Sähköinen kirjeenvaihto ja vastaanottajien tietosuoja joukkopostituksissa

Palvelus

Massasähköpostin käytöstä yritystoiminnan aikana on tullut normi nykyään. Sähköisen kirjeenvaihdon avulla voimme kommunikoida urakoitsijoiden ja asiakkaidemme kanssa, esittää yhteistyötarjouksia tai sopia sopimusehdoista. Siksi usein käy niin, että kirjeenvaihdossa käyttämämme tiedot ovat luottamuksellisia eikä niitä voida paljastaa kolmansille osapuolille.

Mitä on sähköinen kirjeenvaihto?

Sähköinen kirjeenvaihto voi olla joukkokirjeen muodossa. Se koostuu ns postituslistoja lähettääksesi yhden viestin (yleensä tarjouksen) useille vastaanottajille. Tilanne monimutkaistuu, kun vastaanottajaluettelossa on luonnollisten henkilöiden osoitteet - mukaan lukien CEIDG:hen kirjatut yksityiset yritykset. Mainitut vastaanottajaryhmät on suojattu 27.4.2016 annetulla Euroopan parlamentin ja neuvoston asetuksella (EU) 2016/679, jäljempänä GDPR.

Sähköinen kirjeenvaihto ei herätä epäilyksiä yrittäjän ja yksittäisen urakoitsijan tai asiakkaan välisessä tapauksessa. Tällaisessa tapauksessa on huolehdittava siitä, että kirjeenvaihdon sisältämiä luottamuksellisia ja arkaluonteisia tietoja ei paljasteta kolmansille osapuolille. Joukkokirjeenvaihdossa lähetämme kuitenkin yhden viestin usealle vastaanottajalle, joten viesti on universaali ja yleinen. Se ei sisällä kenenkään vastaanottajan henkilötietoja tai arkaluonteisia tietoja heidän elämästään. Ainoat tiedot, joita voidaan luovuttaa kolmansille osapuolille, on jokaisen joukkokirjeen vastaanottajan sähköpostiosoite. GDPR:n mukaisesti joissain tilanteissa sähköpostiosoitetta voidaan valitettavasti pitää henkilötiedona ja suojata asetuksen säännösten mukaisesti.

Milloin sähköpostiosoite on henkilötietoa?

GDPR ei ole ottanut käyttöön suljettua henkilötietojen luetteloa. Art. 4 sek. Asetuksen 1 §:n mukaan henkilötieto on tietoa tunnistetusta tai tunnistettavissa olevasta luonnollisesta henkilöstä. Tunnistettava luonnollinen henkilö on henkilö, joka voidaan suoraan tai välillisesti tunnistaa erityisesti sellaisen tunnisteen, kuten etu- ja sukunimen, tunnistenumeron, sijaintitiedon, Internet-tunnisteen tai yhden tai useamman tietyn fyysisen, fysiologisen, geneettisen tai henkisen tekijän perusteella. , luonnollisen henkilön taloudellinen, kulttuurinen tai sosiaalinen identiteetti. Tämä tarkoittaa, että hakemisto on avoin ja muihin kokonaisuuksiin linkitetyn tiedon käsittelyssä tulee olla huolellinen.

Vaikka asetuksessa ei määritelty sähköpostiosoitetta henkilötiedoksi, tulee kuitenkin ottaa huomioon henkilötietojen tarkastajan lausunto. Siinä todetaan, että sähköpostiosoite on henkilötietoa, kunhan sen avulla voimme tunnistaa tietyn henkilön. Ilmeinen esimerkki henkilötietosähköpostiosoitteesta on osoite, jonka nimessä on omistajan etu- ja sukunimi. Massasähköpostia ei voi käyttää, kun sähköposti on henkilötietoa.

Entä jos sähköpostiosoitteessa ei ole koko nimeä? Tässä autamme vakiintunutta periaatetta, jonka mukaan henkilötieto on osoite, jonka perusteella voimme tunnistaa tietyn luonnollisen henkilön. Kyse on myös epäsuoran tunnistamisen mahdollisuudesta. Tätä silmällä pitäen henkilötiedot eivät ole sähköpostiosoite, joka sisältää esimerkiksi omistajan salanimen. Tietysti pätevät henkilöt pystyisivät tunnistamaan osoitteen omistajan esimerkiksi IP-numeron perusteella, mutta tämä tieto ei ole yleisesti saatavilla eikä vaadi erikoisosaamista. Erilainen tilanne tulee olemaan, kun osoitteella on nimiä, joiden ansiosta voimme helposti tarkistaa kuka on osoitteen omistaja, esimerkiksi yrityksen osoite, joka sisältää alussa tehtävän nimen ja sitten verkkotunnuksen. tietty yritys syötetään. Tällaisessa tilanteessa riittää, kun menemme yrityksen verkkosivuille ja tarkistat, kuka työskentelee sähköpostiosoitteessa ilmoitetussa tehtävässä. Koko prosessi on melko yksinkertainen ja nopea, joten ilmoitettua sähköpostiosoitetta tulee pitää GDPR:n mukaisena henkilötiedona.

Milloin meillä on oikeus joukkokirjeenvaihtoon?

Tiedämme jo, milloin sähköpostiosoitteet ovat henkilötietoja. Kysy nyt itseltäsi, missä tilanteissa voimme käyttää (käsitellä) olemassa olevia osoitteita.

Sähköpostissa ei pääsääntöisesti voi käyttää GDPR-suojan alaisia ​​sähköpostiosoitteita, tarvitsemme omistajien suostumuksen. Verkkoa käytettäessä meitä pyydetään antamaan sähköpostiosoitteesi useaan otteeseen - olipa kyseessä sitten verkkosivustolla rekisteröityminen, kyselyn lähettäminen tai tiedostojen lataaminen. Monet yrittäjät, kun he saavat nämä osoitteet, sisällyttävät ne automaattisesti postituslistalleen uskoen, että sähköpostiosoitteen kirjoittaminen verkkosivulle merkitsee suostumuksensa uutiskirjeen tai kaupallisten tarjousten eli joukkokirjeen lähettämiseen. GDPR on kieltänyt tällaiset käytännöt. Sivuilla vierailijoiden antamat suostumukset on annettava vapaaehtoisesti, tietoisesti ja tavalla, joka osoittaa selvästi, mihin he suostuvat. Tärkeää on, että ne on esitettävä yksinkertaisella ja kaikille ymmärrettävällä tavalla.

Tärkeä!
Ennen 25.5.2018 laillisesti kerätyt tiedot pysyvät voimassa. Niiden käsittelyä varten ei ole velvollisuutta kerätä suostumuksia.

Tietovelvollisuus

Luonnollista henkilöä antamaan sähköpostiosoitteensa pyytävä taho on velvollinen ilmoittamaan hänelle annettujen henkilötietojen käsittelyn tarkoituksesta, laajuudesta ja ajasta. Lisäksi jokaisella suostumuksella tulisi olla myös joukko oikeuksia henkilöille, joiden tietoja käsitellään.

Tämän vuoksi suostumuksen tulee sisältää muun muassa seuraavat tiedot:

  1. rekisterinpitäjän yhteystiedot;

  2. tietojen käsittelyn tarkoitus;

  3. tietojen käsittelyn oikeusperusta;

  4. tietojen tallennusaika;

  5. oikeus päästä käsiksi tietoihin, muuttaa, siirtää tai poistaa tietoja; peruuttaa suostumuksen käsittelyyn; tehdä valituksen henkilötietojen suojasta vastaavalle toimivaltaiselle viranomaiselle.

Postituslistarekisteri

GDPR on luopunut velvollisuudesta rekisteröidä yksittäisiä tietokantoja henkilötietokantojen yleistarkastajalle. Sen sijaan asetus velvoitti rekisterinpitäjät laatimaan rekisterin käsitellyistä toiminnoista ja pitämään siitä kirjaa. Tämä tarkoittaa, että jokaisen joukkokirjeen postituslistoja käyttävän tahon on ilmoitettava kyseisessä rekisterissä tällainen tietokanta, käsiteltyjen tietojen laajuus, käsittelyn tarkoitus, vastaanottajien luokka ja näiden tietojen suunniteltu poistamispäivä (lain 30 artikla). GDPR).

Aloita ilmainen 30 päivän kokeilujakso ilman ehtoja!

Mitä tulee huomioida käsiteltäessä sähköpostiosoitteita joukkokirjeenvaihtoa varten?

Usein tapahtuu, että tietosuojavastaajat tekevät GDPR-menettelyjen oikeasta toimeenpanosta ja laillisesta suostumusten saamisesta uutiskirjeiden tai kaupallisten tarjousten lähettämiseen huolimatta vaikuttavan vähäpätöisiä virheitä, jotka voivat johtaa vakaviin seurauksiin. Mitkä ovat yleisimmät virheet jonkun toisen henkilötietojen käsittelyssä?

Viestien lähettäminen ilman BCC/Bcc

Toistuva henkilötietojen loukkaus sähköisessä kirjeenvaihdossa ei ole viestien vastaanottajien yksittäisten sähköpostiosoitteiden piilottaminen. Massasähköposti ei salli henkilötietojen (mukaan lukien sähköpostiosoitteet) jakamista muille vastaanottajille. Postituslistat ovat GDPR:n suojaamia yksittäisten vastaanottajien suostumuksesta huolimatta.

Asetuksen mukaan rekisterinpitäjä on velvollinen suojaamaan käsittelemiään henkilötietoja ja estämään niiden luovuttamisen asiattomille henkilöille.Jos sähköistä kirjeenvaihtoa lähetetään suuremmalle määrälle vastaanottajia, tulee varmistaa, että yksittäisillä henkilöillä, joille tämäntyyppinen kirjeenvaihto on osoitettu, ei ole mahdollisuutta lukea muiden vastaanottajien tietoja. Tätä varten BCC / Piilokopio (Hidden For Messages) -vaihtoehto on tarkoitettu useimpien sähköpostiohjelmien vastaanottajakenttään.

Epäturvalliset postituslistat

Sähköinen kirjeenvaihto voi usein murtua pienissä ja teknisesti vähemmän kehittyneissä yrityksissä. Monet yrittäjät käyttävät edelleen yksinkertaisia ​​tekstieditoreja ja tallentavat sinne postituslistansa asiakkaiden tai urakoitsijoiden henkilötiedoilla. Lisäksi monet heistä eivät suojaa salasanalla sekä postituslistatiedostoa että tietokonetta, jossa tiedosto sijaitsee. Tällaiset toimet mahdollisen valvonnan tapauksessa voivat johtaa kielteisiin seurauksiin taloudellisten seuraamusten muodossa.

Tietojen poistaminen yrityksestä ilman mediasuojausta

Monet yrittäjät tai tietojenkäsittelystä vastaavien yritysten työntekijät työskentelevät etänä. Tämä tarkoittaa elektronisten laitteiden ja muiden tietovälineiden ottamista yhtiöltä. Tässä tapauksessa on tarpeen varmistaa, että nämä laitteet on suojattu asianmukaisesti, koska katoamisen tai varkauden sattuessa kaikki niille tallennetut tiedot ovat erittäin helposti luvattomien henkilöiden saatavilla.

Yhteenveto

Jos haluat jatkaa massasähköpostin käyttöä esitelläksesi tarjouksesi laajemmalle vastaanottajajoukolle ja samalla toimia GDPR:n määräysten mukaisesti, on parasta tiedostaa, että kaikki sähköpostiosoitteet ovat henkilökohtaisia. asetuksessa tarkoitettuja tietoja. Tämän jälkeen postituslistaa luotaessa on tarpeen hankkia tulevilta vastaanottajilta tarvittavat suostumukset tietojensa käsittelyyn. Lisäksi nämä suostumukset on annettava vapaasti, tietoisesti ja yksiselitteisesti. Lisäksi suostumuksiin tulee liittää tiedot henkilötietojen käsittelyn tarkoituksesta, laajuudesta ja ajasta. Kun onnistumme keräämään meitä kiinnostavia tietoja kirjeenvaihtoa varten, kokoelmamme tulee liittää käsiteltyjen toimintojen rekisteriin.