Hoppa till huvudinnehållet
Logga in Meny

Hantering av personuppgifter via e-post

Jerry Rosbäck
  • Uppdaterad

Denna information kommer från våra dataskyddsombud

GDPR:s regler är fullt ut tillämpliga på e-post. I förvaltningslagens 5 § framgår att myndigheter på Åland är skyldiga att ta emot och svara på e-post. Detta utgör den rättsliga grunden för behandling av personuppgifter i e-post.

Ett e-postmeddelande som kommer in till en myndighet kan bli en allmän handling, i enlighet med landskapslagen (1977:72) om allmänna handlingars offentlighet och kan därför behöva sparas och arkiveras av det skälet. GDPR förändrar inte den hanteringen.

Känsliga personuppgifter i e-post

Det är inte tillåtet att skicka känsliga personuppgifter med okrypterad e-post. Känsliga personuppgifter ska skickas med krypterad e-post. Känsliga personuppgifter är:

  • Uppgifter om hälsa
  • Etniskt ursprung
  • Politisk övertygelse
  • Religiös övertygelse
  • Filosofisk övertygelse
  • Medlemskap i fackförening
  • Biometriska uppgifter
  • Genetiska uppgifter
  • Uppgifter om en persons sexualliv
  • Uppgifter om en persons sexuella läggning

I de fall som vi behöver skicka känsliga uppgifter via e-post så har Ålands gymnasium möjlighet att använda Turvaposti för detta. Turvaposti är en tjänst för sändning av känsliga uppgifter där mottagaren av meddelandet får en kod via sms för att komma åt innehållet i meddelandet alternativt via stark autentisering via t.ex. bankkoder. För mera information gällande Turvaposti och tillgängligheten för denna, kontakta IT-chefen.

Man kan givetvis inte förhindra att utomstående skicka e-postmeddelanden som innehåller känsliga personuppgifter. Vår rekommendation när så sker är att man strävar efter att ta bort det e-postmeddelandet ur e-postklienten (Outlook eller motsvarande) så snabbt som det praktiskt är möjligt och sparar den information som behöver sparas på annat håll.

Lagringsminimering

En av principerna i GDPR är att personuppgifter inte får lagras längre än nödvändigt. Vår rekommendation är därför att man ställer in sin e-postklient så att alla meddelanden som är äldre än två år raderas automatiskt.

Självklart kan det finnas e-postmeddelanden som behöver sparas längre (jämför t ex ovan om allmänna handlingar och arkivering). Det finns inget hinder mot att spara e-postmeddelanden skilt under en längre tid än 2 år om man har ett tydligt ändamål med det.

Personsignum

Personsignum är inte en känslig personuppgift, men har en ”högre status” än vanliga personuppgifter. Det finns i dagsläget inget lagkrav på att skicka personsignum med krypterad e-post.

Slutsatser i korthet

  1. Det är helt ok att skicka e-post om vardagliga spörsmål precis som tidigare.
  2. Skicka aldrig känsliga personuppgifter (hälsouppgifter, religion, ras m m) med okrypterad e-post.
  3. Ställ in e-postklienten så att e-postmeddelanden som är äldre än två år raderas automatiskt.

Relaterade artiklar

Kommentarer

0 kommentarer

Artikeln är stängd för kommentarer.

Powered by Zendesk