Har en virksomhet lov til å utlevere andres e-postadresser ved å sette dem i mottaker-/kopifeltet?

Når en virksomhet sender en e-post der flere e-postmottagere settes synlig i mottager- eller kopifeltet, vil det være en utlevering av personopplysninger til andre. Enhver behandling av personopplysninger, det vil altså også si utlevering av e-postadresser, krever et behandlingsgrunnlag for å være lovlig. Et eksempel på behandlingsgrunnlag kan være at du har gitt samtykke til utleveringen. Virksomheten må vurdere behandlingsgrunnlaget før e-posten sendes.

På generelt grunnlag anbefaler vi å benytte blindkopi i de tilfellene der det ikke er nødvendig at mottakerne ser hvem de andre mottakerne er. Dette er et enkelt og effektivt tiltak for å blant annet sikre etterlevelse av personvernprinsippene formålsbegrensning, dataminimering og integritet av personopplysningene.

Men selv om avsenderen har et behandlingsgrunnlag, finnes det gode og personvernvennlige alternativer som vil kunne fungere godt i mange tilfeller og bør vurderes. Hvis det er nødvendig at mottakerne vet hvem andre som har fått samme e-post, kan et alternativ være å beskrive mottakerne i selve teksten. Det kan da velges hvilke, om noen, personopplysninger som blir gitt. For eksempel kan det stå i eposten at den er sendt til alle medlemmene i et styre eller alle beboere i borettslaget.