Formularz kontaktowy a RODO

W celu ułatwienia kontaktu z przedsiębiorcą, powszechnie stosowanym narzędziem udostępnianym użytkownikom stron internetowych jest formularz kontaktowy.  Umożliwia on zadanie pytania niezależnie od pory dnia i nie wymaga od użytkownika opuszczania strony w celu wysłania maila za pośrednictwem własnego konta poczty elektronicznej.

Aby móc ustosunkować się do pytania przesłanego przez formularz kontaktowy, administrator serwisu musi uzyskać od użytkownika konkretne informacje umożliwiające mu kontakt zwrotny. W zależności od charakteru formularza, zakres danych, które trzeba w tym celu zamieścić, może ograniczać się do adresu e-mail bądź zawierać szereg dodatkowych informacji. W większości przypadków administrator serwisu stanie się więc administratorem danych osobowych, co wiąże się z koniecznością spełnienia wymagań określonych przepisami RODO.

O czym trzeba pamiętać przed umieszczeniem formularza

Przy konstruowaniu formularza kontaktowego zgodnego z RODO, administrator powinien wyznaczyć cele w jakich będzie przetwarzał dane użytkowników. Zazwyczaj jest nim udzielenie odpowiedzi na zadane pytanie, lecz czasem dane z formularzy wykorzystywane są w celach marketingowych lub dla usprawnienia wykonania umowy pomiędzy użytkownikiem i administratorem serwisu.

Po wyznaczeniu celu, konieczne jest wdrożenie środków zapewniających realizację podstawowych zasad przetwarzania danych. Szczególną wagę należy przywiązać do realizacji zasad minimalizacji i celowości, a więc należy zadbać aby nie wymagać od użytkownika serwisu danych, które nie będą konieczne do osiągnięcia celu przetwarzania wskazanego przez administratora. Często więc wystarczające jest, aby użytkownik wpisał do formularza adres poczty internetowej lub numer telefonu, choć w niektórych przypadkach niezbędne mogą okazać się inne informacje jak np. numer umowy, do której odwołuje się użytkownik, numer klienta, imię i nazwisko.

Kolejną kwestią, o której należy pamiętać w przypadku umieszczenia na stronie formularza kontaktowego, jest konieczność spełnienia obowiązku informacyjnego względem użytkowników. Można w tym celu zamieścić klauzulę informacyjną pod formularzem, bądź odwołać się do polityki prywatności. Przepisy nie wskazują dokładnie w jakiej formie należy spełnić wspomniany obowiązek, ważne jest, aby informacja przekazywana była w chwili zbierania danych i spełniała wymogi przejrzystości tj. by była zwięzła, łatwo dostępna i zrozumiała. Szczegółowy zakres informacji, których należy udzielić zamieszczony został w art. 13 RODO.

Zgoda na przetwarzanie danych

Podstawą przetwarzania danych w ramach formularza kontaktowego nie zawsze będzie zgoda osoby, której dane dotyczą.  Administrator danych w zależności od celu w jakim prowadzi komunikację za pomocą formularza, sam musi zdecydować na jakiej podstawie będzie przetwarzał dane osobowe. Dla przykładu, jeżeli formularz prowadzony jest w celu obsługi kontrahentów umowy, właściwą przesłanką może być „niezbędność do wykonania umowy” (art. 6 ust. 1 lit. b RODO) z kolei, gdy jego główną funkcją jest zbieranie opinii użytkowników dotyczących korzystania z serwisu podstawą może być uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO).

W przypadku gdy administrator serwisu zdecyduje się na przetwarzanie danych osobowych za pomocą zgody, należy pamiętać że powinna ona być dobrowolna, konkretna, świadoma i jednoznaczna. Oznacza to, że aby była ona ważna wymagane jest:

– aktywne działanie użytkownika serwisu przy jej wyrażeniu,

– aby nie była wymuszona i została wyrażona w konkretnym celu,

– udzielenie podmiotowi danych wyczerpujących informacji dotyczących przetwarzania.

Rozwiązaniem pozwalającym na uzyskanie zgody jest zastosowanie w formularzu pól wyboru (tzw. checkbox), które użytkownik strony musi zaznaczyć aby przesłać informację przez formularz kontaktowy. W przypadku zastosowania takiego elementu należy jednak pamiętać, aby pole wyboru nie było domyślnie zaznaczone, co podważałoby wyraźność zgody.

Autor

Paweł Sobel

Doświadczenie zdobywał pracując w uznanych krakowskich kancelariach specjalizujących się w zagadnieniach dotyczących ochrony danych osobowych, prawa własności intelektualnej, prawie medycznym oraz prawie pracy. Brał udział w tworzeniu dokumentacji oraz procedur w ramach wielu projektów wdrożenia RODO.