iSecure logo
Blog

Formularz kontaktowy – jaka podstawa prawna do udzielenia odpowiedzi?

Możliwość kontaktu to podstawa.

 

Duża część Spółek udostępnia na swoich stronach internetowych formularze, za pomocą których osoby fizyczne mogą zadawać pytania dotyczące np. oferowanych przez nie produktów czy usług i tematów z nimi związanych. Nawet jeżeli Spółka nie udostępnia takiego formularza, to daje możliwość wysłania takiego zapytania drogą mailową na wskazany przez Spółkę adres mailowy lub zadania pytania drogą telefoniczną poprzez kontakt na wskazany przez Spółkę numer telefonu. Niestety duża część z nich nie informuje nas o tym, na jakiej podstawie przetwarza nasze dane osobowe i w jaki sposób. Powodem może być niewiedza lub zła interpretacja przepisów. Art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) nakazuje Spółce przekazanie osobie fizycznej, która się z nią kontaktuje, wielu konkretnych informacji (tzw. obowiązek informacyjny), w tym informacji na temat podstawy prawnej, na podstawie której dane są przetwarzane.

 

Spotkałam się z wieloma formularzami kontaktowymi, pod którymi był zamieszczony checkbox, z obowiązkiem jego zaznaczenia w przypadku chęci uzyskania odpowiedzi na przesłane zapytanie. Czy to jest prawidłowe rozwiązanie?

 

Czy zgoda to odpowiednia podstawa prawna przy formularzu kontaktowym?

 

Otóż nie! A dlaczego? Art. 7 RODO określa konkretne warunki wyrażenia takiej zgody. Jednym z takich warunków jest dobrowolność jej wyrażenia, a brak możliwości wysłania zapytania bez obligatoryjnego zaznaczenia zgody, jest niespełnieniem tego warunku. Kolejnym warunkiem jest możliwość odwołana zgody, co może spowodować brak możliwości udzielenia odpowiedzi przez Spółkę na otrzymane zapytanie.

 

Odpowiedź na przesłane zapytanie to prawnie uzasadniony interes (Art. 6 ust. 1 lit. f) realizowany przez Spółkę.

 

Żeby Spółka mogła korzystać z prawnie uzasadnionego interesu, jako podstawy prawnej do przetwarzania danych, powinna dokonać oceny „czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu”. Taka ocena jest potocznie nazywana testem równowagi i powinna zostać udokumentowana. Taki ocena bada dodatkowo, np.:

  • czy udzielenie odpowiedzi jest ważne nie tylko dla Spółki, ale i dla osoby zadającej pytanie,
  • czy cel może być osiągnięty w inny sposób,
  • czy udzielenie odpowiedzi może negatywnie wpłynąć na prawa tej osoby lub wyrządzić jej krzywdę oraz,
  • czy brak udzielenia odpowiedzi może negatywnie wpłynąć na Spółkę?

W przypadku przetwarzania danych z wykorzystaniem formularza kontaktowego lub danych osoby kontaktującej się ze Spółką z wykorzystaniem innego kanału komunikacji, mamy pewność, że osoba kontaktująca się ze Spółką powinna się spodziewać, że zostanie jej udzielona odpowiedź, oraz że tej odpowiedzi oczekuje. Udzielenie odpowiedzi nie powinno również negatywnie wpłynąć na tę osobę lub wyrządzić jej krzywdę, za to brak możliwości udzielania odpowiedzi na zapytania np. klientów czy potencjalnych klientów, może negatywnie wpłynąć na cele biznesowe Spółki oraz jej wizerunek.

 

Maria Lothamer, Wiceprezes Zarządu iSecure Sp. z o.o.

 

Pobierz wpis w wersji pdf

Podobne wpisy:

Czy muszę udostępniać dane na żądanie osoby fizycznej? Jeżeli tak, to jak bezpiecznie zrealizować prawo dostępu do danych?

Europejska Rada Ochrony Danych (EROD) udostępniła wytyczne do konsultacji publicznych przedstawiając różne aspekty prawa dostępu do danych https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-012022-data-subject-rights-right_pl. Konsultacje zostały zakończone, pierwszą część wytycznych opisałem w poprzednim artykule https://www.isecure.pl/blog/prawo-dostepu-do-danych-w-oczach-erod/, teraz zapraszam na drugą część. Na co powinieneś zwrócić uwagę obsługując wniosek dostępu do danych? Za wytycznymi ERODu powtórzmy ogólne zasady prawa dostępu do danych. Co […]

RODO krok po kroku – część 3: obowiązek zgłaszania naruszenia danych osobowych

RODO krok po kroku – część 3: obowiązek zgłaszania naruszenia danych osobowych

W trzeciej części cyklu o najważniejszych zmianach wprowadzanych przez RODO/GDPR  przedstawiamy obowiązki zgłaszania naruszeń danych osobowych

Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych

Zmiany w wykazie operacji wymagających DPIA

Autor tekstu: Aleksandra Eluszkiewicz Co się zmienia? W czerwcu Prezes Urzędu Ochrony Danych Osobowych wydał komunikat dotyczący zmian w wykazie operacji przetwarzania danych osobowych, które wymagają przeprowadzenia oceny skutków dla ochrony danych (DPIA). Zmieniony wykaz znajduje się w Komunikacie Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r., który został ogłoszony w dniu […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki