大多数 GDPR 指南在抽象层面解释了法规。本指南专注于更具体的内容:GDPR 在您通过在线表单收集数据时实际要求什么,以及在发布表单之前您需要检查什么。
如果您的组织从欧盟的个人那里收集数据. 通过联系表单、潜在客户生成表单、活动注册或任何涉及个人数据的表单. 无论您的组织总部位于何处,GDPR 都可能适用于您。
本文仅供参考,不构成法律建议。请咨询合格的数据保护专业人士以获得针对您组织的指导。
本页内容
GDPR 适用于谁
《通用数据保护条例》(GDPR)适用于任何组织:
- 在欧盟设立,无论数据处理发生在哪里,或
- 处理欧盟个人的数据,即使组织本身在欧盟之外,当该处理涉及向欧盟个人提供商品或服务或监控其行为时
这意味着一家总部位于美国的公司运行的潜在客户生成表单,若欧盟个人可以提交,可能会受到 GDPR 的约束,如果符合第 3 条的条件。拥有欧洲客户的 SaaS 公司通过入职表单收集数据可能会在同一基础上受到 GDPR 的约束。该法规的地域范围广泛. 如果您向欧盟个人提供商品或服务,或监控其行为,无论您的组织总部位于何处,GDPR 都可能适用于您。
在表单上下文中,哪些算作个人数据
根据 GDPR,个人数据是任何可以直接或间接识别自然人的信息。在在线表单的上下文中,这包括:
- 直接识别数据:姓名、电子邮件地址、电话号码、物理地址、出生日期
- 间接识别数据:IP 地址(如果在提交时收集)、设备标识符、位置信息
- 敏感数据(特殊类别):健康信息、宗教信仰、政治观点、种族或民族出身、生物识别数据. 这些数据根据第 9 条受到更严格的规则约束,并且在处理合法之前需要满足第 9(2) 条列表中的特定条件
如果您的表单收集了上述任何数据,GDPR 合规要求适用于该数据。
合法依据:哪个适用于您的表单?
GDPR 要求每次处理个人数据都要有合法依据(第 6 条)。对于在线表单,最相关的依据是:
同意. 数据主体已给予明确、具体、知情和明确的同意。这适用于营销表单、新闻通讯注册和可选数据收集。同意必须是自愿给予的,并且撤回同意的难度与给予同意相同。
合同. 处理对于履行合同或在签订合同前应数据主体的请求采取措施是必要的。这适用于订单表单、预订表单和服务协议。
合法利益. 处理对于控制者或第三方的合法利益是必要的,前提是这些利益不被数据主体的权利和利益所覆盖。这需要记录的三部分平衡测试(目的、必要性、平衡)。这不是一个万能的解决方案,数据主体保留根据第 21 条反对基于此依据进行处理的权利. 尽管如此,如果控制者能够证明具有压倒性合法理由,控制者可以推翻该反对意见。
法律义务. 法律要求的处理。适用于合规表单、税务文件和监管备案。
实用指导:大多数营销和潜在客户生成表单需要同意作为其合法依据。大多数交易表单(购买、预订、合同)依赖于合同依据。使用错误的合法依据. 或声称同意而用户没有真正选择. 是最常见的 GDPR 违规之一。
同意字段:如何符合 GDPR?
如果您的合法依据是同意,获取同意的机制很重要。GDPR 设定了具体要求:
有效同意的表现形式:
- 明确的肯定行动. 用户必须主动勾选的未勾选复选框,而不是预先勾选的
- 针对特定目的. 针对不同目的的单独复选框(例如,一个用于处理表单提交,另一个用于营销邮件)
- 知情. 附有数据用途的简要说明,并提供指向完整隐私政策的链接
- 自愿给予. 用户必须能够在不被迫同意无关处理的情况下提交表单,并且拒绝同意不会导致权力不平衡或损害
无效同意的表现形式:
- 预先勾选的复选框
- 同意捆绑在条款和条件接受中
- “提交此表单即表示您同意…”而没有单独的明确同意机制
- 同意营销与同意处理查询结合在一起. 这些必须是分开的
- 不对称的视觉设计引导用户同意. 例如,一个显眼的“接受”按钮与一个灰色或隐藏的“拒绝”或“设置”选项配对。GDPR 当局一致认为,这种暗模式破坏了“自愿给予”要求,即使存在技术上的选择退出
**撤回同意:**GDPR 要求撤回同意的难度与给予同意相同。对于通过表单收集的数据,这意味着提供明确的选择退出机制,并在同意是唯一合法依据时尊重删除请求。
数据最小化:仅收集您需要的数据
GDPR 的数据最小化原则(第 5(1)(c) 条)规定,您应仅收集适当、相关且限于必要的个人数据以实现声明的目的。
对于表单设计,这意味着:
- 审核您的字段. 每个字段是否都服务于声明的目的?联系表单不需要出生日期。网络研讨会注册不需要电话号码,除非您计划致电与会者。
- 将非必要字段设为可选. 如果某个字段有用但不是必需的,请将其标记为可选,并且不要要求它作为表单提交的条件。
- 不要收集您不处理的数据. 如果您收集了一个字段但从未使用它,它会产生不必要的合规风险。
数据最小化也是一个实际的好处:较短的表单具有更高的完成率。GDPR 和良好的用户体验指向同一个方向。
数据保留:您可以保留表单响应多长时间?
GDPR 的存储限制原则(第 5(1)(e) 条)要求个人数据的保留时间不超过必要的时间。
没有单一的 GDPR 规定的保留期. 适当的持续时间取决于目的、适用的行业法规和成员国法律。下表说明了常见的考虑因素,但您的具体保留期应在与您的数据保护官或法律顾问协商后确定:
| 表单类型 | 典型保留考虑因素 |
|---|---|
| 联系/支持表单 | 支持关系的持续时间 + 合理的后续窗口 |
| 潜在客户生成表单 | 活跃销售参与的持续时间;记录延长保留的依据 |
| 活动注册 | 直到活动结束,加上任何法律要求的记录保存期 |
| 合同/服务表单 | 合同持续时间 + 适用的法定限制期 |
| 就业申请表 | 受成员国就业法管辖,差异很大. 例如,德国的 AGG(一般平等待遇法)为保留记录约 6 个月以防止歧视索赔提供了实际依据,而其他司法管辖区则不同。在设置保留期之前,请咨询您的 DPO 或法律顾问 |
**这在实践中意味着什么:**您需要一个记录的数据保留政策,并且当保留期结束时,您的表单提交数据需要被删除或匿名化。
PlatoForms 为您提供可配置的账户级别数据保留. 从 0 天(数据在同步到您的云驱动器后立即删除)到永久,期间有 7 天、30 天、3 个月、6 个月、1 年和 3 年的选项。有关设置详细信息,请参阅数据保留政策文档。
删除权:对提交的表单意味着什么
根据 GDPR,数据主体有权请求删除其个人数据(第 17 条)。对于通过表单收集的数据,这意味着:
- 如果有人提交了联系表单并随后请求删除其数据,您必须能够识别并删除其提交
- 如果同意被撤回,基于该同意收集的数据必须被删除(除非适用其他合法依据)
- 删除请求必须在没有不当延误的情况下处理,并且在任何情况下都必须在一个月内处理(对于复杂情况,根据第 12(3) 条,可能会延长两个月)
实际要求:
- 您需要能够通过个人识别提交(可通过电子邮件或姓名搜索)
- 您需要能够删除特定提交,而不仅仅是批量清除您的数据库
- 如果提交数据已导出到其他系统(CRM、云驱动器、电子邮件),则这些副本也必须被删除或匿名化. 除非存在保留它们的单独合法依据
PlatoForms 允许您从仪表板搜索提交并删除单个记录。需要时,删除所有提交功能处理批量删除。
作为数据处理器的表单构建器:需要什么
根据 GDPR,当您使用第三方表单构建器收集个人数据时,该表单构建器代表您充当数据处理器。您是数据控制者。这在第 28 条下产生了特定的义务。
您应该与您的表单构建器签订数据处理协议 (DPA)。DPA 是一份合同,规定:
- 处理器处理的数据
- 处理的目的和持续时间
- 技术和组织安全措施
- 子处理器披露和授权要求
- 数据泄露事件中的义务
使用没有 DPA 的表单构建器来收集欧盟个人数据可能会使您违反第 28 条下的 GDPR 要求,即使表单构建器本身在技术上是安全的。
**跨境数据传输:**如果您的表单构建器在欧盟/欧洲经济区之外存储或处理数据,第五章下的额外要求适用. 例如标准合同条款 (SCC) 或依赖于充分性决定。确认您的提交数据存储在哪里以及使用了什么传输机制。
选择表单构建器时要注意什么:
- 可供审查和签署的 DPA
- 数据存储在已知、已披露的位置(在相关情况下提供欧盟数据驻留选项)
- 子处理器透明度(表单构建器与哪些第三方共享数据,您是否授权其使用?)
- 数据在传输和静止时加密
- 访问控制和审计日志
- 有记录的数据泄露通知流程
PlatoForms 提供可下载的数据处理协议 (DPA)以及在信任中心中对安全基础设施、子处理器和认证的完整细分。
在线表单的 GDPR 合规清单
在发布任何收集欧盟个人数据的表单之前:
合法依据
- 确定处理的合法依据(同意、合同、合法利益、法律义务或其他第 6 条依据)
- 记录合法依据. 不要依赖记忆
- 如果使用合法利益:完成并记录平衡测试;确保数据主体可以行使其反对权(第 21 条)
特殊类别数据
- 如果收集敏感数据(健康、宗教、种族等),根据第 9(2) 条确定特定条件. 明确同意是一种选择,但不是唯一的选择
- 为特殊类别数据应用适当的额外技术保障措施(例如加密、限制访问控制)
同意(如果同意是您的合法依据)
- 使用未勾选的复选框,而不是预先勾选的
- 为不同目的提供单独的同意(提交处理与营销)
- 包含简要的目的描述和指向您的隐私政策的链接
- 确保撤回同意的难度与给予同意相同
数据最小化
- 审核每个字段. 每个字段是否都服务于声明的目的?
- 将非必要字段设为可选
- 删除您实际上不处理的字段
数据保留
- 记录此表单数据的保留期(在需要时与法律/DPO 输入确定)
- 配置自动删除或设置日历提醒以清除旧提交
- 确保您的表单构建器支持可配置的保留
删除权
- 您可以通过个人识别提交
- 您可以根据请求删除单个提交
- 您有一个处理删除请求的流程,没有不当延误并在一个月内完成
处理器和传输要求
- 您与您的表单构建器签署了 DPA
- 您知道您的表单提交数据存储在哪里
- 您知道您的表单构建器使用了哪些子处理器,并授权其使用
- 如果数据传输到欧盟/欧洲经济区之外,则有有效的传输机制(SCC、充分性决定等)
表单的 GDPR 合规性与其说是法律理论,不如说是操作决策:您收集什么,如何获得同意,您保留多长时间,以及您与工具的协议是什么。
以上清单涵盖了实际的最低要求。对于复杂的处理场景. 特殊类别数据、大量潜在客户收集、跨境数据传输或合法利益评估. 应由合格的数据保护官或法律顾问审查您的具体设置。
有关 PlatoForms 的合规文档、可下载的 DPA 和安全架构概述,请参阅信任中心。