GDPR för webbplatser
Om ditt företag har en webbplats finns det vanligtvis några hänsyn du måste ta till GDPR. Här får du en översikt. Läs också vår översikt över viktiga GDPR-regler här.
Ingen personuppgifter - ingen GDPR
Låt oss börja med det enklaste fallet: Om ditt företag inte behandlar personuppgifter på webbplatsen behöver du inte oroa dig för GDPR här. Det kan vara lätt att tänka att man inte behandlar personuppgifter om man inte samlar in data från användarna via formulär och liknande, men var medveten om att webbanalysverktyg ofta behandlar personuppgifter (till exempel Google Analytics). Men genom att använda rätt webbanalysverktyg kan du undvika hela den här frågan. Läs vår test av Fathom Analytics, ett alternativ till Google Analytics. Cookies kan också användas för att behandla personuppgifter, så det är något du också bör kontrollera innan du kan vara säker på att webbplatsen inte behandlar personuppgifter. Observera att i nästan alla fall där du lägger till skript på din webbplats från externa tjänster som Facebook, Instagram, LinkedIn, Google osv. kommer webbplatsen att behandla personuppgifter. Inte bara det, men genom att lägga till sådana skript på företagets sidor fungerar webbplatsen som en datainsamlare som skickar data till dessa tjänster om var de besökande rör sig och vad de klickar på. Och det kan du inte göra utan att de besökande samtycker till en sådan behandling.
Vårt tips för enkla webbplatser är att undvika behandling av personuppgifter genom att:
- Använda en integritetsfokuserad webbanalystjänst som Fathom Analytics eller Plausible.
- Undvika användning av cookies.
- Undvika att lägga till skript från tredje part på webbplatsen.
- Undvika användning av kommentarsfält (alla input-fält kan potentiellt behandla personuppgifter).
När du behandlar personuppgifter på din webbplats
Alla webbplatser som behandlar personuppgifter måste ha en integritetspolicy. Den ska beskriva hur du behandlar personuppgifter på ett förståeligt och informativt sätt. Observera att du också måste informera om vem som är ansvarig för behandlingen. Det vill säga, vilket juridiskt organ eller person som är ansvarig för behandlingen. Ett vanligt misstag vi ser är att skriva att webbplatsen är ansvarig för behandlingen, som till exempel "www.exempel.se är ansvarig för behandling av personuppgifter som samlas in och behandlas på denna webbplats". Men det här är alltså inte tillräckligt bra. Använd vår mall för integritetspolicy för att skapa din egen integritetspolicy.
Kom ihåg att en integritetspolicy ska innehålla en beskrivning av all insamling och behandling av personuppgifter, inte bara det som samlas in genom webbplatsen. Om din webbplats har mycket separata funktioner kan det vara bra att dela upp integritetspolicyn och skapa en integritetspolicy per funktion. Enkla webbplatser som bara innehåller information behöver ingen integritetspolicy, men om du till exempel samlar in e-postadresser för en nyhetsbrev måste du förklara hur dessa data behandlas. Se vår enkla mall för integritetspolicy för nyhetsbrev här.
Många webbplatser använder också cookies, och i många fall behandlar man personuppgifter med cookies. Om det gäller din webbplats ska du också ha en cookie-policy. Vanligtvis är den separat från integritetspolicyn, men du bör hänvisa till webbplatsens cookie-policy i själva integritetspolicyn.