Mitkä sähköpostien arkistointia koskevat lakisääteiset vaatimukset ovat voimassa Isossa-Britanniassa?
Kun kyse on henkilökohtaisista sähköposteistasi, voit itse päättää, säilytätkö ne vai poistatko ne. Jos kuitenkin harjoitat liiketoimintaa – etenkin säännellyllä toimialalla –Ison-Britannian tietosuojalait ja alan säännökset saattavat velvoittaa sinua säilyttämään tietyt sähköpostit. Tässä artikkelissa selitämme sähköpostien arkistoinnin perusteet, esittelemme Ison-Britannian lainsäädännön puitteet ja opastamme sinua noudattamaan parhaita käytäntöjä säännösten noudattamisen varmistamiseksi.
Mitä sähköpostien arkistointi tarkoittaa?
Sähköpostien arkistoinnilla tarkoitetaan kaikkien saapuvien ja lähtevien sähköpostiviestien järjestelmällistä ja turvallista tallennusta, mukaan lukien metatiedot ja liitetiedostot. Toisin kuin tavalliset varmuuskopioinnit, arkistointi on tarkoitettu tietojen pitkäaikaiseen säilyttämiseen ja helppoon hakemiseen, erityisesti silloin, kun se on lakisääteisesti tai viranomaismääräysten vuoksi tarpeen.
Vaikka sähköpostien arkistointivaatimusten noudattaminen on vahva motivaatiotekijä, arkistoinnilla on myös käytännön etuja:
- Vähentää ensisijaisten sähköpostipalvelimientallennuskuormitusta ja parantaa suorituskykyä.
- Tarjoaa suojaa oikeudellisissa riidoissa, viranomaistarkastuksissa tai sisäisissä tutkimuksissa.
- Mahdollistaa vahingossa poistettujen tai kadonneiden sähköpostiviestiennopean palauttamisen.
- Tukee katastrofien jälkeistä palautusta ja jatkuvuussuunnittelua.
Keihin sähköpostien arkistointivaatimukset koskevat ja miksi?
Laki ei nimenomaisesti velvoita kaikkia yrityksiä arkistoimaan sähköposteja. Monet brittiläiset organisaatiot ovat kuitenkin käytännössä velvollisia tekemään niin seuraavista syistä:
- Yhdistyneen kuningaskunnan GDPR ja vuoden 2018 tietosu ojalaki
- Toimialakohtaiset säännökset
- Oikeudellisen riskienhallinnan ja riidanratkaisun tarpeet
Sähköpostien arkistointi on erityisen tärkeää säännellyillä toimialoilla, kuten:
- Rahoitus ja vakuutus
- Terveydenhuolto
- Oikeudelliset palvelut
- Julkishallinto
- Koulutus ja tutkimus
Jos organisaatiosi käsittelee henkilötietoja, toimii asiakkaiden tai potilaiden kanssa tai joutuu tarkastusten kohteeksi, sähköpostiviestien säilyttäminen ja hallinnointi on välttämätöntä. Sähköpostiviestien arkistoimatta jättäminen voi johtaa sakkoihin, oikeudellisiin riskeihin tai maineen vahingoittumiseen.
Sähköpostien arkistoinnin keskeiset oikeudelliset puitteet Isossa-Britanniassa
Yhdistyneen kuningaskunnan GDPR ja vuoden 2018 tietosuojalaki
Yhdistyneen kuningaskunnan yleinen tietosuoja-asetus (UK GDPR) ja vuoden 2018 tietosuojalaki säätelevät sitä, miten henkilötietoja on kerättävä, säilytettävä ja käsiteltävä Yhdistyneessä kuningaskunnassa.
Näiden lakien mukaan:
- Henkilöillä on oikeus saada pääsy omiin henkilötietoihinsa (esittämällä tietojen saantipyynnön, SAR)
- SAR-pyyntöihin on vastattava yhden kuukauden kuluessa; määräaikaa voidaan pidentää kahteen kuukauteen monimutkaisten tapausten osalta
- Pyynnöt ovat maksuttomia, elleivät ne ole kohtuuttomia tai toistuvia
Jos sähköposteissa on henkilötietoja, sinun on kyettävä löytämään ja hakemaan nämä sähköpostit nopeasti ja turvallisesti. Vaatimusten noudattamatta jättäminen voi johtaa tietosuojavaltuutetun toimiston (ICO) määräämään seuraamukseen.
Tietojen julkisuutta koskeva laki vuodelta 2000 (FOIA)
Tämä laki koskee viranomaisia ja tiettyjä julkisesti rahoitettuja elimiä. Se antaa kansalaisille oikeuden pyytää tietoja, mukaan lukien sähköpostiviestit.
- Vastaukset on annettava 20 työpäivän kuluessa
- Jos olennaisia tietoja on tallennettu sähköposteihin, niiden on oltava haettavissa
- Määräysten noudattamatta jättäminen voi johtaa sääntelyviranomaisten määräämiin seuraamuksiin
Yksityiset yritykset eivät kuulu FOIA:n piiriin, elleivät ne tarjoa palveluja julkisten elinten puolesta.
Alaa koskevat säännökset
Toimialastasi riippuen saatetaan soveltaa lisävaatimuksia. Esimerkkejä ovat:
- Finanssivalvontaviranomaisen (FCA) säännöt kirjanpidosta ja tilintarkastuksista
- Asianajajien sääntelyviranomaisen (SRA) ohjeet asiakaskommunikaatiosta
- NHS:n tietojen säilyttämistä koskevat standardit ja IG Toolkit -vaatimustenmukaisuus
- Koulutusalan suojelu- ja tietoturvakäytännöt
Säilytysajat vaihtelevat usein toimialoittain, mutta ovat yleensä 3–6 vuotta.
Kuinka varmistaa sähköpostien arkistoinnin vaatimustenmukaisuus
Yhdistyneen kuningaskunnan lainsäädännön ja sääntelyn vaatimusten täyttämiseksi yritysten tulisi ottaa käyttöön jäsennellyt ja turvalliset arkistointiprosessit. Tähän sisältyy seuraavaa:
Sähköpostien arkistointiratkaisun tulisi:
- Varmista tietoturva käyttöoikeuksien hallinnan ja salauksen avulla
- Hakuominaisuudet mahdollistavat nopean ja tarkan sähköpostien haun
- Säilytä metatiedot, liitteet ja viestien konteksti
- Mahdollista vienti vakiomuodoissa (esim. PST, PDF, EML)
Sinun tulisi myös:
- Selvitä, missä sähköpostisi säilytetään (Yhdistyneessä kuningaskunnassa sijaitsevissa tai GDPR-vaatimusten mukaisissa tietokeskuksissa)
- Määritä ja dokumentoi säilytyskäytännöt (kuinka kauan sähköposteja säilytetään, mitä poistetaan)
- Kouluta henkilöstö noudattamaan sähköpostien hallintamenettelyjä
- Nimeä yhteyshenkilöksi compliance-vastaava tai rekisterinpitäjä
- Suorita säännöllisiä tarkastuksia tehokkuuden varmistamiseksi
Mitä sähköpostien arkistointikäytännön tulisi sisältää?
Selkeä sisäinen ohjeisto takaa sähköpostiviestinnän johdonmukaisen ja lainmukaisen käsittelyn. Sen tulisi kattaa seuraavat seikat:
- Sähköpostien arkistoinnin tarkoitus ja oikeusperusta
- Soveltamisala: mitkä sähköpostit arkistoidaan ja kuinka kauan
- Tallennuspaikka ja käytetty tekniikka
- Käyttöoikeuksien hallinta ja hakumenettelyt
- Poistosäännöt (milloin ja miten sähköpostit poistetaan)
- Henkilöstön vastuut ja eskalointipolut
Käytäntöjen laatiminen auttaa organisaatiotasi varautumaan tarkastuksiin, riita-asioihin tai tietojen saantipyyntöihin.
Huomioi tämän artikkelin vastuuvapauslauseke.