Audyt formularza zapisu do newslettera na stronie Bre Banku

Dziś przyjrzę się formularzowi rejestracji do newslettera na stronie BRE Banku. Formularz jest dość rozbudowany i pozwala sprofilować mailing. Aby zapisać się musimy:

  • podać adres email
  • wybrać przynajmniej jedną kategorię
  • wyrazić zgodę na przetwarzanie danych

Nieobowiązkowe jest podanie imienia i nazwiska.

Formularz jest zabezpieczony certyfikatem SSL. Wszystko sprawia bardzo dobre wrażenie. Ale czy wszystko jest zgodne z wymaganiami UODO (ustawa o ochronie danych osobowych)?

Klauzula zgody na przetwarzanie danych osobowych

Na dole formularza znajduje się disclaimer w następującej treści:

Wyrażam zgodę na przetwarzanie moich danych osobowych przez BRE Bank SA, w celach promocyjnych i marketingowych. Nadmieniam, iż jestem świadomy przysługujących mi praw wynikających z przepisów Ustawy o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.). Brak niniejszej zgody nie wpływa na możliwość korzystania z serwisu.

Natomiast  Ustawa wymaga, aby zbierający dane osobowe poinformował osobę, której dane te dotyczą o:

  1. adresie swojej siedziby i pełnej nazwie,
  2. celu zbierania danych,
  3. prawie dostępu do treści swoich danych oraz ich poprawiania,
  4. dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Porównując disclaimer z wymaganiami Ustawy mogę powiedzieć, że disclaimer:

  1. nie zawiera informacji o adresie siedziby administratora danych osobowych
  2. zawiera cel określony jako cel promocyjny i marketingowy
  3. nie zawiera bezpośredniej informacji o prawach dostepu do treści danych i ich poprawiania. Zapis “jestem świadomy przysługujących mi praw wynikających z przepisów Ustawy o ochronie danych osobowych” nic nie mówi przeciętnemu użytkownikowi internetu jakie są jego prawa.
  4. zawiera informację dotyczącą dobrowolności podania danych zapisaną nie wprost: “Brak niniejszej zgody nie wpływa na możliwość korzystania z serwisu

Ponadto, zgoda jest domyślnie zaznaczona na “tak” co oznacza, że jest domniemana. Ustawa mówi, że “zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści”.

Zapis do newslettera

Zapis do Newslettera jest realizowany na zasadzie double opt-in , co oznacza, że chęć subskrypcji muszę potwierdzić poprzez kliknięcie w link uwierzytelniający, który otrzymuje w wiadomości e-mail wysyłanej po zapisaniu do Newslettera.

Niestety z treści wiadomości nie wynika jednoznacznie, kto jest nadawca maila. Na mocy artykułu 127 § 5, 206 oraz 374 ustawy o kodeksie spółek handlowych, pisma w formie papierowej, elektronicznej, czy też informacje na stronach WWW złożone przez spółki z ograniczona odpowiedzialnością, spółki akcyjne, a także komandytowo-akcyjne powinny zawierać informacje takie jak:

  • pełną nazwę spółki,
  • siedzibę i adres spółki,
  • oznaczenie sądu rejestrowego, w którym przechowywana jest dokumentacja spółki,
  • numer KRS,
  • numer identyfikacji podatkowej (NIP),
  • wysokość kapitału zakładowego (w spółce akcyjnej i komandytowo-akcyjnej wraz z informacją, jaka jego część została wpłacona).

Żadnego z powyższych elementów nie ma w mailu, który otrzymałem po zapisie do Newslettera.

Podsumowanie

Plusy:

  • formularz jest zabezpieczony certyfikatem SSL

Minusy:

  • braki formalno-prawne w klauzuli zgody
  • domniemana zgoda na przetwarzanie danych osobowych
  • brak informacji wymaganych przez ustawę o kodeksie spółek handlowych w automatycznym mailu ze strony www

Dodaj komentarz

Twój adres email nie zostanie opublikowany.