FrågaÖVRIGTPUL/GDPR25/03/2018

Säkerhetskraven i dataskyddsförordningen

Hej,

Finns det någon lagtext i GDPR förordningen som säger att man inte kan skicka lönespecar per okrypterad mail efter 25/5 2018? I vilken paragraf kan man läsa mer om säkerhetskraven på att maila personuppgifter tex lönespecifikationer?

Lawline svarar

Hej!

Tack för att du vänder dig till Lawline med din fråga.

Precis som du skriver kommer dataskyddsförordningen (GDPR) att börja gälla i alla EU:s medlemsländer från och med den 25 maj 2018. Den ersätter nuvarande nationella personuppgiftslagar. I Sverige kommer den att ersätta personuppgiftslagen (PuL).

Du hittar dataskyddsförordningen i sin helhet här på Datainspektionens hemsida.

Säkerhetskraven vid behandling av personuppgifter

Säkerhetskraven och reglerna om säkerhet vid behandling av personuppgifter hittar du i art. 32 dataskyddsförordningen. Motsvarande lagrum i ännu gällande personuppgiftslagen (PuL) är 31 § om säkerhetsåtgärder.

Både i art. 32 dataskyddsförordningen och 31 § PuL framgår att den personuppgiftsansvariga (t.ex. arbetsgivaren) ska vidta tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå. Med "lämplig säkerhetsnivå" menas en säkerhetsnivå som är rimlig och skälig i förhållande till personuppgifternas art (ju känsligare personuppgifter = desto högre säkerhetskrav), risken för att personuppgifterna kommer i orätta händer, genomförandekostnaderna och vilka säkerhetshjälpmedel som finns tillgängliga på marknaden och normalt används.

Sammanfattning

Sammanfattningsvis kan alltså konstateras att det i nuläget inte finns något uttalat om att skicka just lönespecifikationer via okrypterad e-post, utan det får göras en bedömning från fall till fall.

Generellt bör det dock anses osäkert att skicka lönespecifikationer via okrypterad e-post, eftersom lönespecifikationer normalt innehåller skyddsvärd information såsom personnummer, bankuppgifter och uppgifter om den anställdes hälsa (t.ex. i form av uppgifter om sjuklön och sjukavdrag). Mitt råd är alltså att du bör se över möjligheten att byta från "vanlig" okrypterad e-post till exempelvis Kivras digitala brevlåda, brev eller annan lösning med krypterad e-post. Detta blir extra viktigt när dataskyddsförordningen börjar gälla eftersom den innehåller skärpta sanktioner för de som inte upprätthåller en lämplig säkerhetsnivå (se art. 83.4 dataskyddsförordningen).

Lycka till och hoppas du fick svar på din fråga! Har du fler frågor är du välkommen att återkomma.

För vidare frågor om tolkning och tillämpning av dataskyddsförordningen är det även möjligt att boka tid med en erfaren jurist hos oss på Lawline. Kom även ihåg att myndigheter har serviceskyldighet inom sitt område och att du alltid kan kontakta Datainspektionen.

Med vänliga hälsningar,

Angelica KarlssonRådgivare
Hittade du inte det du sökte?