Većina malih sajtova u Hrvatskoj ima kontakt formu u stilu: polje za ime, polje za email, polje za poruku, gumb „Pošalji“. Ništa drugo. Ovo je zakonski problem.

Zašto je to problem?

Čim korisnik submita formu, vi ste po GDPR-u „voditelj obrade“ tih podataka. GDPR, čl. 13, kaže da ste u trenutku prikupljanja obvezni korisniku jasno reći:

  • Tko ste vi (pravni subjekt, kontakt)
  • Koja je svrha obrade („odgovor na upit“)
  • Pravna osnova (ovdje: privola ili legitimni interes)
  • Tko će primiti podatke („samo tvrtka Zen IT“ ili „i naš email provider“)
  • Koliko dugo ćemo čuvati podatke
  • Koja prava korisnik ima

U praksi — ne možete sve to staviti u samu formu, ali morate imati poveznicu na Politiku privatnosti pored gumba „Pošalji“.

Dobra forma — minimalni recept

  1. Samo ona polja koja su stvarno potrebna (načelo minimalizacije podataka). Ne tražite datum rođenja da vam netko pošalje upit.
  2. Razumljiv tekst ispod forme ili iznad gumba: „Slanjem ovog upita pristajete na obradu vaših podataka u svrhu odgovora. Detalje pogledajte u Politici privatnosti.”
  3. Ako šaljete traženi marketinški sadržaj (newsletter) — poseban, neoznačen checkbox.
  4. Tehnički: HTTPS, honeypot ili captcha protiv spama, rate-limit, server-side validacija.
  5. Email mora stvarno ići vama. Testirajte mjesečno.
  6. Definirajte rok čuvanja upita. Preporuka: 6-12 mjeseci, pa automatski obrisati.
Najčešća AZOP kazna — „dead letter“
Forma na vašem sajtu radi, korisnik submita, vidi „Hvala!“ — ali email vam ne stiže ili ide u spam i nikad ne odgovorite. Ovo je dvostruki prekršaj: (1) prikupljate podatke bez svrhe, (2) kršite prava korisnika da dobije odgovor. Kazne: 1.000 — 10.000 €.

Pred-označen checkbox = nevaljana privola

Europski sud je u predmetu Planet49 (C-673/17) jasno rekao: checkbox koji je unaprijed označen nije valjana privola. Privola mora biti aktivna radnja korisnika.

Isto vrijedi za „dark patterns“ — velik zelen gumb „Slažem se“ i mali siva „Ne hvala“. AZOP i europska sudska praksa gledaju to kao manipulaciju.

Koliko dugo čuvati upite?

  • Upit koji nije postao klijent: 6-12 mjeseci, pa brisati
  • Upit koji je postao klijent: spada pod ugovorne podatke — čuva se koliko traje ugovor + zakonski rokovi
  • Newsletter prijave: sve dok korisnik ne opozove (najmanje double opt-in)

Mali primjer dobrog teksta ispod forme

„Slanjem ovog upita pristajete na obradu vaših osobnih podataka u svrhu odgovora. Podatke čuvamo 12 mjeseci, a vi imate pravo u svakom trenutku zatražiti pristup, ispravak ili brisanje podataka. Više informacija u našoj Politici privatnosti.”

3 stvari koje napravite u sljedećih 30 minuta

  1. Otvorite sajt. Je li pored gumba „Pošalji“ link na Politiku privatnosti? Ako nije — stavite.
  2. Pošaljite test-upit s drugog maila. Je li vam email stigao u inbox? Ako nije — popravite odmah.
  3. Provjerite je li u bazi ili u adminu skladište svih upita koji se automatski brišu nakon 12 mjeseci. Ako nema — napišite si skriptu ili proces.

Naše forme su GDPR-spremne po defaultu

Svaki sajt koji Zen IT napravi ili redizajnira dolazi s usklađenim formama, Resend email infrastrukturom i mjesečnom provjerom dostave.