iSecure logo
Blog

Formularz kontaktowy – jaka podstawa prawna do udzielenia odpowiedzi?

Możliwość kontaktu to podstawa.

 

Duża część Spółek udostępnia na swoich stronach internetowych formularze, za pomocą których osoby fizyczne mogą zadawać pytania dotyczące np. oferowanych przez nie produktów czy usług i tematów z nimi związanych. Nawet jeżeli Spółka nie udostępnia takiego formularza, to daje możliwość wysłania takiego zapytania drogą mailową na wskazany przez Spółkę adres mailowy lub zadania pytania drogą telefoniczną poprzez kontakt na wskazany przez Spółkę numer telefonu. Niestety duża część z nich nie informuje nas o tym, na jakiej podstawie przetwarza nasze dane osobowe i w jaki sposób. Powodem może być niewiedza lub zła interpretacja przepisów. Art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) nakazuje Spółce przekazanie osobie fizycznej, która się z nią kontaktuje, wielu konkretnych informacji (tzw. obowiązek informacyjny), w tym informacji na temat podstawy prawnej, na podstawie której dane są przetwarzane.

 

Spotkałam się z wieloma formularzami kontaktowymi, pod którymi był zamieszczony checkbox, z obowiązkiem jego zaznaczenia w przypadku chęci uzyskania odpowiedzi na przesłane zapytanie. Czy to jest prawidłowe rozwiązanie?

 

Czy zgoda to odpowiednia podstawa prawna przy formularzu kontaktowym?

 

Otóż nie! A dlaczego? Art. 7 RODO określa konkretne warunki wyrażenia takiej zgody. Jednym z takich warunków jest dobrowolność jej wyrażenia, a brak możliwości wysłania zapytania bez obligatoryjnego zaznaczenia zgody, jest niespełnieniem tego warunku. Kolejnym warunkiem jest możliwość odwołana zgody, co może spowodować brak możliwości udzielenia odpowiedzi przez Spółkę na otrzymane zapytanie.

 

Odpowiedź na przesłane zapytanie to prawnie uzasadniony interes (Art. 6 ust. 1 lit. f) realizowany przez Spółkę.

 

Żeby Spółka mogła korzystać z prawnie uzasadnionego interesu, jako podstawy prawnej do przetwarzania danych, powinna dokonać oceny „czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu”. Taka ocena jest potocznie nazywana testem równowagi i powinna zostać udokumentowana. Taki ocena bada dodatkowo, np.:

  • czy udzielenie odpowiedzi jest ważne nie tylko dla Spółki, ale i dla osoby zadającej pytanie,
  • czy cel może być osiągnięty w inny sposób,
  • czy udzielenie odpowiedzi może negatywnie wpłynąć na prawa tej osoby lub wyrządzić jej krzywdę oraz,
  • czy brak udzielenia odpowiedzi może negatywnie wpłynąć na Spółkę?

W przypadku przetwarzania danych z wykorzystaniem formularza kontaktowego lub danych osoby kontaktującej się ze Spółką z wykorzystaniem innego kanału komunikacji, mamy pewność, że osoba kontaktująca się ze Spółką powinna się spodziewać, że zostanie jej udzielona odpowiedź, oraz że tej odpowiedzi oczekuje. Udzielenie odpowiedzi nie powinno również negatywnie wpłynąć na tę osobę lub wyrządzić jej krzywdę, za to brak możliwości udzielania odpowiedzi na zapytania np. klientów czy potencjalnych klientów, może negatywnie wpłynąć na cele biznesowe Spółki oraz jej wizerunek.

 

Maria Lothamer, Wiceprezes Zarządu iSecure Sp. z o.o.

 

Pobierz wpis w wersji pdf

Podobne wpisy:

Brak zgłoszenia naruszenia oraz niepowiadomienie osób o incydencie – przegląd kar Prezesa Urzędu Ochrony Danych Osobowych

Obowiązek zgłoszenia naruszenia do organu nadzorczego wynika wprost z art. 33 RODO. Zgodnie z przywołanym przepisem, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, […]

Szkolenia RODO a świadomość pracowników w zakresie ochrony danych osobowych

„To jeszcze szkolenie z RODO…” Szkolenie z zakresu ochrony danych osobowych jest obecnie jednym z obowiązkowych szkoleń dla nowozatrudnionych osób. Zdecydowanie jednak powinien to być jeden z, a nie jedyny moment, w którym pracownicy stykają się z tematyką ochrony danych osobowych. W idealnym świecie pracownicy na co dzień pracujący z danymi osobowymi stosują odpowiednie zabezpieczenia, są uważni, skupieni […]

Obowiązki informacyjne przedsiębiorcy zawierającego umowy na odległość drogą elektroniczną…

Kiedy procesor staje się administratorem?

Czy w toku obowiązywania umowy powierzenia przetwarzania danych osobowych procesor może jednocześnie pełnić rolę administratora? Czy po rozwiązaniu umowy powierzenia procesor może stać się administratorem danych osobowych, które wcześniej przetwarzał wyłącznie w imieniu innego podmiotu? Odpowiedzi na te pytania mają istotne znaczenie dla określenia obowiązków i potencjalnej odpowiedzialności podmiotów biorących udział w procesie przetwarzania danych osobowych. […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki