Formularz kontaktowy - o czym należy pamiętać?

Kiedy formularz kontaktowy umieszczony na stronie www będzie zgodny z RODO? To pytanie zadaje sobie wielu właścicieli stron internetowych. Jakby nie patrzeć właściciel organizacji stojącej za stroną www, co do zasady, będzie także administratorem danych osobowych pozyskiwanych w oparciu o funkcjonalności dostępne za pomocą strony internetowej. 

Dla uproszczenia, zajmiemy się jedynie przypadkiem, że właściciel strony internetowej jest administratorem danych osobowych a umieszczony na stronie internetowej formularz kontaktowy służy umożliwieniu zadania przez odbiorcę strony pytania? Wiele stron, z uwagi na specyfikę działalności, którą prowadzą udostępnia złożone formularze kontaktowe pozwalające, lub wymagające zebrania dużo większej liczby danych. W naszym przypadku skupimy się na tym, co mała i średnia firma posiadająca na swoje stronie formularz kontaktowy powinna zrobić aby ten proces przetwarzania danych był prawidłowy, a więc zgodny z RODO i aby nie rodził on ryzyka nałożenia kary administracyjnej przez Prezesa UODO. 

Formularz kontaktowy pozwala pozostawić dane osobowe w celu, no właśnie, w jakim celu osoba, która pozostawia swoje dane osobowe wypełnia formularz kontaktowy? To skąd inąd nie proste pytanie powinno zostać rozstrzygnięte na wstępie przez administratora. Jeśli ten zdecyduje się umieścić formularz kontaktowy na stronie powinien zadać sobie po pierwsze, czy w ogóle chce mieć formularz kontaktowy, a po drugie jeśli już zdecyduje się na formularz kontaktowy, to w jakim celu on się znajduje na stronie. Pamiętajmy przecież, że administratorem danych jest ten kto decyduje o celach i sposobach przetwarzania danych osobowych. Stąd też administrator musi poważnie potraktować kwestie procesów przetwarzania związanych z posiadaniem formularza kontaktowego.

Jak sama nazwa formularza wskazuje służy on przede wszystkim do pozostawienia danych przez określoną osobę, załóżmy że dane są prawdziwe, w celu nawiązania kontaktu w właścicielem strony serwisu. I tu rodzi się pierwsza kwestia dotycząca zakresu danych jakie zbieramy w formularzu. Jeśli zatem znamy cel w jakim posługujemy się formularzem możemy odpowiedzialnie stwierdzić, że formularz kontaktowy powinien wymagać tylko te dane osobowe, które służą do kontaktu z osobą, która zdecydowała się na wypełnienie formularza. Wynika zatem z tego, poza określeniem celu przetwarzania danych w formularzu kontaktowym, że drugim problemem jaki musi rozwiązać administrator to określnie danych osobowych jakich oczekiwać będą pola wymagane formularza kontaktowego. Pamiętając zatem o zasadzie proporcjonalności i adekwatności zakresu przetwarzanych danych osobowych należy wziąć pod uwagę przede wszystkim zminimalizowanie zakresu oczekiwanych danych jeśli formularz służy tylko i wyłącznie do nawiązania kontaktu z osobą, która pozostawiła swoje dane. Tym torem dojdziemy, że w zasadzie wystarczy samo imię i numer telefonu lub adres email. Warto wskazać, że nie zawsze potrzebny będzie jednocześnie i adres email i numer telefonu choć w konkretnym układzie faktycznym będzie można obronić i numer telefonu i adres email.

Jeśli już rozstrzygnęliśmy w jakim celu korzystamy z formularza na stronie kontaktowej i wiemy o jakie dane będziemy prosić, nie pozostaje nam nic innego jak spełnić wobec osoby, której dane chcemy przetwarzać obowiązek informacyjny, o którym mowa w art. 13, czyli poinformować ją o tym kto jest administratorem danych osobowych oraz w jakim celu przetwarzane będą jej dane osobowe. Obowiązki informacyjne są oczywiście szersze i trzeba pamiętać aby zadbać o to aby osoba, która pozostawia dane osobowe miała możliwość zapoznania się z informacjami przed wypełnieniem formularza. Może się to odbyć przez zamieszczenie klauzuli informacyjnej w obszarze formularza z dodatkowym check boxem  wskazującym na zapoznanie się z informacją albo poprzez odesłanie do polityki prywatności, gdzie zaprezentujemy wszystkie informacje, o których mowa w art. 13 RODO.

Tak zbudowany proces przetwarzania co do zasady wymaga jeszcze co najmniej trzech elementów. Po pierwsze uważam, że należy ten proces opisać w rejestrze czynności przetwarzania, co przy okazji pozwoli nam zweryfikować, czy o wszystkim pomyśleliśmy, a po drugie co nie mniej istotne, warto wskazać podstawę przetwarzania danych zgodną z art. 6 ROOD. W przypadku przetwarzania danych zawartych w formularzu raczej nie będziemy mówić o pierwszej przesłance czyli przesłance zgody, bo ta co do zasady jest odwołalna, ale będziemy formułować podstawę przetwarzania na uzasadnionym interesie administratora, który tenże interes realizuje właśnie poprzez nawiązanie kontaktu z osobą, która pozostawiła swoje dane.

Ostatnim elementem z tej listy będzie także zastanowienie się nad tym kto będzie miał dostęp do danych osobowych umieszczonych w formularzu i w związku z tym, jeśli będzie to osobny podmiot koniecznym będzie zawarcie umowie powierzenia, a jeśli dostęp do danych osobowych zamieszczonych w formularzu będą mieli pracownicy, to pamiętać należy o upoważnieniu pracowników do przetwarzania danych w ramach tego procesu przetwarzania.

 

Ochrona danych osobowych Warszawa | Wdrożenie RODO w małej firmie | RODO dla małej firmy | Wdrożenie RODO w średniej firmie | RODO w średniej firmie | Polityka ochrony danych osobowych Warszawa | Inspektor Ochrony Danych

 

 

 

 

 

   

 

KOMENTARZE
* pola wymagane
CZYTAJ RÓWNIEŻ

27 czerwca br. weszła w życie decyzja Komisji Europejskiej w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich – a więc poza terytorium Europejskiego Obszaru Gospodarczego. Warto pamiętać, że tworzą go wszystkie państwa członkowskie Unii Europejskiej, a ponadto Liechtenstein, Norwegia i Islandia. W każdym razie w momencie, gdy ma dojść do przekazania danych do tych państw, stosowanie klauzul umownych – oczywiście łącznie z innymi, niezbędnymi środkami – jest najlepszym sposobem na zapewnienie zgodności tej operacji z prawem. 

CZYTAJ DALEJ

W tym wpisie zajmiemy się odpowiedzią na pytanie, czy numery tablic rejestracyjnych są danymi osobowymi w myśl Rozporządzenia RODO. Orzecznictwo coraz śmielej stosuje, i interpretuje, przepisy dotyczące ochrony danych osobowych zajmując się już kolejny raz kwestię tego, czy numery tablic rejestracyjnych pojazdów są objęte ochroną.

CZYTAJ DALEJ

Organ nadzorczy może orzec cały szereg zaleceń wobec administratora danych. Wśród nich znajduje się między innymi możliwość nakazania administratorowi zawiadomienia osób, której dane dotyczą, że doszło do naruszenia ochrony danych osobowychy. Uprawnienia te płyną bezpośrednio z art. 58 RODO, który prezentuje uprawnienia organu nadzorczego wobec administratorów i podmiotów przetwarzających. 

CZYTAJ DALEJ