Zgoda RODO, Cookie Consent itp - wątpliwości

pytanie zadane 2 listopada 2024 w Sieci komputerowe, internet przez Nosferatu1922 Początkujący (370 p.)

Cześć, tworzę sobie strony hobbystycznie, no i mam zwykłą stronę wizytówkę, tylko że na niej jest contact form. Do podania jest name, email i sama wiadomość. Gdzieś wyczytałem że w takim przypadku powinna być dodana zgoda na RODO. Nie wiem czy tak jest istotnie, wydaje się to być wątpliwe, ale powiedzmy że to prawda. No i teraz zaczynają się schody. Dodałem prostą logikę, która blokuje użyteczność aż zgoda będzie wyrażona. Tylko że według moich informacji (i czatu gpt) to nie wystarczy - powinienem tę zgodą gdzieś zapisać (najlepiej w bazie danych). Pomijając już problematyczność wdrożenia tego (taka strona może nie mieć w ogóle backendu, więc trzeba to postawić, wdrożyć logikę itd), to wątpliwości tylko się mnożą. Po pierwsze co tam zapisać? Ani "name" ani "email" nie muszą być w żadne sposób unikalne. IP chyba może być zmienne. Dodatkowo co taki "dowód" miałby niby udowadniać? Przecież takich "zgód" mogę sobie naprodukować sam do swojej bazy danych ile chcę - jak mam udowodnić, że to użytkownik wrzucił kliknięciem, a nie sam wrzuciłem skryptem? Do tego dochodzi mechanizm "cofnięcia zgody" itp. Czyli muszę udowodnić że mam zapisany event zgody ale potem nie ma eventu cofnięcia zgody (chociaż można by go ręcznie usunąć, więc to i tak dalej nie ma sensu).

Już nie przedłużając - ponieważ wszystko to wygląda na jeden wielkie kretynizm, jakie są najlepsze praktyki pod tym względem?

Uprzedzając odpowiedzi w stylu "tego i tak nikt nie kontroluje, a nawet jeśli, to nie takich żuczków" - wiem, że nie, ale może za ileś tam lat zaczną, a nawet jeśli nie, to może wam się trafić klient, który będzie tego wymagał bardzo literalnie. W tytule dodałem Cookie Consent, bo pewnie w tym przypadku będą bardzo podobne problemy.

Pozdrawiam

komentarz 3 listopada 2024 przez szpon12 Obywatel (1,260 p.)

Jako laik w tematach prawno-prawnych. Wydaje mnie się że wyodrębnienie takiej zgody istotne jest przy wysyłaniu newsletterów bądź ofert handlowych (informacji o nowych produktach itp.) Osoba która wypełniła formularz, oczekuje kontaktu który nie jest formą informacji handlowej. Warto tak jak napisał adrian17 uwzględnić to że po wypełnieniu formularza kontaktowego dane klienta będą przetwarzane przez konkretny podmiot/y i klient może spodziewać się odpowiedzi.

Pod względem implementacji, jeżeli masz zamiar wysyłać jakieś bulki rozsądne wydaje się utworzenie tabeli w której będą przechowywane zgody na wypadek tak jak mówisz możliwości późniejszej ingerencji w te zgody. Przy otrzymaniu danych z formularza sprawdziłbym czy dany email widnieje w bazie emaili które zostały dodane do bazy, i jeżeli nie to dodałbym ten email do bazy wraz z zaznaczoną zgodą. Później kiedy klient będzie chciał wypisać się z newslettera, kliknie w link np. /unsubscribe/[email]/[nonce] i wtedy w łatwy sposób można go wypisać z listy osób które mają otrzymywać jakieś emaile.

1 odpowiedź

odpowiedź 2 listopada 2024 przez adrian17 Mentor (352,580 p.)

Nie jestem prawnikiem, prywatna opinia:

- jeśli ktoś kliknął „wyślij” na formularzu kontaktowym, to już z definicji jest jego „zgodą”, nie musisz osobno pytać drugi raz. Powinieneś w jakiś sposób poinformować jeśli wysłane dane będą przetwarzane w jakiś nieoczywisty sposób (wpisany do newslettera, przekazany komuś innemu etc), ale jeśli jedyne co robisz z mailem kontaktowym to go czytasz i odpowiadasz, to nie musisz informować o takiej oczywistości.

- w momencie otrzymania wiadomości kontaktowej, serwer mailowy już zawiera wszystkie informacje, nie musisz ich osobno przechowywać.

- nie wiem czy musisz mieć spisany jakiś privacy policy, ale nic nie broni żeby jakiś mieć.

Znalazłem też odpowiedź na StackExchange z podobnymi wnioskami: https://law.stackexchange.com/a/36416