Formularze kontaktowe - czy zgoda jest wymagana?

Witam wszystkich cierpiących z powodu zgody,
Wyobraź sobie, że jesteś na zakupach w mieście i nagle znajdujesz idealną parę butów. Wchodzisz do sklepu, gotowy wydać pieniądze. Ale sprzedawca mówi ci, że może zapytać o twój rozmiar buta tylko po przeczytaniu i zaakceptowaniu oświadczenia o ochronie danych (DSE).

CO?! NAPRAWDĘ, TERAZ?! - Oczywiście, że nie!

Wchodząc do sklepu, użytkownik składa oświadczenie woli dotyczące ewentualnego rozpoczęcia transakcji prawnej. W transakcjach prawnych jest to również znane jako „zachowanie dorozumiane“.

Wikipedia pisze:
„Czynność konkludentna lub dorozumiana (łac. concludere „zawrzeć“, „wyciągnąć wniosek“) (również zachowanie konkludentne, milczące oświadczenie woli lub czynność dorozumiana) występuje w obrocie prawnym, gdy ktoś wyraża swoją wolę poprzez zachowanie niewerbalne, a uczciwy odbiorca może z tego wywnioskować zamiar związania się prawem, tak że umowa może zostać zawarta nawet bez wyraźnego oświadczenia woli“.“

Wchodzisz do sklepu, aby kupić buty - więc chcesz zainicjować transakcję i zawrzeć odpowiednią umowę. Aby upewnić się, że buty będą pasować, od samego początku zdajesz sobie sprawę, że Twój rozmiar buta jest wymaganą daną osobową. To chyba logiczne, prawda?

Dlaczego więc na wielu stronach internetowych znajdują się formularze kontaktowe z obowiązkowymi polami wyboru? Możesz wysłać zapytanie tylko wtedy, gdy aktywujesz pole wyboru, a tym samym potwierdzisz, że
- wyraża zgodę na przetwarzanie swoich danych w celu udzielenia odpowiedzi na zapytanie lub
- zapoznał się z DSE i akceptuje je lub wyraża na nie zgodę.

Jaki to ma sens? Być może operatorzy witryn lub agencje decydują się na wyrażenie zgody z powodu niewiedzy lub strachu przed ostrzeżeniami. Mogą po prostu założyć, że jest to najłatwiejszy i najbezpieczniejszy sposób.
Ale uważaj, możesz się mylić. Ponieważ zgoda to trudna sprawa. Z jednej strony należy udokumentować, że zgoda została uzyskana zgodnie z prawem. Z drugiej strony osoby, których dane dotyczą, mają prawo do wycofania zgody w dowolnym momencie.

Procesy muszą być zatem śledzone i dokumentowane, a w przypadku anulowania, dane muszą zostać natychmiast usunięte zgodnie z RODO (aktywne systemy, kopie zapasowe itp.). Tak więc to, co brzmi tak kusząco prosto, w rzeczywistości ma wiele pułapek i powoduje sporo wysiłku.

Co mówi RODO?

Artykuł 6 RODO przewiduje szereg „warunków autoryzacji“, na podstawie których dozwolone jest przetwarzanie danych osobowych. Artykuły odnoszące się do naszego formularza kontaktowego to

Art. 6 ust. 1 lit. a: Zgoda osoby, której dane dotyczą
Art. 6 ust. 1 lit. b: wykonanie umowy lub wdrożenie środków przedumownych
Art. 6 ust. 1 lit. f: Uzasadniony interes administratora danych

Art. 6 ust. 1 lit. a: Zgoda osoby, której dane dotyczą

Istnieją operacje przetwarzania, na które należy uzyskać zgodę. Obejmuje to na przykład korzystanie z określonych narzędzi marketingowych lub narzędzi do śledzenia/analizy itp. Według bawarskiego organu nadzorczego ds. ochrony danych „zgoda jest wymagana w przypadku formularzy kontaktowych, jeśli przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 ust. 1 RODO. Może tak być na przykład w przypadku, gdy formularz jest wykorzystywany do żądania danych zdrowotnych w celu umówienia wizyty u lekarza, gdy formularz kontaktowy jest wykorzystywany do rejestracji w organizacji religijnej lub partii politycznej lub gdy użytkownik może przesłać załączniki, które pozwalają na wyciągnięcie wniosków na temat religii, pochodzenia etnicznego, orientacji seksualnej itp.“ [1].“

[1] Wyciąg ze sprawozdania z działalności LDA Bavaria za lata 2017/2018 z marca 2019 r. -

Nie ma to zastosowania w przypadku formularza kontaktowego, który nie zawiera żadnych szczególnie wrażliwych danych. Korzystanie z formularza kontaktowego może zatem opierać się na innych podstawach prawnych dla większości zastosowań.

Art. 6 ust. 1 lit. b: wykonanie umowy lub wdrożenie środków przedumownych

Art. 6 ust. 1 lit. f: uzasadniony interes administratora danych

Inną opcją jest oparcie korzystania z formularza kontaktowego na uzasadnionym interesie operatora strony internetowej. Oczywiste jest, że operator strony internetowej ma oczywisty i uzasadniony interes w udzieleniu odpowiedzi na wysłane do niego zapytanie.
Ustawodawca stanowi, że przy przetwarzaniu danych w oparciu o tę podstawę prawną należy przeprowadzić wyważenie interesów. W przypadku korzystania z formularza kontaktowego logiczne jest jednak założenie, że interesy zaangażowanych stron są zbieżne: Jedna ze stron składa zapytanie i oczekuje odpowiedzi, druga chce odpowiedzieć na zapytanie.

Uważaj na mieszanie z bazami umownymi

Postawmy więc sprawę jasno: „obowiązkowe pole wyboru“ jest zbędne w przypadku większości formularzy kontaktowych. Dzięki DSE wypełniamy jedynie nasz obowiązek przekazywania informacji zgodnie z RODO. Żadna zainteresowana strona ani klient nie jest zobowiązany do faktycznego przeczytania informacji, a już na pewno nie do wyrażenia na nie zgody lub ich zaakceptowania.

Istnieje jednak inny powód - niezwiązany z ochroną danych - aby nie używać tych pól wyboru:
Definicja obowiązkowego pola do uznania i wyrażenia zgody na DSE może sprawiać wrażenie, że DSE jest integralną częścią umowy - podobnie jak OWU. Ale tak NIE jest!

W grudniu 2018 r. Sąd Apelacyjny w Berlinie rozpatrywał sprawę sklepu internetowego, który wymagał zgody klienta na „umowę o ochronie danych“ dostawcy za pośrednictwem pola wyboru podczas procesu składania zamówienia. Sąd Apelacyjny orzekł (sygnatura sprawy 23 U 196/13), że duża część postanowień dotyczących ochrony danych naruszała prawo dotyczące ogólnych warunków umów, ponieważ były one niezgodne z podstawowymi ideami RODO.

Sąd Apelacyjny orzekł, że rozróżnienie między ogólnie wiążącymi warunkami umownymi a niewiążącymi informacjami musi opierać się na zrozumieniu „przeciętnego klienta bez wcześniejszego wykształcenia prawniczego“. Ze względu na sformułowanie warunków dostawcy i „umowy o ochronie danych“, które należy zaakceptować oddzielnie, przeciętny klient uznałby warunki dostawcy i obowiązek wyrażenia zgody za „warunki umowne“, które musiałby zaakceptować, gdyby chciał złożyć zamówienie. W związku z tym sąd poddał cały tekst kontroli OWU.
W związku z tym zaleca się zachowanie wyraźnego rozróżnienia między elementami czysto informacyjnymi i umownymi, aby uniknąć nieprzyjemnych spotkań z prawnikami i sądami.

Wnioski

Najważniejsze jest to:

• Szyfrowanie HTTPS zgodnie z obecnym stanem techniki jest bezwzględnym warunkiem korzystania z formularza kontaktowego.
• Aby zminimalizować ilość danych, tylko naprawdę istotne pola powinny być zdefiniowane jako pola obowiązkowe w formularzu kontaktowym. To, jakie to są pola, należy rozważyć indywidualnie dla każdego przypadku. Na przykład dla internetowego sprzedawcy lodówek wiek osoby pytającej nie jest istotną datą. Jednak dla sklepu z e-papierosami może być. Zgodnie z mottem „Tak dużo, jak to konieczne, tak mało, jak to możliwe“ tylko te wpisy powinny być zdefiniowane jako pola obowiązkowe, które są faktycznie wymagane do udzielenia odpowiedzi na zapytanie.
• Powinieneś również umieścić link do DSE w formularzu kontaktowym, aby zainteresowane strony mogły łatwo uzyskać dostęp do pożądanych informacji. Coś takiego: „Więcej informacji na temat przetwarzania danych osobowych można znaleźć w naszej polityce prywatności“.“
• W samym DSE należy dodać odpowiednią uwagę do formularza kontaktowego, która zawiera informacje o tym, które dane są przetwarzane w jakim celu przez kogo, na jakiej podstawie prawnej jest to robione i jak długo są przechowywane.

Dalsze linki i informacje

Więcej informacji i pomoc można znaleźć w Art. 6, ust. 1, RODO i w Motyw 47 RODO. W międzyczasie istnieją również dość zrozumiałe i praktyczne publikacje w literaturze specjalistycznej. Bawarski Państwowy Urząd Nadzoru Ochrony Danych odsyła do publikacji w komunikacie prasowym pod adresem https://www.lda.bayern.de/media/pm2018_15.pdf. Na stronie guru ochrony danych można znaleźć (wciąż aktualny) całkiem zabawny artykuł Podcast. Możesz też po prostu zapytać zaufanego eksperta ds. ochrony danych.

Informacje prawne

Informacje zawarte w tym eseju zostały opracowane zgodnie z moją najlepszą wiedzą i przekonaniami oraz z uwzględnieniem mojej oceny. Chociaż dołożyłem wszelkich starań, aby wszystkie informacje były aktualne, nie gwarantuję ich kompletności ani dokładności.

Treść służy wyłącznie celom informacyjnym i nie jest wiążąca. Wyraźnie nie stanowi ona porady prawnej w rozumieniu niemieckiej ustawy o doradztwie prawnym (RBerG) i w związku z tym nie zastępuje porady prawnika. Nie ponoszę odpowiedzialności za błędy lub pominięcia i nie ponoszę odpowiedzialności za jakiekolwiek szkody umowne, deliktowe lub inne wynikające z wykorzystania lub polegania na tych informacjach lub jakichkolwiek działaniach lub decyzjach podjętych w wyniku wykorzystania tych informacji.