Så hanterar du webbformulär enligt GDPR – dataskyddsförordningen

De flesta formulär bygger på att man lämnar personuppgifter som namn och kontaktuppgifter. Det innebär att när GDPR träder i kraft blir det mycket svårare att publicera formulär. Den som publicerar formulär måste veta vad GDPR innebär, vilka rutiner den ska följa för att uppfylla lagen och hur organisationen arbetar med dataskyddsförordningen.

Den nya dataskyddsförordningen, även kallad GDPR, (General Data Protection Regulation), reglerar hur du får hantera personuppgifter och vilka rättigheter den som blir registrerad har. GDPR kommer att ersätta personuppgiftslagen (PUL) från och med den 25 maj 2018, men är mer omfattande än vad personuppgiftslagen är.

Den nya dataskyddsförordningen är gemensam i alla EU/EES-länder och påverkar alla som hanterar personuppgifter om identifierbara personer. Det innebär att alla företag, organisationer och de flesta myndigheter berörs av GDPR. Myndigheter som hanterar personuppgifter som ingår i brottsbekämpande verksamhet samt säkerhets- och underrättelsetjänster är undantagna lagen.

GDPR påverkar hur du kan använda formulär på webben

Varje formulär som samlar in personuppgifter måste följa GDPR. Det innebär att du ska kunna stödja dig på en laglig (även kallad rättslig) grund för insamlingen och ha ett förutbestämt ändamål med ditt formulär. Du måste också se till att dina rutiner för hur du samlar in och bearbetar informationen överensstämmer med lagen. Om Datainspektionen vill kontrollera din verksamhet ska du kunna visa dokumentation på att du uppfyller lagen i alla hänseenden.

Känner du paniken börja komma krypande? Lugn, vi hjälper dig med vad du behöver tänka på.

Se till att du har en laglig grund

När du skapar ett webbformulär måste du se till att det finns en laglig grund för ditt formulär. Det är bara lagligt att behandla uppgifter om du kan hävda minst en laglig grund.

GDPR har sex lagliga grunder:

  • samtycke
  • ingå eller fullgöra avtal
  • rättslig förpliktelse
  • skydd för grundläggande intressen
  • allmänt intresse och myndighetsutövning
  • intresseavvägning

När det kommer till webbformulär handlar det kanske oftast om samtycke, ingå och fullgöra avtal eller myndighetsutövning.

Samtycke

Samtycke innebär att den registrerade lämnar sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål, till exempel att få nyhetsbrev av er eller finnas med namn och bild på er webbplats. Samtycke ska alltid vara frivilligt och ska kunna återkallas lika lätt som man gav dem.

Du ska kunna bevisa i efterhand att du har fått ett samtycke från en person. Därför behöver du spara de samtycken du samlar in och även ha kontroll på vilken information du gav när samtycket gavs. Du bör därför ha någon sorts rutiner och system för att ha översikt och kontroll på de samtycken du får in.

Ingå eller fullgöra ett avtal

Ingå eller fullgöra ett avtal innebär att du måste behandla personuppgifterna för att kunna ingå eller fullgöra ett avtal med den registrerade, till exempel kortuppgifter för att personen ska kunna handla av dig.

Myndighetsutövning

Myndighetsutövning är när du måste behandla personuppgifter som ett led i myndighetsutövning, till exempel vid e-tjänster för att ansöka om skolplats eller liknande.

Registrera att du registrerar

Din organisation behöver ett register för alla personuppgifter ni samlar in. Där ska ni ange bland annat var ni registrerar, varför, vilken rättslig grund ni stödjer er på, hur länge ni sparar uppgifterna och så vidare. Innan du publicerar formuläret ska du ha fyllt i det här registret.

Informera den som registreras

När du samlar in uppgifter om en person så måste du informera personen i fråga. I förordningen finns en lång lista över vilken information som ska ges, men sammanfattningsvis ska du tala om

  • att ni samlar in personuppgifter
  • vilka uppgifter det handlar om
  • varför ni gör det, det vill säga vilken laglig grund du har
  • om du kommer lämna uppgifterna vidare till andra.

Det kan vara lockande att göra en standardtext och publicera vid alla formulär, men tänk på att du kanske har olika lagliga grunder eller hanterar personuppgifterna olika vid olika tillfällen. Då behöver du ha olika texter för varje tillfälle.

Rekommendationen är att besökaren bör ge sitt samtycke genom en kryssruta bredvid texten. Det anses inte som samtycke om det finns en text som säger att besökaren godkänner villkoren genom att skicka in formuläret, eller liknande lösningar.

Kom ihåg att du inte får använda de insamlade personuppgifterna för helt nya syften och användningsområden än de du informerade om när du samlade in personuppgifterna.

Skicka inte formulärdata med e-post

Många CMS har funktionen att det mejlar ut uppgifter när någon har fyllt i ett formulär. En sådan lösning får du svårt att kontrollera var personuppgifterna du samlar in hamnar och får därför också svårt att efterleva GDPR:s regelverk. Redan om någon vidarebefordrar ett mejl har du tappat kontrollen. Det är därför bättre att ha en lösning där du sparar alla uppgifter på en plats enbart.

Uppdatera rutiner för lagring och gallring

Din organisation ska ha en rutin för hur ni gallrar och raderar personuppgifter. Glöm inte att uppdatera rutinerna med just ditt formulär. Rutinerna ska finnas dokumenterade för en eventuell kontroll, men så klart också för er egen skull. Där ska det stå vilka system ni rensar i, hur ofta, och hur ni går tillväga när ni rensar.

Sammanfattning

Det är med andra ord inte lika enkelt att skapa nya webbformulär som det varit tidigare. Du behöver tänka igenom och hitta en laglig grund för insamlingen, uppdatera den centrala registerförteckningen, skapa rätt informationstexter och uppdatera rutiner för lagringstid och gallring.

Därför kan du som kommunikatör förmodligen inte längre skapa och hantera formulär helt på egen hand. Om det finns någon i verksamheten som är ansvarig för personuppgifter, till exempel ett dataskyddsombud, behöver du stämma av med den hur ni ska bygga upp och hantera formuläret för att det ska följa GDPR.

Om du har ansvar för en webbavdelning innebär det här att du bör informera alla dina webbredaktörer om de nya rutinerna.

Rådgör gärna med era egna jurister innan ni inför ändringar. Mer information om GDPR hittar du på Datainspektionens webbplats