iSecure logo
  • pl
  • en
    • Blog

    Bezpieczne zbieranie leadów: jak stworzyć formularz kontaktowy zgodny z RODO w branży deweloperskiej?

    Katarzyna Ułasiuk-Delamare
    Kategorie

    Załóżmy taki scenariusz: tworzysz stronę internetową nowej inwestycji. Pomiędzy układem, grafiką, danych o lokalach, pojawia się też temat formularza kontaktowego. Jak go zaprojektować, żeby był zgodny z RODO?

    Cele przetwarzania

    Jak nie wiadomo, od czego zacząć, to najlepiej zacząć od początku. A więc – czemu ma w ogóle służyć Twój formularz kontaktowy? Oczywiście ma on ułatwić potencjalnym klientom kontakt z Tobą.
    Ale czy nie zamierzasz przy okazji zachować danych takiego leada w bazie, aby móc wysłać mu oferty innych lokali/inwestycji? Tak podejrzewałam (domyślam się, że odpowiedź mi „tak”). Mamy tu już więc nie tylko kontakt (pytanie-odpowiedź), ale i cele sprzedażowe, marketingowe. Ustalenie wszystkich rzeczywistych celów przetwarzania danych jest niezwykle istotne i w dalszej części udowodnię, dlaczego tak jest i gdzie te cele są nam potrzebne.

    Administrator danych

    Idąc dalej musisz sobie odpowiedzieć na pytanie, kto te cele realizuje? Innymi słowy mówiąc, która spółka (lub spółki – jeżeli mówimy o grupie kapitałowej, a często tak właśnie jest) decyduje o wysyłaniu ofert do klientów? W czyim interesie leży wysyłanie ofert (a w związku z tym i przetwarzanie danych klientów)? Ta spółka, do której przypniemy „władztwo” nad celem przetwarzania danych, będzie administratorem danych, a podanie informacji o administratorze też jest bardzo ważne w przypadku formularza kontaktowego. Nie ma tutaj jednego modelu i odpowiedź na pytanie zależy od konkretnego działania w danym podmiocie czy grupie spółek, ale poniżej podam Ci kilka przykładów:

    1. spółka budująca i sprzedająca we własnym imieniu tworzy bazę marketingową (i jest administratorem danych),
    2. jedna spółka z grupy odpowiedzialna za procesy sprzedażowo-marketingowe tworzy we własnym imieniu bazę marketingową (i jest administratorem danych, przy czym oferty dotyczą innych spółek z grupy – spółek, do których należą dane inwestycje),
    3. kilka spółek z grupy tworzy we własnym imieniu wspólną bazę sprzedażowo-marketingową, przetwarzając dane we wspólnie ustalonym celu (wtedy te spółki są współadministratorami danych).

    Klauzula informacyjna

    Bez ustalenia celu i administratora (albo współadministratorów), nie możemy zrealizować jednego z obowiązkowych elementów formularza kontaktowego, czyli podania informacji o przetwarzaniu danych. Taką informację podaje się w formie klauzuli informacyjnej, którą zamieszczamy np.:

    1. w pełnej wersji bezpośrednio przy formularzu (nad lub pod formularzem),
    2. w wersji warstwowej, umieszczając zasadnicze treści nad lub pod formularzem, a ich rozwinięcie oraz treści dodatkowe podając w prostej formie (jednym kliknięciem) w innym miejscu, np. rozwijanym tool-tip’ie lub odsyłając do polityki prywatności. Przy okazji, możesz zerknąć tutaj lub tutaj, aby poznać nasze dobre rady dotyczące pisania polityki prywatności.

    Każdy audytor podczas audytu RODO czy inspektor podczas kontroli urzędowej sprawdzając stronę internetową pod kątem RODO i widząc, że zawiera ona formularz kontaktowy do zbierana danych, będzie szukał klauzuli informacyjnej. Nie mówiąc już o samych klientach, którzy muszą (bo tego wymaga RODO) poznać szczegóły dotyczące ich przetwarzania danych zanim podejmą decyzję o pozostawieniu swoich danych na stronie.

    Jeżeli chodzi o same szczegóły klauzuli informacyjnej, to RODO wprost nam określa, jakie informacje muszą się w niej znaleźć:

    1. nazwa i adres siedziby oraz dane kontaktowe administratora danych
    2. jeżeli powołano inspektora ochrony danych – dane kontaktowe tego IOD
    3. cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania
    4. jeżeli spółka przetwarza dane osobowe w oparciu o prawnie uzasadniony interes, to jaki on jest w przypadku spółki
    5. odbiorcy danych osobowych lub ich
    6. zamiar przekazywania danych osobowych do państwa trzeciego
    7. okres, przez który dane osobowe będą przechowywane lub kryteria ustalania tego okresu
    8. informacje o możliwych uprawnieniach względem własnych danych, przysługujących zgodnie z RODO
    9. potwierdzenie, czy podanie danych osobowych jest wymogiem ustawowym, umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych
    10. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO

    Szczegółowe informacje na temat tworzenia klauzuli informacyjnej podczas przetwarzania danych w celach marketingowych możesz znaleźć w innym wpisie na naszym blogu, dostępnym tutaj.

    Zakres danych

    Bardzo istotne jest pilnowanie, żeby dane zbierane w formularzu były adekwatne do realizacji celu. Tutaj szczególnie trzeba się zastanowić nad wymagalnością podania danych, jak: imię, nazwisko, adres e-mail, numer telefonu (czy nie wystarczy tylko jedna z form kontaktu, preferowana przez klienta?). Zasadą jest, żeby nie wymagać od klienta obowiązkowego podania danych innych niż niezbędne. Część z danych może się okazać adekwatna, lecz nie niezbędna, dlatego takie pola powinny pozostać dobrowolne do wypełnienia przez klienta.

    Klauzule zgody

    Zgoda nie jest jedyną podstawą prawną przetwarzania danych, ale… No właśnie, „ale”. Jeżeli zamierzasz przetwarzać dane potencjalnego klienta nie tylko w celu udzielenia mu odpowiedzi na konkretne zapytanie o ofertę, lecz także po to, aby wysyłać mu oferty w przyszłości, to będziesz takiej zgody potrzebować.

    Nasze polskie prawo zakazuje wysyłania niezamówionej informacji handlowej, czyli np. wysyłania oferty, o ile ktoś tego wyraźnie nam nie potwierdził. W tym celu musimy więc uzyskać zgodę potencjalnego klienta na wysłanie mu oferty (np. na podany adres e-mail). Może się zdarzyć tak, że będziemy musieli zebrać co najmniej dwie zgody. Zasadą jest, że nie możemy w jednym oświadczeniu klienta ukryć kilku różnych celów przetwarzania danych osobowych, np. wysłania oferty dotyczącej tej inwestycji, o którą ktoś wyraźnie pyta i przesyłanie w przyszłości informacji o wszelkich innych ofertach, a dodatkowo informacji o kredycie oferowanym przez zupełnie inny podmiot. Wasz formularz być może powinien rozróżniać następujące sytuacje:

    1. zebranie od potencjalnego klienta danych w celu przesłania mu e-mailowo oferty, o jaką prosi – tutaj zamówieniem (zgodą) byłoby np. pozostawienie adresu e-mail i wyraźne działanie potwierdzające. Tylko przy założeniu w pełni przemyślanej konstrukcji można zrezygnować ze zgody w formie checkboxa. W przykładowym scenariuszu może to wyglądać tak: w formularzu klient ma możliwość wyboru miasta i ustawienia kilku parametrów, które go interesują (np. co do metrażu mieszkania). Podaje swój adres e-mail, aby otrzymać ofertę w tym zakresie. Jeżeli nie chcemy zamieszczać osobnego checkboxa dla zgody potwierdzającej wysłanie oferty, to przed wysłaniem formularza potencjalny klient powinien otrzymać informację wyjaśniającą skutki jego działania, np.: „Jeżeli podałeś w formularzu dane osobowe, to kliknięcie „Wyślij” oznacza, że chcesz otrzymać od nas, tj. od …. na podany adres e-mail ofertę naszego mieszkania i w tym celu zgadzasz się na takie działanie z naszej strony”. Zgoda nie musi być wyrażona w formie checkboxa, ale musi być jednoznacznym oświadczeniem, więc tylko przy takim założeniu wysłanie formularza będzie można potraktować jako wyraźne działanie potwierdzające wyrażoną zgodę;
    2. wykorzystanie danych podanych przez potencjalnego klienta w celu wysłania elektronicznie (na maila) ofert dotyczących innych inwestycji w przyszłości – takie działanie wymagałoby osobnej i dobrowolnie wyrażonej zgody (np. osobnego checkboxa);
    3. udostępnienie danych do doradcy finansowego/banku, aby przedstawić ofertę kredytu hipotecznego – to również wymagałoby osobnej zgody, bo dotyczy nie tylko innego celu, ale też innego podmiotu (innego administratora decydującego o tym celu).

    W przypadku zgód niezwykle istotne jest też to, w jakiej formie zamierzacie przesyłać oferty. Polskie przepisy wymagają osobnego (i dobrowolnego) zezwolenia na wysłanie oferty w zależności od kanału komunikacji, np. osobnej zgody na przesłanie oferty e-mailem i osobnej na przedstawienie oferty przez telefon.

    Swego czasu przygotowaliśmy też krótki poradnik na temat pułapek w zbieraniu zgody, który w ramach uzupełnienia wiedzy znajdziesz tutaj.

    Bezpieczeństwo i przepływ danych

    Pracując nad formularzem kontaktowym nie sposób pominąć odpowiedzi także i na następujące pytania:

    1. czy strona www jest szyfrowana?
    2. gdzie „wylądują” dane z formularza (CMS strony, e-mail, CRM, …)?
    3. kto będzie mieć do nich dostęp?
    4. w jaki sposób udowodnisz wyrażone zgody (czy np. data i treść wyrażanej zgody w powiązaniu z danym leadem jest odnotowywana automatycznie w systemie, do którego docelowo trafiają dane)?
    5. czy i jaki okres retencji ustaliłeś dla zbieranych danych?

    Pamiętajmy o zasadzie uwzględniania ochrony danych w fazie projektowania oraz o zasadzie domyślnej ochrony danych. Jeżeli masz wątpliwości albo brakuje Ci konkretnych informacji w co najmniej w jednym aspekcie spośród wszystkich omawianych, to oznacza, że Twój formularz może nie być w pełni gotowy do publikacji. Dobrym rozwiązaniem, które Ci pomoże, jest np. audyt strony internetowej pod kątem RODO, który nie tylko sprawdzi, jak ona wygląda, ale zbierze potrzebne dla Ciebie i firmy informacje, na których możecie pracować w przyszłości.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Katarzyna Ułasiuk-Delamare

    RODO a portale ogłoszeniowe – najczęstsze błędy podczas zamieszczania ogłoszeń o pracę

    Pracodawco! Czy Ty też chcesz dotrzeć do kandydatów ze swoim ogłoszeniem o pracę za pośrednictwem portali ogłoszeniowych? Jeżeli tak, to ten artykuł jest zdecydowanie dla Ciebie. Wyjaśnię w nim, jakie przypadki w praktyce często generują ryzyko błędu, ale też – dla równowagi – przedstawię kilka ważnych porad, dzięki którym Twoje ogłoszenie będzie zgodne z RODO. […]

    Czytaj więcej
    Przydatne aplikacje
    Agnieszka Rapcewicz

    When does the processor become a controller?

    Can the processor also act as a controller in the course of a personal data processing entrustment agreement? Can the processor, after termination of the entrustment agreement, become the controller of personal data which it previously processed only on behalf of another entity? Answers to these questions are important for determining the duties and potential […]

    Czytaj więcej
    Katarzyna Ułasiuk-Delamare

    Co nowego o targetowanej reklamie w mediach społecznościowych?

    Każdy specjalista ds. marketingu słyszał, a wielu korzystało lub zamierzało skorzystać, z opcji reklamy w mediach społecznościowych ukierunkowanej na konkretnego klienta lub grupę klientów. Ostatnio mieliśmy w tym zakresie ciekawe wyjaśnienia opiniodawczej Europejskiej Rady Ochrony Danych, które rzucają nieco więcej światła na to, jak rozumieć przetwarzanie danych osobowych w trakcie korzystana z usług typu „custom […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki