Formularz kontaktowy zgodny z RODO: na co musisz zwrócić uwagę

Formularz kontaktowy to jedno z najczęstszych miejsc zbierania danych na stronie internetowej – i właśnie dlatego specjaliści od ochrony danych przyglądają mu się szczególnie uważnie. Gdy tylko użytkownik wpisze swoje imię lub adres e-mail, przetwarzasz dane osobowe i zaczyna obowiązywać RODO. Dobra wiadomość: stworzenie formularza zgodnego z prawem to żadna filozofia. Wystarczy, że rzetelnie wdrożysz kilka podstawowych zasad. Wyjaśnimy Ci, co jest naprawdę istotne – szczerze, bez straszenia i bez wciskania Ci rzeczy, których nie potrzebujesz.

1. Minimalizacja danych: pytaj tylko o to, czego naprawdę potrzebujesz

Najważniejsza zasada RODO to minimalizacja danych. Wolno Ci zbierać wyłącznie te dane, które są rzeczywiście niezbędne do celu – czyli do nawiązania kontaktu. W praktyce oznacza to:

• Adres e-mail lub numer telefonu zwykle w zupełności wystarczy, aby udzielić odpowiedzi.
• Pola obowiązkowe ograniczaj do absolutnego minimum. Pola opcjonalne wyraźnie oznaczaj jako dobrowolne.
• Zrezygnuj z pól takich jak data urodzenia, pełny adres czy wielkość firmy, jeśli nie są potrzebne do udzielenia pierwszej odpowiedzi.

Każde zbędne pole to potencjalne ryzyko – a przy okazji zniechęca zainteresowanych. Mniej jest tu lepsze zarówno z prawnego punktu widzenia, jak i z perspektywy konwersji.

2. Podstawa prawna i zgoda

Do przetwarzania danych potrzebujesz podstawy prawnej. W przypadku zwykłego formularza kontaktowego jest to z reguły Twój prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) albo podjęcie działań przed zawarciem umowy (lit. b), gdy ktoś prosi o ofertę. Osobne pole wyboru ze zgodą nie jest w tym celu bezwzględnie wymagane – obowiązkowy „ptaszek" może być wręcz problematyczny.

Inaczej wygląda to, gdy chcesz wykorzystać dane poza samą odpowiedzią, na przykład do newslettera. Wtedy potrzebujesz odrębnej, dobrowolnej i niezaznaczonej domyślnie zgody. Nigdy nie łącz tych dwóch rzeczy. Obowiązkowa jest natomiast wyraźnie widoczna informacja o polityce prywatności bezpośrednio przy formularzu, na przykład w formie zdania, że podane informacje są przetwarzane w celu obsługi zapytania, a szczegóły znajdują się w polityce prywatności.

3. Przejrzystość: polityka prywatności musi pasować

Twoja polityka prywatności musi konkretnie opisywać, co dzieje się z danymi z formularza. Należą do tego:

• Cel przetwarzania (obsługa zapytania kontaktowego).
• Podstawa prawna, na której się opierasz.
• Okres przechowywania lub kryteria jego ustalenia – zapytania powinny być usuwane, gdy tylko zostaną załatwione i przestaną obowiązywać ustawowe okresy przechowywania.
• Informacja o prawach osób, których dane dotyczą (dostęp, usunięcie, sprzeciw).
• Wskazani odbiorcy lub podmioty przetwarzające, jeśli zaangażowane są podmioty trzecie.

Szablonowa polityka prywatności, która w ogóle nie wspomina o formularzu, na nic Ci się nie przyda. Musi ona odpowiadać rzeczywiście stosowanej technologii.

4. Bezpieczeństwo techniczne: szyfrowanie jest obowiązkowe

RODO wymaga odpowiednich środków technicznych. W przypadku formularza kontaktowego oznacza to przede wszystkim:

• HTTPS/SSL nie podlega negocjacji. Dane z formularza nigdy nie mogą być przesyłane przez sieć bez szyfrowania. Ważny certyfikat SSL jest dziś dostępny za darmo – nie ma żadnej wymówki, by działać bez niego.
• Dane powinny być przetwarzane na serwerze w UE lub u dostawcy posiadającego umowę zgodną z RODO.
• Prosta ochrona przed spamem chroni przed nadużyciami. Wybieraj przy tym warianty oszczędzające dane, takie jak pole typu honeypot; w przypadku usług zewnętrznych, jak captcha, sprawdź, czy same nie przekazują danych do państw trzecich.

5. Miej na uwadze powierzenie przetwarzania

Gdy tylko zewnętrzny usługodawca przetwarza dane z formularza – na przykład usługa wysyłki e-maili, wtyczka formularza innego dostawcy lub Twój hostingodawca – potrzebujesz z reguły umowy powierzenia przetwarzania danych. To często pomijany aspekt. Jeśli Twój formularz po prostu wysyła wpisane dane e-mailem do Twojej własnej skrzynki i działa na Twoim własnym serwerze, łańcuch przetwarzania danych pozostaje krótki. Właśnie dlatego najchętniej budujemy formularze tak, aby zaglądało do nich jak najmniej podmiotów trzecich.

6. Częste błędy, które wciąż na nowo obserwujemy

• Obowiązkowe pole wyboru „Akceptuję politykę prywatności" – prawnie wątpliwe, ponieważ zgoda musi być dobrowolna.
• Brak SSL lub wygasły certyfikat.
• Dane z formularza trafiają bez filtrowania do narzędzia w chmurze bez umowy powierzenia.
• Polityka prywatności, która nie wspomina o formularzu.
• Zapytania, które nigdy nie są usuwane i latami zalegają w skrzynce pocztowej.

Nasze doświadczenie z praktyki

Prowadzimy siedem własnych marek w środowisku produkcyjnym – od skanera dostępności, przez portal produktowy, po kilka aplikacji SaaS. Każda z tych stron ma formularze kontaktowe lub zapytaniowe i nauczyliśmy się, że rozwiązanie najbardziej oszczędzające dane i najprostsze technicznie jest niemal zawsze również najbezpieczniejsze prawnie. Formularz zgodny z RODO to nie koszt, lecz po prostu solidna realizacja strony internetowej. Pamiętaj jednak: te wskazówki stanowią rzetelną orientację, ale w razie wątpliwości nie zastępują indywidualnej porady prawnej – zwłaszcza przy danych wrażliwych lub złożonych łańcuchach przetwarzania warto skorzystać z opinii inspektora ochrony danych.