Hur ska personuppgifter i ett mail behandlas enligt GDPR?

Frågan har besvarats genom JP ITnets kostnadsfria frågeservice. Svaret är aldrig en rekommendation till beslut i något enskilt fall.

Fråga:

Hur behandlar man personuppgifter i ett mail enligt GDPR? Till exempel om jag sänder ett mail till en person utanför organisationen med personens namn och adress. Hur klassas denna?

Svar:

Mail omfattas enligt nuvarande reglering av undantaget för ostrukturerad behandling i 5 a § PuL. Det innebär att mail fram till och med den 25 maj nästa år när GDPR börjar tillämpas har varit och är undantagen personuppgiftslagstiftningen. I och med att ett undantag motsvarande 5 a § PuL inte finns kvar i förordningen måste man alltså, som för all annan personuppgiftsbehandling i verksamheten, hitta en laglig grund för behandling av personuppgifter i epostmeddelanden. De lagliga grunder för personuppgiftsbehandling som står till buds framgår av artikel 6 i förordningen.

Tanken med förordningen är självklart inte att man aldrig ska kunna behandla personuppgifter i mailen, utan det man primärt behöver tänka på och ta fram är vilka rutiner som ska gälla för gallringen av dessa. Som med alla andra personuppgifter ska inte heller personuppgifter i mail sparas längre än vad som behövs för att kunna utföra arbetet eller krävs enligt lag.

Vill du ställa frågor som rör den nya förordningen till våra jurister?

I webbtjänster JP ITnet ingår en kostnadsfri frågeservice där du får vägledning av våra jurister. Upptäck även vår webbkurs GDPR bas som ger hela din organisation en komplett grundutbildning. 

Publicerad 26 jan 2018

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Tjänster

  • JP ITnet

    Informationstjänsten för dig som arbetar med juridiska frågor inom IT och dataskydd.
  • JP Registerförteckning

    Ett enkelt och användarvänligt verktyg för att uppfylla krav på dokumentation av personuppgiftsbehandling.
  • Rådgivning inom dataskydd

    Behöver du vägledning i frågor som rör GDPR och dataskydd? Våra specialiserade jurister hjälper gärna till.

Nyheter

Efter att ha granskat hur Migrationsverket använder VIS för utbyte av uppgifter om visum mellan EU:s medlemsländer, utfärdar IMY två varningar eftersom det finns risk för att bestämmelserna i dataskyddsförordningen kan brytas.

21 dec 2021

Integritetsskyddsmyndigheten (IMY) har publicerat ett rättsligt ställningstagande om innebörden av begreppet ”personuppgifter som rör lagöverträdelser som innefattar brott” i artikel 10 i dataskyddsförordningen.

20 dec 2021

Den Europeiska dataskyddsstyrelsen, EDPB, har antagit en ny riktlinje som klargör vad som utgör, och inte utgör, en överföring av personuppgifter till tredjeland.

20 dec 2021