E-postanvändare
Missbruksregeln försvinner
Det tidigare undantaget för e-post i personuppgiftsbehandlingssammanhang har upphört. I och med att ett sådant undantag, den s.k. missbruksregeln, inte finns kvar i dataskyddsförordningen måste man alltså, som för all annan personuppgiftsbehandling i verksamheten, hitta en laglig grund för behandling av personuppgifter i e-postmeddelanden. All e-post med personuppgifter blir en personuppgiftsbehandling. Naturligtvis kan man fortsätta använda e-post och ha en inkorg för ändamålet, det gäller bara att tänka till hur man använder e-posten.E-postpolicy och dataskyddspolicy
Uppsala universitet har tagit fram riktlinjer för e-post (publiceras inom kort) och en dataskyddspolicy.Personuppgifter
Personuppgifter är alla upplysningar som direkt eller indirekt kan identifiera en person, exempelvis namn, personnummer och e-postadress. Det gör att nästan allt som rör människor kan bli personuppgifter, om inte annat när flera uppgifter behandlas tillsammans. Det gäller även så kallade känsliga personuppgifter såsom genetiska uppgifter eller uppgifter om hälsa. Se mer nedan.Enkelt uttryckt blir allt du gör med personuppgifterna en behandling, till exempel insamlar och bearbetar. När man hanterar e-post blir varje mottaget e-postmeddelande en personuppgiftsbehandling då det består av onlineidentifikatorer och en e-mailadress. Vidare kan också innehållet i ett e-postmeddelande vara personuppgifter, om det innehåller ett namn tillsammans med andra uppgifter.
Känsliga personuppgifter
Så kallade känsliga personuppgifter är uppgifter som rör:
- Ras eller etniskt ursprung
- Politiska åsikter
- Religiös eller filosofisk övertygelse
- Medlemskap i en fackförening
- Hälsa
- En persons sexualliv eller sexuella läggning
- Genetiska uppgifter
- Biometriska uppgifter som entydigt identifierar en person.
Som huvudregel får man inte behandla känsliga personuppgifter, men dataskyddsförordningen ger en del undantag. Ett sådant undantag är samtycke. Samtycket har vissa krav, läs mer här. Det betyder inte att man måste inhämta ett samtycke varje gång någon skickar dig ett mail med känsliga personuppgifter. Om e-postanvändaren själv uppger sina egna personuppgifter har de samtyckt till den behandlingen. Med det sagt rekommenderar Uppsala universitet inte att man använder e-posten för att kommunicera känsliga personuppgifter. Detta får göras endast när det är absolut nödvändigt. Kom ihåg att telefonen kan vara ett mycket bra alternativ till ett e-postmeddelande.
Låt oss titta på ett exempel:
I det här fallet markerar de gröna ringarna personuppgifter och de röda ringarna markerar känsliga personuppgifter, anknutna till hälsa. Om vissa av dessa saker stod ensamma skulle de inte vara personuppgifter, men eftersom de finns i ett sammanhang så att man kan tolka information om två personer utifrån detta så blir det personuppgifter.
Det är viktigt att tänka på att e-posten endast ska användas som en transportör av information och inte för att lagra denna. Om informationen i mejlet till exempel är något du behöver i ett ärende du behandlar så kanske det kan läggas in i diariet.
Kom ihåg: Du får spara mejl så länge som du har en laglig grund, ett ändamål och det är nödvändigt att mejlet är kvar. Det betyder att inkorgen skall rensas regelbundet och att du inte får spara ”bra att ha”-meddelanden om de inte längre är nödvändiga, inte har ett ändamål och inte har en laglig grund. Har du besvarat någons mejl och hjälpt denne i ett ärende för flera år sen ska det meddelandet inte sparas i din inkorg.
Allmänna principer
Att man har en laglig grund eller ett ändamål betyder inte att man får spara e-postmeddelanden hur länge som helst. Du måste ta hänsyn till grundläggande principer om uppgiftsminimering m. fl. som du kan läsa mer om här.
De grundläggande principerna i korthet är:
- Principen för laglighet, korrekthet och öppenhet
- Principen om ändamålsbegränsning
- Principen för uppgiftsminimering
- Principen om riktighet
- Principen om lagringsminimering, och
- Principen för integritet och konfidentialitet.
Lagliga grunder
Det finns fler lagliga grunder än samtycke att stödja personuppgiftsbehandlingen som e-postmeddelandet utgör på. De lagliga grunderna är:
- Samtycke
- Avtal
- Rättslig förpliktelse
- Skydd av intressen av grundläggande betydelse
- Nödvändig för utövande av uppgift av allmänt intresse eller myndighetsutövning
- Intresseavvägning (Berättigat intresse). Får dock inte användas av offentliga myndigheter när de fullgör sina uppgifter.
För att läsa mer om de lagliga grunderna och vilken som kan vara lämplig, läs mer här.
De grunder som främst kommer att stödja universitetets e-postmeddelanden är allmänt intresse (utbildning, forskning), myndighetsutövning, rättslig förpliktelse eller samtycke.
Registrerades rättigheter
De registrerade har rätt att veta att vi behandlar deras personuppgifter. För mer information om vilka rättigheter de registrerade kan utöva mot universitetet, läs vidare här.