GDPR og Episerver: Separat samtykke i påmeldingsskjema
Sørg for at skjemaene dine tydelig skiller mellom de ulike formålene du ønsker å samle inn persondata til - og hvordan du ber om samtykke til dette.
Med Episerver Forms er det lett å lage registreringsskjemaer for arrangementer, konkurranser eller nedlasting av f.eks markedsrapporter.
De fleste skjemaer krever at brukeren gir fra seg visse persondata som f.eks navn, epost, bedrift eller stillingstittel. Det er også ganske vanlig å prøve å få brukeren inn på en eller annen epostliste samtidig, så man kan sende dem nyhetsbrev, salgstilbud og liknende.
Et typisk eksempel kan se slik ut:
Men etter GDPR trer i kraft, ville ikke skjemaet ovenfor holdt mål. Kan du se hvorfor?
Svaret: Du må be om separat samtykke til ulike formål:
"If the data subject's consent is given in the context of a written declaration which also concerns other matters, the request for consent shall be presented in a manner which is clearly distinguishable from the other matters (...)" - Article 7(2)
Sagt på en annen måte; det er ikke greit å tvinge brukere til å ta del i markedsføringsprogrammet ditt bare for å kunne melde seg på et arrangement. De to formålene er ikke forenlige.
Brukerne gir deg samtykke til å samle deres persondata for det spesifikke formålet å bli med på arrangementet, men ikke til å hjelpe deg å bygge en epostliste som kan spammes med tilbud.
Merk: At du sender de påmeldte epost som gjelder dette spesifikke arrangementet, som f.eks påmeldingsbekreftelse, påminnelse uka før, eller takk for deltakelsen i etterkant, er tillatt innenfor det samtykke som brukeren ga ved å melde seg på. Men du kan altså ikke utvide dette implisitte samtykket til å fortsette å sende brukeren markedsføring senere.
Slik skaffer du separat samtykke for tilleggsformål
Hvis du ønsker å benytte persondata for formål utover registrering til arrangementet, må du hente inn separat samtykke for tilleggsformålene.
Dette fikser du ved å legge til en ekstra avkryssingsboks på skjemaet - og husk at boksen må ikke være avkrysset i utgangspunktet!
Skriv tydelig hvilke tilleggsformål du ønsker brukerens samtykke til, og hvordan du har tenkt å behandle persondata til dette formålet - for eksempel at du vil sende dem tilbud per epost en gang i måneden.
Brukeren må kunne fullføre registreringsskjemaet uten å godta tilleggsformålene dine, så disse kan ikke settes som obligatoriske felt.
Det er også en god ide å legge inn en lenke til personvernerklæringen din, hvor brukerne kan lese mer utfyllende om hvordan du behandler og beskytter deres persondata.
Det reviderte, mer GDPR-vennlige skjemaet kan se slik ut: