • Overvågningen skal være proportional, og mindre indgribende metoder skal overvejes


Virksomheder, der indfører overvågning af medarbejderes e-mails, skal også overveje, om de nye krav til konsekvensanalyse gælder. Det vil navnlig være tilfældet, hvis overvågningen gør brug af ny overvågningsteknologi og omfatter følsomme personoplysninger.

Kravet til klar og utvetydig information betyder, at virksomheder der ønsker at indføre overvågningen, bør udarbejde en e-mail politik, eventuelt som en del af en samlet datapolitik, og sørge for, at de ansatte har modtaget, læst og forstået politikken, før overvågningen implementeres.

Virksomheder skal derudover være opmærksom på de generelle krav til information og høring i forbindelse med etablering af kontrolforanstaltninger, som videreføres i forbindelse med de nye regler. Virksomheder, der er omfattet af aftalen om kontrolforanstaltninger mellem DA og LO, er eksempelvis forpligtet til at informere sine medarbejdere senest 6 uger inden foranstaltningerne iværksættes.

Mange virksomheder har efter de gældende regler indsat et samtykke i ansættelseskontrakterne som et forsøg på at udvide muligheden for overvågning uden risiko for overtrædelse af reglerne. Med de nye regler skærpes kravene til samtykket markant. Og selv om Danmark i lovforslaget om persondatabeskyttelse forsøger at videreføre muligheden for samtykke i ansættelsesforhold, anbefales det, at undgå brugen af samtykke, hvis behandlingen kan ske på et andet grundlag, hvilket ofte vil være tilfældet for overvågning af e-mails.

I tillæg til de nye krav i persondataforordningen videreføres straffelovens regler om brevhemmelighed, der også gælder for e-mails. Virksomheder bør lave klare retningslinjer for privat brug af arbejdsmailen – men også i den situation, skal virksomhederne være opmærksomme på den særlige beskyttelse. Se mere om medarbejderes private e-mails her.


IUNO mener


Virksomheder bør være opmærksomme på, om deres forretningsgange og processer lever op til de eksisterende og nye krav på persondata-området. Vi anbefaler, at virksomheden får foretaget en gennemgang af deres behandling af personoplysninger og om nødvendigt får ændret forretningsgange, politikker og kontrakter.

Særligt omkring e-mails anbefaler vi, at virksomheder får identificeret, hvor og hvornår der sendes og modtages persondata med e-mails, hvilket er noget der generelt bør begrænses fremover, og i visse tilfælde skal ske krypteret. Derudover anbefaler vi, at de virksomheder, der har eller overvejer at etablere overvågning af medarbejderes e-mails, får foretaget en grundig gennemgang af, om overvågningen lever op til de nye og skærpede krav.









Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Fagligt indhold, der kunne være relevante for dig
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Artikler, der kunne være relevante for dig
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Datatilsynet anmelder Lyngby-Taarbæk Kommune til politiet
Datatilsynet anmelder Lyngby-Taarbæk Kommune til politiet
29/11/2024
Persondata
Status på Datatilsynets spørgsmål til Rigspolitiet om brug af ansigtsgenkendelse
Status på Datatilsynets spørgsmål til Rigspolitiet om brug af ansigtsgenkendelse
06/12/2024
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted