Контактні форми та захист даних: що потрібно звернути увагу?

Вільно багато вебсайтів пропонують контактну форму для полегшення спілкування відвідувачам або навіть, щоб отримувати повідомлення більш організовані та спрямовані на мету. Скільки даних можуть бути обов'язково запитується? Чи повинен користувач попросити підтвердження щодо вказівок щодо захисту даних? Ці питання і багато інших будуть відповідати в статті для забезпечення правової безпеки при використанні контактної форми.

Вступ

Контактні форми часто стають об'єктом розмов, оскільки вони викликають питання щодо захисту даних. Насправді досить просто запропонувати контактну форму (або декілька), якщо дотримуватися кількох основних правил.

Як при кожній формі обробки даних, є й невеликі ризики з контактними формами, які можна зменшити. У підсумку ризик підконтрольний і не більший ніж при спілкуванні через адресу електронної пошти, яку пропонує вебсайт.

Форми заявок пропонують краще можливості уникнути спаму порівняно зі звичайною електронною поштою. Хто ж тут використовує Google reCAPTCHA, має погані правові перспективи.

Далі наведені рекомендації допоможуть швидко створити безпечні контактні форми та розібратися з юридичними питаннями. Зауважте, що тут мова не йде про формуляри підписки на новинний лист, для яких існують власні правила. Більшість згаданих вказівок також можна застосувати до форм, за допомогою яких потенційні клієнти можуть підписатися на інформацію та отримувати свій новинний лист.

Рекомендації для контактних форм

Кожна окрема рекомендація забезпечує більшу Юридичну Безпеку, якщо вона буде враховувана. На кінці у вас буде вебсторінка з такими формами, як вони потрібні. Правила захисту даних, які встановлює ДЗНВ, дотримуються.

Як завжди у правових питаннях, немає абсолютно правильного кроку, а лише підвищення юридичної безпеки. А навіть якщо ви робите все правильно (хто теж саме визначає), хто-небудь може звинуватити або подати до суду на вас. Але тоді ваш противник має дуже погані карти і залишиться сидіти за свої гроші.

Загальний контактний формуляр

Формуляр для всього можливого та дозволеного. Проте слід вважати цю центральну точку лише першим контактним пунктом. Цей формуляр не повинен перетворитися на інструмент, яким можна отримувати всі дані світу. Моя рекомендація щодо даних, які повинні бути заповнені в санітарному формулярі:

• Для цього є контактна форма.
• Адреса електронної пошти: Тільки так можна відповісти.
• Ім'я або псевдонім: Зазвичай не потрібен справжній ім'я людини. Але часто важливо знати ім'я. Вирішуйте за здоровим глуздом, чи потрібне справжнє ім'я чи ні. На моїй вебсторінці мені не потрібно справжніх імен людей, які мені пишуть листи з відгуками на мої статті та не користуються функцією коментарів. Відповідно на Hasemaus47 я можу написати відповідь, якщо мені це подобається (якщо немає обов'язку; я завжди відповідаю тоді, коли звернення серйозне і заслуговує відповіді).
• Номер телефону: тільки тоді, коли це має сенс і часто потрібне. Можливо, як опціональний позначити.

Більше даних я не запитував би в загальному формулярі. Важливо, яким чином орієнтована ваша сторінка чи діяльність, чи ви потребуєте інших загальних даних. Більшість підприємств зможуть добре жити з тим, що згадано вище. Лікарські практики, дитячі садочки або автосервісні майстерні звичайно також можуть потрібувати номер телефону людини.

Мусфельдер та Канфельдер

Для кожної заяви, яку ви запитаєте в формулярі, потрібно подумати, чи вона необхідна чи ні. Необхідні заяви завжди явно є текст повідомлення та адреса електронної пошти відправника, щоб йому можна було надіслати відповідь.

Ім'я людини, яка пише цей текст, часто не має значення. А також для загальних новин, які не відправляються клієнтам, ім'я підписувача не повинно бути відомим. Дивіться мої Новини. Для підписки на новину я запитуємо лише адресу електронної пошти. Інші дані мене не цікавлять. Якщо людина бажає мені щось повідомити, тоді я пишу їй листа по електронній пошті. У цьому листі часто вказується ім'я людини, яка хоче мені щось повідомити. І саме тому, бо ця людина вільно вказує своє ім'я.

Ум'якше специфічний контактний формуляр, тим більше даних можна позначити як обов'язкові. У кожному окремому випадку потрібно перевірити, які дані ви тільки бажаєте отримати та які згідно з вашим поглядом є необхідними. У деяких випадках певні дані можуть бути дуже бажаними для вас. Наприклад, мені розповіла власниця дитсадка, що вам потрібна телефонна номера, оскільки майже кожна звернення стосується питання про місце в дитсадку та тому необхідно здійснювати додаткові запитання. У таких випадках потрібно перевірити, скільки разів ви потребуєте вказаної інформації та зробити з неї обов'язкове поле.

Навколишній зміст вашого документа

Станьте собі питання: Для чого вам потрібне формуляр? Визначіть мету чи меті. Якщо ви визначили лише одну мету, то, звичайно ж, вам потрібен тільки один формуляр (або ні).

Наприклад, цілі для формулариків можуть бути такі:

• Загальна контактна інформація: Ви не знаєте за цим, чому ви хочете написати людині. Хіба ж ви пропонуєте товари чи послуги або надаєте інформацію. Контактор, ймовірно, запитає щось щодо вашого товару або має питання до ваших висновків. Або людина, яка пише, хоче висловити критику чогось.
• Умови щодо закінчення справи: Такий випадок часто виникає при лікарях або автовласників.
• Рекламна пропозиція: Ви хочете краще спілкуватися по телефону, ніж листуватися електронною поштою? Тоді запропонуйте таку можливість і запитайте потенційного клієнта про його номер телефону та відповідний часовий вік для повернення виклику.
• Похвала та критика.
• Контактна взаємодія в області клієнтів: У вас є клієнт і він зареєстрований у своєму обліковому записі клієнта. Для страхових послуг клієнти можуть, наприклад, видавати замовлення, запити документів або відмовитися від підписання контракту.
• Коментар до статті. Дивіться нижче цього повідомлення або також на спеціалізованих сторінках, де читачі можуть залишити свої відгуки.

Якщо ви визначили декілька цілей, для яких бажаєте запропонувати форму, тоді перевірте, які дані потрібні у формі для кожного призначення. Цілі, що дуже багато спільних даних потребують і також тематично близько розташовані, можуть бути об'єднані у одному формі.

Всі інші дані повинні бути в різних формулярах, якщо ви не вирішите запропонувати загальний контактний лист.

Інформація про захист даних

Назначте коротке ім'я для поля, у якому ви плануєте використовувати запропоновану інформацію. Посилання на сторінку з інформацією про захист даних вашого вебсайту. Всі ці дані повинні бути розміщені нижче полів для введення та зверху кнопки "Відправити":

Ми використовуємо Ваші дані для відповіді на Ваш запит. Додаткова інформація знаходиться в наших Дані про захист конфіденності.

Абстеріться на те, щоб посилання було створено так, щоб воно відкривалося у новому вікні. Нічого гіршого, ніж коли відбувається заповнення форми, яке втрачається через бажання швидко переглянути інформацію про захист даних. Якщо ви хочете зробити це дуже зручно, тоді використовуйте спеціальний HTML-анкер. З його допомогою можна створити посилання так, щоб воно відкривало саме ту частину інформації про захист даних, яка стосується контактної форми. Така операція виглядає наступним чином:

Анікер у своїх рекомендаціях щодо захисту даних визначає:

У Вордпрессі посилання можна визначити шляхом розташування курсора у редакторі на бажаному тексті та клікування на „Розгорнути“ у правій області:

Використовуйте посилання на Anker:

<a href="https://dr-dsgvo.de/datenschutz/#formular>Інформація про захист даних для контактних форм</a>

Написати перед іменем анкера квадратик (#), щоб код працював правильно.

Так виглядає посилання. Коли ви на нього клікаєте, ділянка для читання прямує прямо туди, де знаходяться дані щодо форми:

Інформація про захист даних для контактних форм

Ви на моїй сторінці немає жодних формулярів крім підписки на новину, тому я встановив анкер "формуляр" для демонстрації у розділі підписки на новину. Рекомендація з практики: встановіть анкер на кілька рядків вище, ніж там, де він повинен бути. Поки що залежно від браузера може відбуватися така ситуація, що текст буде показаний дуже близько до початку сторінки і навіть обрізаний.

Як бачите, я зробив мої вказівки щодо захисту даних доступнішими для людей з особливими потребами, щоб зробити їх більш доступними. Можливо, ви теж подумаєте про це? Як це робиться, дізнаєтеся із згаданого раніше статті.

Тексти про захист даних:

Розкажіть про це просто, наприклад так:

Форма зворотнього зв'язку

Якщо ви надішли нам запит за допомогою контактної форми, ваші дані з форма запиту разом із контактною інформацією, яку ви вказали там, будуть збережені та оброблені нами для розгляду вашого питання та можливих подальших питань. Ваша інформація буде використовуватися лише для відповіді на запитання та обробки його. Обробка даних здійснюється відповідно до статті 6 абз. 1 ст. ф ДЗВП на підставі законного інтересу.

Для випадку виявлення шахрайства або зловживання, наприклад для розкриття хакерських атак, ми зберігаємо собі право зберігати ваші мережеві дані протягом короткого періоду та лише за цим призначенням, який не перевищує 30 днів, крім випадку коли виникне підстава для довшого зберігання.

Шаблон для тексту про захист даних у контактній формі.

Важливо: лише надання інформації, а не підтвердження

Тепер прийде майже найважніше: надішліть вказівки щодо захисту даних лише для ознайомлення. Не запитуйте підтвердження або згоди. Ви не повинні дозволити підтвердити, що людина прочитала ваші вказівки щодо захисту даних. Чи відвідувач вашої вебсторінки читає чи ні, це його справа і ви не повинні цього вимагати. Вказівка щодо захисту даних не є угодою. Дивіться наприклад рішення суду вищого суду Берліна (27.12.2018 – 23 U 196/13).

Є ваше законне інтерес (ст. 6 абз. 1 пп. ф ДЗПВ), використовувати дані про людину, яка пише до вас, щоб відповісти на неї чи обробити запитання. У іншому місці слід використовувати законне інтерес як підставу лише дуже рідко, оскільки воно майже завжди відсутнє.

Сканер спаму

Використовуйте ніякі Google-плагіни, окрім того, якщо ви бажаєте ризикувати зі своїм особистим життям. будь-яке Google-плагін дозволено використовувати лише після згоди користувача. Це моя думка, яку ви зможете знайти в цьому блозі багато обґрунтувань (Google та дані безперервно, навіть для впливу на поведінку; дані можуть бути використані американськими спецслужбами; Google збирає більше даних, ніж потрібно тощо). Також таке ж суддя ЛГ Кельна погоджується зі мною (рішення від 23.03.2023 року – 33 О 376/22).

Використовуйте замість цього Captcha, як Contact Form 7 Image Captcha (для форм WordPress). Або використовуйте поле для введення, в якому запитують результат простої арифметичної задачі. Приклад: Як багато є 17 менше 5. Напишіть відповідь у вигляді слова в малій літері.

Я особисто вірю, що через контактні форми не потрапляє багато більше спаму ніж шляхом прямого захоплення адрес електронної пошти з сторінок зі своїми даними. Дobra фільтри спаму допомагають багато. Спам ніколи повністю уникнути не можна. Також honeypots є доброю заходою.

Ви можете перевірити можливість перевірки тексту повідомлення щодо певної довжини. Якщо він не досягнув мінімальної довжини, формуляр повинен бути відправлений лише тоді, коли це необхідно. Також можна встановити фільтр на певні неприйнятні слова.

Якщо ви використовуєте плагін для перевірки спаму, то зверніть увагу на те, щоб глобальна база даних проти спаму була вимкнена або не надсилала жодних даних туди. Хай там як корисна ця функція може бути для деяких: коли ви передаєте мережну адресу (IP-адресу) відвідувачів вашої вебсторінки до "невідомого", то це погано. Прикладом такого плагіна є Antispam Bee для WordPress.

Ви бачите три варіанти цього плагіна. Перша можливість може бути активована тому що локальна база даних не передає дані третім особам. Інші дві можливості повинні бути деактивовані, щоб уникнути юридичних проблем. У будь-якому разі вже сам плагін вказує на те, що особливі рекомендації щодо захисту даних потрібно дотримуватися для критичних варіантів.

Відповідь до відправника

Власник повідомлення очікує, що ви відповість йому. Ви теж повинні відповідати, якщо вважаєте це розумним. Однак існують Злі люди. Вельми легко потрапити в контактну форму з чужою адресою електронної пошти. Either тому, що людина має погані наміри або тому, що виникла помилка при наборі.

Якщо повідомлення здається дивним, то краще не відповідати на нього. Перевірте адресу електронної пошти. Викидна адреса (byom.de, trashmail.net тощо) має найнижчий рівень довіри. Також не дуже високий рівень довіри мають вільні адреси електронної пошти (gmx.de, web.de тощо), хоча вони досить поширені. Найкращим варіантом є адреса особи або підприємства з власною доменною адресою. Таку спеціалізовану доменну адресу можна побачити в dr-dsgvo.de.

Пошукайте коротко і при можливості, щоб повідомлення та ім'я (якщо вказане в повідомленні або полі імені) збігалися. Якщо ви маєте багато сумнівів, спробуйте написати непрофесійно до особи, яку вважаєте автором повідомлення, та запитайте, чи від її адреси було надіслано повідомлення через контактну форму. Непрофесійна звернення важливі для уникнення вигляду незаконної реклами. Непрофесійне означає також те, що ви краще видаляєте логотипи реклами або посилання на сайти в підписі, щоб бути впевненими.

Додаткові пропозиції

Використовуйте свій формуляр і не рішення з коробки, як Microsoft Forms. Додаткові пропозиції часто мають правові проблеми. При MS Forms я часом помітив відсутність імперії. Крім того, при підприємствах, таких як Microsoft, виникає питання, чи передача даних із американським зв'язком не створюватиме правових проблем. Я кажу так, що LG Cologne (с. о.) каже так, а ЄГП („Schrems II“) теж каже так.

Я вважаю, що дозволено зберігати IP-адресу відправника при контакті, щоб мати щось у своєму розпорядженні при юридичних проблемах. Тут є підстава, щоб зробити це. Я розібрав це докладніше в статті про серверні журнали. Відповідний пункт міститься у вказаному вище шаблоні для вашої політики конфіденційності користувачів.

Зауважте, я краще називав би цю інформацію щодо захисту даних або інформацією про захист даних. Такий підхід зменшує враження, що це щось подібне до договору (як згадується у цьому рішенні).

Дані, які ви отримуєте через контактну форму, обробляйте так само, як і електронну пошту з цією ж інформацією. Тут немає суттєвих відмінностей. Потрібні дані зберігаються, а ті, що більше не потрібні, видаляються зі значенням затримки. Зазвичай треба негайно видалити дані ні, бо може бути випадок, коли хто-небудь намагатиметься вам завадити. У такому разі було б добре мати щось у своєму розпорядженні, щоб пояснити розвиток подій.

Сертифікат SSL

Натомість форми можна просто вказати посилання на вашу електронну адресу. Ви не повинні пропонувати жодної форми. Посилання на електронну адресу вказуйте так само, як і звичайну адресу вебсайту (URL), лише перед цим поставте текст mailto:

Код HTML для такого посилання виглядатиме так:

<a href="mailto:mail@dr-dsgvo.de">Напишіть мені</a>

Весь цей процес виглядатиме так на сторінці в інтернеті:

Напишіть мені

Якщо у вас є редактор, такий як WordPress пропонує, то просто визначте посилання та використовуйте mailto: перед вашою адресою електронної пошти як адресою посилання.

Важливо: Використовуйте форми, тоді обов'язково використовуйте SSL- сертифікат для вашої вебсторінки. Ваша сторінка буде доступна тільки за допомогою https і не більше за http. Увімкніть перенаправлення (Redirect) з http на https. Перевірте це, відкривши свій браузер зі сторінкою за адресою http:// (наприклад: http://meine-webseite-0815.de замість тільки meine-webseite-0815.de).

Якщо у браузері біля адреси вашої вебсторінки з'являється замок ліворуч, то наявність SSL- сертифікату підтверджується. Для перевірки додаткових особливостей свого SSL-сертифікату, наприклад глибини шифрування або вірогідності надання сертифікату, ви можете використовувати мій онлайн-чек вебсайту:

Висновок

Форми зворотнього зв'язку повинні запитувати мінімальну кількість даних, необхідних для виконання своєї функції.

Для різних цілей з різною кількістю необхідних даних повинні бути запропоновані різні форми.

Якщо ви не бажаєте пропонувати форму, то не пропонуйте її взагалі. Важливо, щоб у інформаційній сторінці вашого сайту була вказана ваша електронна адреса. З метою уникнення правових проблем уникайте вказування своєї електронної адреси за допомогою зображень. Багато власників вебсайтів вказують свою адресу у вигляді графічного тексту, щоб запобігти спаму. Безумовно, цим шляхом можна зменшити кількість спам-повідомлень, але я вважаю це не зовсім допустимим. Поки що людина повинна мати можливість легко зв'язатися з вами. Для цього також необхідно, щоб адреса була досить простою для натискання, щоб написати вам повідомлення. У будь-якому разі, хоча б копіювання та вставляння повинні бути можливі.

Умка менше даних ви запитуєте в формулярі, тим менше повинні звернути увагу. Для даних, яких у вас немає, не потрібно виконувати зобов'язання. Як стокоришок згадайте лише право на інформацію осіб, яким це стосується. Дані, які ви не запитуєте, для початку є безпечними. Якщо вам хто-небудь обов’язково хоче повідомити свої дані про податки або зростову висоту за допомогою формуляра, хоча ви в формулярі чи на сайті не вказували жодного приводу для цього, тоді обробляйте ці дані так само обережно, як усі інші дані. У разі сумніву видаливте без запиту надіслані чутливі відомості та проігноруйте повідомлення (або попросіть про інший спосіб спілкування), якщо вони не мають юридичної ваги.

Для затишення багатьох треба сказати, що звичайно не є проблемою захисту даних, створеної самостійно із контактної форми. Мені відомий лише один випадок, коли відсутність SSL- сертифікату була проблематична. Або ж дані, отримані через форму, були порушені, як називають це так. Останнє вже не має нічого спільного з основною темою, формою.