Dziś przyjrzę się formularzowi rejestracji do newslettera na stronie BRE Banku. Formularz jest dość rozbudowany i pozwala sprofilować mailing. Aby zapisać się musimy:

• podać adres email
• wybrać przynajmniej jedną kategorię
• wyrazić zgodę na przetwarzanie danych

Nieobowiązkowe jest podanie imienia i nazwiska.

Formularz jest zabezpieczony certyfikatem SSL. Wszystko sprawia bardzo dobre wrażenie. Ale czy wszystko jest zgodne z wymaganiami UODO (ustawa o ochronie danych osobowych)?

Klauzula zgody na przetwarzanie danych osobowych

Na dole formularza znajduje się disclaimer w następującej treści:

Wyrażam zgodę na przetwarzanie moich danych osobowych przez BRE Bank SA, w celach promocyjnych i marketingowych. Nadmieniam, iż jestem świadomy przysługujących mi praw wynikających z przepisów Ustawy o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.). Brak niniejszej zgody nie wpływa na możliwość korzystania z serwisu.

Natomiast  Ustawa wymaga, aby zbierający dane osobowe poinformował osobę, której dane te dotyczą o:

1. adresie swojej siedziby i pełnej nazwie,
2. celu zbierania danych,
3. prawie dostępu do treści swoich danych oraz ich poprawiania,
4. dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Porównując disclaimer z wymaganiami Ustawy mogę powiedzieć, że disclaimer:

1. nie zawiera informacji o adresie siedziby administratora danych osobowych
2. zawiera cel określony jako cel promocyjny i marketingowy
3. nie zawiera bezpośredniej informacji o prawach dostepu do treści danych i ich poprawiania. Zapis „jestem świadomy przysługujących mi praw wynikających z przepisów Ustawy o ochronie danych osobowych” nic nie mówi przeciętnemu użytkownikowi internetu jakie są jego prawa.
4. zawiera informację dotyczącą dobrowolności podania danych zapisaną nie wprost: „Brak niniejszej zgody nie wpływa na możliwość korzystania z serwisu„

Ponadto, zgoda jest domyślnie zaznaczona na „tak” co oznacza, że jest domniemana. Ustawa mówi, że „zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści”.

Zapis do newslettera

Zapis do Newslettera jest realizowany na zasadzie double opt-in , co oznacza, że chęć subskrypcji muszę potwierdzić poprzez kliknięcie w link uwierzytelniający, który otrzymuje w wiadomości e-mail wysyłanej po zapisaniu do Newslettera.

Niestety z treści wiadomości nie wynika jednoznacznie, kto jest nadawca maila. Na mocy artykułu 127 § 5, 206 oraz 374 ustawy o kodeksie spółek handlowych, pisma w formie papierowej, elektronicznej, czy też informacje na stronach WWW złożone przez spółki z ograniczona odpowiedzialnością, spółki akcyjne, a także komandytowo-akcyjne powinny zawierać informacje takie jak:

• pełną nazwę spółki,
• siedzibę i adres spółki,
• oznaczenie sądu rejestrowego, w którym przechowywana jest dokumentacja spółki,
• numer KRS,
• numer identyfikacji podatkowej (NIP),
• wysokość kapitału zakładowego (w spółce akcyjnej i komandytowo-akcyjnej wraz z informacją, jaka jego część została wpłacona).

Żadnego z powyższych elementów nie ma w mailu, który otrzymałem po zapisie do Newslettera.

Podsumowanie

Plusy:

• formularz jest zabezpieczony certyfikatem SSL

Minusy:

• braki formalno-prawne w klauzuli zgody
• domniemana zgoda na przetwarzanie danych osobowych
• brak informacji wymaganych przez ustawę o kodeksie spółek handlowych w automatycznym mailu ze strony www