När det gäller dina privata e-postmeddelanden kan du själv bestämma om du vill behålla eller radera dem. Men om du driver ett företag – särskilt i en regleradbranschkan brittiska dataskyddslagar och branschregler kräva att du sparar vissa e-postmeddelanden. I den här artikeln förklarar vi grunderna i e-postarkivering, beskriver det brittiska rättsliga ramverket och går igenom bästa praxis för att säkerställa efterlevnad.

Vad är e-postarkivering?

E-postarkivering avser systematisk och säker lagring av alla inkommande och utgående e-postmeddelanden, inklusive metadata och bilagor. Till skillnad från vanliga säkerhetskopior är arkivering utformad för långsiktig bevarande och enkel återhämtning, särskilt i fall av juridiska eller regulatoriska behov.

Att följa kraven på arkivering av e-post är en stark drivkraft, men arkivering medför också praktiska fördelar:

  • Minskar lagringsbelastningen på primära e-postservrar, vilket förbättrar prestandan.
  • Ger skydd vid juridiska tvister, myndighetsgranskningar eller interna utredningar.
  • Möjliggör snabb återställning av e-postmeddelanden som raderats eller förlorats av misstag.
  • Stöder katastrofåterställning och kontinuitetsplanering.

Vem gäller kraven på e-postarkivering och varför?

Alla företag är inte uttryckligen skyldiga enligt lag att arkivera e-postmeddelanden. Många brittiska organisationer är dock i praktiken skyldiga att göra detta på grund av:

  • Storbritanniens GDPR och dataskyddslagen från 2018
  • Branschspecifika regler
  • Behov av juridisk riskhantering och tvistlösning

E-postarkivering är särskilt viktigt inom reglerade sektorer såsom:

  • Finans och försäkring
  • Hälso- och sjukvård
  • Juridiska tjänster
  • Offentliga myndigheter
  • Utbildning och forskning

Om din organisation hanterar personuppgifter, arbetar med kunder eller patienter eller är föremål för revisioner är det viktigt att spara och hantera e-postmeddelanden. Underlåtenhet att arkivera e-postmeddelanden kan leda till böter, rättsliga påföljder eller skada på organisationens rykte.

Viktiga rättsliga ramar för e-postarkivering i Storbritannien

Storbritanniens GDPR och dataskyddslagen från 2018

Den brittiska dataskyddsförordningen (UK GDPR) och dataskyddslagen från 2018 reglerar hur personuppgifter ska samlas in, lagras och behandlas i Storbritannien.

Enligt dessa lagar:

  • Individer har rätt att få tillgång till sina personuppgifter (via begäran om tillgång till personuppgifter, eller SAR).
  • Du måste svara på SAR inom en månad, vilket kan förlängas till två månader för komplexa fall.
  • Begäran är kostnadsfria, såvida de inte är överdrivna eller repetitiva.

Om personuppgifter lagras i e-postmeddelanden måste du kunna hitta och hämta dessa e-postmeddelanden snabbt och säkert. Underlåtenhet att följa detta kan leda till verkställighetsåtgärder från Information Commissioner’s Office (ICO).

Lagen om informationsfrihet från 2000 (FOIA)

Denna lag gäller för offentliga myndigheter och vissa offentligt finansierade organ. Den ger allmänheten rätt att begära information, inklusive e-postkommunikation.

  • Svar måste lämnas inom 20 arbetsdagar
  • Om relevant information lagras i e-postmeddelanden måste den kunna hämtas
  • Underlåtenhet att följa dessa krav kan leda till administrativa sanktioner

Privata företag omfattas inte av FOIA om de inte tillhandahåller tjänster på uppdrag av offentliga organ.

Branschspecifika regler

Beroende på din bransch kan ytterligare regler gälla. Exempel på detta är:

  • Financial Conduct Authority (FCA) regler för dokumentation och revision
  • Solicitors Regulation Authority (SRA) riktlinjer för kundkommunikation
  • NHS-standarder för datalagring och efterlevnad av IG Toolkit
  • Skydds- och datasäkerhetspolicyer för utbildningssektorn

Lagringstiderna varierar ofta mellan olika sektorer, men ligger vanligtvis mellan 3 och 6 år.

Hur man säkerställer korrekt arkivering av e-post

För att uppfylla brittiska lagar och regler bör företag införa strukturerade och säkra arkiveringsprocesser. Det innebär följande:

Din e-postarkiveringslösning bör:

  • Var säker med åtkomstkontroll och kryptering
  • Var sökbar, möjliggör snabb och precis e-poståtervinning
  • Behåll metadata, bilagor och meddelandekontext
  • Möjliggör export i standardformat (t.ex. PST, PDF, EML)

Du bör också:

  • Vet var dina e-postmeddelanden lagras (datacenter baserade i Storbritannien eller GDPR-kompatibla datacenter)
  • Definiera och dokumentera dina lagringspolicyer (hur länge e-postmeddelanden sparas, vad som raderas)
  • Utbilda personalen i att följa rutinerna för e-posthantering
  • Utse en compliance officer eller datakontrollant som kontaktperson
  • Genomför regelbundna granskningar för att kontrollera effektiviteten

Vad bör din policy för arkivering av e-post innehålla?

En tydlig intern policy säkerställer en konsekvent och laglig hantering av e-postkommunikation. Den bör omfatta:

  • Syftet med och den rättsliga grunden för arkivering av e-post
  • Omfattning: vilka e-postmeddelanden som arkiveras och hur länge
  • Lagringsplats och teknik som används
  • Åtkomstkontroll och sökprocedurer
  • Regler för radering (när och hur e-postmeddelanden tas bort)
  • Personalens ansvar och eskaleringsvägar

Att ha en policy på plats hjälper din organisation att förbereda sig för revisioner, tvister eller begäranden om tillgång till personuppgifter.

Observera den juridiska ansvarsfriskrivningen för denna artikel.

Gå till huvudmeny