iSecure logo
  • pl
  • en
    • Blog

    Formularz kontaktowy – jaka podstawa prawna do udzielenia odpowiedzi?

    Maria Lothamer
    Kategorie

    Możliwość kontaktu to podstawa.

     

    Duża część Spółek udostępnia na swoich stronach internetowych formularze, za pomocą których osoby fizyczne mogą zadawać pytania dotyczące np. oferowanych przez nie produktów czy usług i tematów z nimi związanych. Nawet jeżeli Spółka nie udostępnia takiego formularza, to daje możliwość wysłania takiego zapytania drogą mailową na wskazany przez Spółkę adres mailowy lub zadania pytania drogą telefoniczną poprzez kontakt na wskazany przez Spółkę numer telefonu. Niestety duża część z nich nie informuje nas o tym, na jakiej podstawie przetwarza nasze dane osobowe i w jaki sposób. Powodem może być niewiedza lub zła interpretacja przepisów. Art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) nakazuje Spółce przekazanie osobie fizycznej, która się z nią kontaktuje, wielu konkretnych informacji (tzw. obowiązek informacyjny), w tym informacji na temat podstawy prawnej, na podstawie której dane są przetwarzane.

     

    Spotkałam się z wieloma formularzami kontaktowymi, pod którymi był zamieszczony checkbox, z obowiązkiem jego zaznaczenia w przypadku chęci uzyskania odpowiedzi na przesłane zapytanie. Czy to jest prawidłowe rozwiązanie?

     

    Czy zgoda to odpowiednia podstawa prawna przy formularzu kontaktowym?

     

    Otóż nie! A dlaczego? Art. 7 RODO określa konkretne warunki wyrażenia takiej zgody. Jednym z takich warunków jest dobrowolność jej wyrażenia, a brak możliwości wysłania zapytania bez obligatoryjnego zaznaczenia zgody, jest niespełnieniem tego warunku. Kolejnym warunkiem jest możliwość odwołana zgody, co może spowodować brak możliwości udzielenia odpowiedzi przez Spółkę na otrzymane zapytanie.

     

    Odpowiedź na przesłane zapytanie to prawnie uzasadniony interes (Art. 6 ust. 1 lit. f) realizowany przez Spółkę.

     

    Żeby Spółka mogła korzystać z prawnie uzasadnionego interesu, jako podstawy prawnej do przetwarzania danych, powinna dokonać oceny „czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu”. Taka ocena jest potocznie nazywana testem równowagi i powinna zostać udokumentowana. Taki ocena bada dodatkowo, np.:

    • czy udzielenie odpowiedzi jest ważne nie tylko dla Spółki, ale i dla osoby zadającej pytanie,
    • czy cel może być osiągnięty w inny sposób,
    • czy udzielenie odpowiedzi może negatywnie wpłynąć na prawa tej osoby lub wyrządzić jej krzywdę oraz,
    • czy brak udzielenia odpowiedzi może negatywnie wpłynąć na Spółkę?

    W przypadku przetwarzania danych z wykorzystaniem formularza kontaktowego lub danych osoby kontaktującej się ze Spółką z wykorzystaniem innego kanału komunikacji, mamy pewność, że osoba kontaktująca się ze Spółką powinna się spodziewać, że zostanie jej udzielona odpowiedź, oraz że tej odpowiedzi oczekuje. Udzielenie odpowiedzi nie powinno również negatywnie wpłynąć na tę osobę lub wyrządzić jej krzywdę, za to brak możliwości udzielania odpowiedzi na zapytania np. klientów czy potencjalnych klientów, może negatywnie wpłynąć na cele biznesowe Spółki oraz jej wizerunek.

     

    Maria Lothamer, Wiceprezes Zarządu iSecure Sp. z o.o.

     

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Katarzyna Ułasiuk-Delamare

    Pułapki i błędy w zbieraniu zgody

    Jeżeli ktoś słyszał o ochronie danych osobowych, to na pewno słyszał o zgodzie na ich przetwarzanie. Co gorsza, im więcej mówi się o przestrzeganiu RODO, tym częściej słyszymy to i ówdzie: „nie wyrażałem zgody na ich przetwarzanie, proszę o usunięcie”, czy „jakim prawem przetwarzacie dane, nie udzielałem na to zgody”. Chociaż temat zbierania zgód na […]

    Czytaj więcej
    Maciej Łukaszewicz

    Szczepienia przeciw COVID-19 w zakładzie pracy

    Temat szczepień w zakładach pracy jest w ostatnich tygodniach jednym z istotniejszych kwestii w każdym większym przedsiębiorstwie. Dostępność szczepionek przeciw Covid-19 stała się na tyle wysoka, że zakłady pracy starają się zapewnić swoim pracownikom możliwość zaszczepienia się. W tym czasie większość Inspektorów Ochrony Danych w Polsce zastanawia się, w jaki sposób zaprojektować proces szczepień w […]

    Czytaj więcej
    Nina Zacharska

    Rejestr czynności przetwarzania danych osobowych – w jaki sposób go prowadzić?

    Rejestr czynności przetwarzania (RCP) to podstawowe narzędzie wspierające administratorów, pozwalające usystematyzować wykonywane czynności przetwarzania danych osobowych i pomagające wykazać przestrzeganie zasady rozliczalności. Jaki jest cel prowadzenia rejestru? Motyw 82 RODO określa dwie podstawowe funkcje obowiązku prowadzenia rejestru: zachowanie przez administratora zgodności z RODO; umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania. Prowadzony przez administratorów RCP pozwala im […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki