Lomakkeet verk­ko­si­vuil­la ja GDPR: 5 tie­to­suo­jaan liittyvää asiaa, jotka lomakkeessa pitää olla

GDPR ei muuttanut maailmaa, mutta sen vaatimusten huomiointi verkkosivuilla on tärkeää. Tyypillisellä verkkosivustolla tietosuojavaatimukset vaikuttavat erityisen paljon siihen, miten lomakkeita tehdään.

GDPR tuntuu unohtuneen monilla verkkosivuilla. Tietosuojavaatimukset ovat edelleen tärkeitä ja niiden huomioiminen erityisesti verkkosivujen lomakkeissa on välttämätöntä.

Kun uusienkin verkkosivustojen lomakkeita tarkastelee, niissä on yllättävän usein näkyvissä GDPR:ään liittyviä puutteita, vaikka sivusto muuten olisi ammattimaisesti suunniteltu ja rakennettu. Kirjoitimme aikoinaan blogissamme GDPR:n vaikutuksista yrityksiin ja GDPR:n aiheuttamista muutostarpeista verkkosivuille. Koska asia on edelleen tärkeä ja se unohtuu monissa lomaketoteutuksissa, päätin kirjoittaa aiheesta muistutuskirjoituksen.

Verkkosivujen lomakkeissa GDPR-vaatimukset ovat järkeviä ja perusteltuja. Verkkosivujen kävijältä tulee kerätä lomakkeella vain välttämättömiä henkilötietoja ja kävijän on saatava selkeä käsitys siitä, mitä hänen lomakkeeseen täyttämille tiedoille tapahtuu. Kun varmistat että verkkosivujen lomakkeissa on huomioitu seuraavat 5 asiaa, olet GDPR:n vaatimusten suhteen hyvässä tilanteessa.

1. Kävijältä kerätään vain välttämätöntä tietoa – turhia lomakekenttiä ei ole

Keskeinen GDPR-vaatimus on se, että kävijältä kerätään vain sellaiset tiedot, jotka ovat välttämättömiä lomakkeen tarkoituksen toteuttamiseen. Ylimääräisiä tietoja ei saa kerätä, vaikka niitä mahdollisesti saatettaisiin tarvita joskus myöhemmin. Jos kävijää pyydetään tilaamaan uutiskirje, häneltä voidaan kysyä sähköpostiosoite ja nimi, mutta ei vaikkapa katuosoitetta tai puhelinnumeroa. Erityisen tärkeää on, ettei turhaan kerätä arkaluontoisia henkilötietoja esimerkiksi terveyteen liittyen.

2. Kävijälle kerrotaan selkeästi ja konkreettisesti, mitä hänen täyttämillään tiedoilla tehdään

Kun kävijä syöttää tietojaan lomakkeeseen, hänelle tulee kertoa selvästi, mitä tietojen antamisen seurauksena on odotettavissa. Kertomiseen soveltuu lyhyt ja ymmärrettävä infoteksti joko lomakkeen yläreunassa tai Lähetä-napin yläpuolella. Esimerkiksi yleisluontoinen ”markkinointilupa” ei täytä tätä vaatimusta. Kenen tahansa tulisi teksti luettuaan ymmärtää, mitä se tarkoittaa. Esimerkiksi:

• Kun lähetät lomakkeen, tuoteasiantuntijamme on sinuun yhteydessä puhelimitse tai sähköpostitse.
• Lomakkeen lähettämällä tilaat maksuttoman uutiskirjeemme, joka tulee sähköpostiisi kerran kuukaudessa. Voit erota listalta milloin vain.
• Kun lähetät lomakkeen, toimitamme sinulle postitse tuotekatalogimme. Tietojasi ei käytetä muihin tarkoituksiin.

Suosittelemme vahvasti, että nämä GDPR-infotekstit muotoillaan mahdollisimman sympaattisiksi, jolloin kävijä rohkaistuu lähettämään lomakkeen. Jos lomakkeessa joutuu esimerkiksi antamaan luvan ”Digitaaliseen suoramarkkinointiin”, jää lomake monelta lähettämättä.

3. Lomakkeessa on linkki tietosuojaselosteeseen

Jokaisella verkkosivustolla tulisi olla tietosuojaseloste. Katso esimerkki sivustomme tietojasuojaselosteesta. Henkilötietojen keräämiseen käyttävissä lomakkeissa tulee olla tietosuojaselosteeseen vievä linkki. Kävijälle on tärkeää tarjota avoimesti kaikki olennainen tieto siitä, miten ja kuka hänen tietojaan käsittelee. Tietosuojaselostelinkki on hyvä sijoittaa kohdassa 2 kuvatun infotekstin perään.

4. Kävijältä pyydetään lupa, jos henkilötietoja halutaan hyödyntää johonkin ylimääräiseen

Jos lomakkeessa kerättyjä tietoja käytetään vain siihen tarkoitukseen, jota varten lomake on tehty, kävijältä ei tarvitse pyytää lupaa henkilötietojen käyttöön. Jos lomakkeen tarkoitus on esimerkiksi uutiskirjeen tilaaminen, ei kävijältä tarvitse erillisellä kentällä pyytää lupaa sen lähettämiseen tai henkilötietojen käsittelyyn. On tavallaan ilmiselvää, että lomakkeen lähettämällä kävijä antaa luvan henkilötietojensa käsittelyyn tiettyyn rajattuun tarkoitukseen.

Jos lomakkeella kerättyjä henkilötietoja käytetään mihin tahansa muuhun tarkoitukseen, tulee kuhunkin niistä tarkoituksista pyytää erillinen lupa. Luvan pyytämiseen käytetyt kentät eivät saa olla valmiiksi rastittuna vaan kävijän tulee aktiivisesti itse rastia ne, jotta lupa tulee annetuksi GDPR-vaatimusten mukaisesti.

Esimerkkejä tilanteista, jossa lupa tarvitsee erikseen pyytää:

• Esitteen tilaajalle lähetetään myös uutiskirje
• Tarjouspyynnön lähettäjälle soittaa myöhemmin myyjä perään jostain muusta asiasta
• Lomakkeen täyttäjälle lähetetään mitä tahansa viestejä tai aineistoa, joka ei muuten suoraan käy ilmi lomakkeesta

Vaatimukset lupien pyytämisen osalta ovat tiukempia, jos lomakkeen täyttää yksityishenkilö. Jos kävijä on yritysasiakas tai hänet voi tulkita sellaiseksi, esimerkiksi uutiskirjeen lähettämiseen ei tarvitse pyytää lupaa ennakolta. Kaikissa tapauksissa on kuitenkin korrektia viestiä kävijälle, mihin hänen tietojaan käytetään.

5. Kävijän tietojen poistamiseen on toiminto tai menettelytapa

Yksi GDPR:n keskeinen periaate on, että henkilötietoja saa säilyttää vain sen ajan, joka on välttämätöntä. Tietojen säilytysaika tulee kertoa tietosuojaselosteessa. Kun verkkosivujen lomakkeella kerätään ja tallennetaan henkilötietoja, tallennusjärjestelmään tulee liittää toiminto, joka poistaa automaattisesti tiedot tietyn ajan kuluttua tallennuksesta, ellei ole jotain konkreettisia ja painavia syitä poiketa käytännöstä. Esimerkiksi asiakassuhteen hoitoon liittyviä yhteystietoja ei tarvitse hävittää asiakassuhteen kestäessä.

Rakentamillamme verkkosivuilla suosittelemme, että esimerkiksi liidien keräämiseen käytettävillä lomakkeilla kerätyt henkilötiedot poistetaan järjestelmästä automaattisesti 6 kuukauden kuluttua lomakelähetyksestä.

Toivon että yllä kuvattu 5 kohdan lista toimii muistutuksena siitä, mitä GDPR-näkökohtia on tärkeää huomioida, kun verkkosivuille tehdään lomakkeita. Jos kirjoitus herätti kysymyksiä, laita allekirjoittaneelle sähköpostia tai ole meihin muulla tavoin yhteydessä.