När behöver ett företag ha en e-postpolicy?

En e-postpolicy rekommenderas för att minimera risken för felaktig hantering av personuppgifter i e-post. Om din organisation behandlar personuppgifter regelbundet, särskilt känsliga uppgifter, bör organisationen ha en skriftlig policy som reglerar hur e-post får användas. Policyn bör även klargöra ansvarsfördelning och incidenthantering.

En e-postpolicy är ett internt dokument och en viktig del av dataskyddsarbetet enligt GDPR. Den fungerar som stöd för att efterleva kraven i exempelvis artikel 5 och 32 GDPR, där säkerhet och integritet betonas. Därför bör alla medarbetare förstå och följa policyn i sitt dagliga arbete.

Hantering av felaktigt skickade e-post

En vanlig personuppgiftsincident är felaktigt skickade e-postmeddelanden som innehåller personuppgifter. Det är viktigt att agera snabbt för att begränsa skadan och dokumentera incidenten korrekt. Om personuppgifterna når obehöriga kan det utgöra en personuppgiftsincident enligt artikel 33 GDPR.

• Kontakta mottagaren: Be mottagaren radera e-postmeddelandet omedelbart.
• Dokumentera händelsen: Notera vilka uppgifter som skickades och till vilken typ av mottagare.
• Bedöm risken: Utvärdera om incidenten behöver anmälas till Integritetsskyddsmyndigheten (IMY).
• Informera den registrerade: Utvärdera om incidenten behöver meddelas den berörda personen enligt artikel 34 GDPR.

Att ha tydliga rutiner gör det enklare att hantera incidenter. Dessutom stärker det er regelefterlevnad och visar att ni tar dataskydd på allvar. Vi rekommenderar att ni regelbundet går igenom och uppdaterar dessa rutiner så att de är anpassade efter er verksamhet.

Incidentrapportering vid felskickade e-post – steg för steg

Om en personuppgiftsincident inträffar är det avgörande att snabbt rapportera och dokumentera händelsen. Incidentrapporteringen ska säkerställa att ni uppfyller skyldigheterna enligt artikel 33 GDPR och kan visa ansvarsskyldighet. En process för att hantera personuppgiftsincidenter minskar risken för förseningar.

• Identifiera incidenten: Se till att alla anställda vet hur man känner igen en incident.
• Rapportera internt: Anställda ska utan dröjsmål rapportera till Dataskyddsombudet, annan ansvarig för dataskydd eller ansvarig chef.
• Bedöm allvarligheten: Gör en initial riskanalys för att avgöra om IMY behöver informeras.
• Dokumentera: Spara all information om vad som hänt, vilka åtgärder som vidtagits och lärdomar för framtiden.

En fungerande incidentrapportering ger trygghet både internt och externt. Det visar att företaget har kontroll på sina processer och arbetar förebyggande. Vi rekommenderar att ni utbildar personalen löpande i hur rapporteringen ska gå till.

Utrusta personalen med rätt rutiner om personuppgifter skickas på e-post

För att minska risken för misstag är det viktigt att personalen har tydliga instruktioner för hur personuppgifter ska hanteras i e-post. Detta omfattar både tekniska och organisatoriska åtgärder, som kryptering och korrekt användning av adressfält.

Vi på Morling Consulting hjälper er att ta fram en e-postpolicy som uppfyller GDPR:s krav och stärker ert dataskyddsarbete. Våra GDPR-jurister kan även bistå med rutiner för incidentrapportering och generell GDPR-compliance. Vår erfarenhet inom GDPR gör att vi kan skräddarsy lösningar som passar just er verksamhet. Tveka inte att höra av er om ni vill ha stöd i att implementera eller förbättra era interna processer.