De flesta formulär bygger på att man lämnar personuppgifter som namn och kontaktuppgifter. Det innebär att när GDPR träder i kraft blir det mycket svårare att publicera formulär. Den som publicerar formulär måste veta vad GDPR innebär, vilka rutiner den ska följa för att uppfylla lagen och hur organisationen arbetar med dataskyddsförordningen.

Den nya dataskyddsförordningen, även kallad GDPR, (General Data Protection Regulation), reglerar hur du får hantera personuppgifter och vilka rättigheter den som blir registrerad har. GDPR kommer att ersätta personuppgiftslagen (PUL) från och med den 25 maj 2018, men är mer omfattande än vad personuppgiftslagen är.

Den nya dataskyddsförordningen är gemensam i alla EU/EES-länder och påverkar alla som hanterar personuppgifter om identifierbara personer. Det innebär att alla företag, organisationer och de flesta myndigheter berörs av GDPR. Myndigheter som hanterar personuppgifter som ingår i brottsbekämpande verksamhet samt säkerhets- och underrättelsetjänster är undantagna lagen.

GDPR påverkar hur du kan använda formulär på webben

Varje formulär som samlar in personuppgifter måste följa GDPR. Det innebär att du ska kunna stödja dig på en laglig (även kallad rättslig) grund för insamlingen och ha ett förutbestämt ändamål med ditt formulär. Du måste också se till att dina rutiner för hur du samlar in och bearbetar informationen överensstämmer med lagen. Om Datainspektionen vill kontrollera din verksamhet ska du kunna visa dokumentation på att du uppfyller lagen i alla hänseenden.

Känner du paniken börja komma krypande? Lugn, vi hjälper dig med vad du behöver tänka på.

Se till att du har en laglig grund

När du skapar ett webbformulär måste du se till att det finns en laglig grund för ditt formulär. Det är bara lagligt att behandla uppgifter om du kan hävda minst en laglig grund.

GDPR har sex lagliga grunder:

  • samtycke
  • ingå eller fullgöra avtal
  • rättslig förpliktelse
  • skydd för grundläggande intressen
  • allmänt intresse och myndighetsutövning
  • intresseavvägning

När det kommer till webbformulär handlar det kanske oftast om samtycke, ingå och fullgöra avtal eller myndighetsutövning.

Samtycke

Samtycke innebär att den registrerade lämnar sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål, till exempel att få nyhetsbrev av er eller finnas med namn och bild på er webbplats. Samtycke ska alltid vara frivilligt och ska kunna återkallas lika lätt som man gav dem.

Du ska kunna bevisa i efterhand att du har fått ett samtycke från en person. Därför behöver du spara de samtycken du samlar in och även ha kontroll på vilken information du gav när samtycket gavs. Du bör därför ha någon sorts rutiner och system för att ha översikt och kontroll på de samtycken du får in.

Ingå eller fullgöra ett avtal

Ingå eller fullgöra ett avtal innebär att du måste behandla personuppgifterna för att kunna ingå eller fullgöra ett avtal med den registrerade, till exempel kortuppgifter för att personen ska kunna handla av dig.

Myndighetsutövning

Myndighetsutövning är när du måste behandla personuppgifter som ett led i myndighetsutövning, till exempel vid e-tjänster för att ansöka om skolplats eller liknande.

Registrera att du registrerar

Din organisation behöver ett register för alla personuppgifter ni samlar in. Där ska ni ange bland annat var ni registrerar, varför, vilken rättslig grund ni stödjer er på, hur länge ni sparar uppgifterna och så vidare. Innan du publicerar formuläret ska du ha fyllt i det här registret.

Informera den som registreras

När du samlar in uppgifter om en person så måste du informera personen i fråga. I förordningen finns en lång lista över vilken information som ska ges, men sammanfattningsvis ska du tala om

  • att ni samlar in personuppgifter
  • vilka uppgifter det handlar om
  • varför ni gör det, det vill säga vilken laglig grund du har
  • om du kommer lämna uppgifterna vidare till andra.

Det kan vara lockande att göra en standardtext och publicera vid alla formulär, men tänk på att du kanske har olika lagliga grunder eller hanterar personuppgifterna olika vid olika tillfällen. Då behöver du ha olika texter för varje tillfälle.

Rekommendationen är att besökaren bör ge sitt samtycke genom en kryssruta bredvid texten. Det anses inte som samtycke om det finns en text som säger att besökaren godkänner villkoren genom att skicka in formuläret, eller liknande lösningar.

Kom ihåg att du inte får använda de insamlade personuppgifterna för helt nya syften och användningsområden än de du informerade om när du samlade in personuppgifterna.

Skicka inte formulärdata med e-post

Många CMS har funktionen att det mejlar ut uppgifter när någon har fyllt i ett formulär. En sådan lösning får du svårt att kontrollera var personuppgifterna du samlar in hamnar och får därför också svårt att efterleva GDPR:s regelverk. Redan om någon vidarebefordrar ett mejl har du tappat kontrollen. Det är därför bättre att ha en lösning där du sparar alla uppgifter på en plats enbart.

Uppdatera rutiner för lagring och gallring

Din organisation ska ha en rutin för hur ni gallrar och raderar personuppgifter. Glöm inte att uppdatera rutinerna med just ditt formulär. Rutinerna ska finnas dokumenterade för en eventuell kontroll, men så klart också för er egen skull. Där ska det stå vilka system ni rensar i, hur ofta, och hur ni går tillväga när ni rensar.

Sammanfattning

Det är med andra ord inte lika enkelt att skapa nya webbformulär som det varit tidigare. Du behöver tänka igenom och hitta en laglig grund för insamlingen, uppdatera den centrala registerförteckningen, skapa rätt informationstexter och uppdatera rutiner för lagringstid och gallring.

Därför kan du som kommunikatör förmodligen inte längre skapa och hantera formulär helt på egen hand. Om det finns någon i verksamheten som är ansvarig för personuppgifter, till exempel ett dataskyddsombud, behöver du stämma av med den hur ni ska bygga upp och hantera formuläret för att det ska följa GDPR.

Om du har ansvar för en webbavdelning innebär det här att du bör informera alla dina webbredaktörer om de nya rutinerna.

 

Lär dig hur GDPR påverkar webbarbetet

Med vår kurs GDPR för webbansvariga lär du dig de viktigaste delarna om hur GDPR påverkar ditt arbete med webben och vad du behöver göra. Du får konkreta tips och verktyg och kommer igång med ditt arbete redan under kursen.

Få stöd i arbetet med GDPR inom organisationen

Att anpassa organisationen efter GDPR kan vara omfattande och förvirrande. Vi hjälper er på vägen genom till exempel inventera vilka av era system som berörs av GDPR. Du kan också få hjälp med att ta fram åtgärdsplaner och att sätta upp register och rutiner.

Denna text har ingen ambition att täcka alla delar eller aspekter av GDPR. Vår ambition är att lyfta ut delar som känns relevanta för just formulärhantering.

De praktiska råden och tipsen har vi stämt av med jurister som är specialister på GDPR. Det saknas just nu detaljerad vägledning från tillsynsmyndigheten och praxis om hur man praktiskt ska tillämpa GDPR inom många områden. Vissa råd i denna text kommer därför med tiden att kunna förändras. Vi förbehåller oss rätten att när som helst ändra texten och frånsäger oss allt ansvar för hur dessa råd används i praktiken. Det är alltid upp till varje kund, myndighet eller organisation att själv besluta om att tillämpa någon av råden. Vi rekommenderar att ni även stämmer av tillämpningen av dessa råd med den som är ansvarig för personuppgifter i er organisation eller med egen jurist.

Mer information om GDPR hittar du på Datainspektionens webbplats

Bild och film på webb och i sociala medier enligt GDPR

Samtycke enligt GDPR – när, var och hur?