Dziś przyjrzę się formularzowi rejestracji do newslettera na stronie BRE Banku. Formularz jest dość rozbudowany i pozwala sprofilować mailing. Aby zapisać się musimy:
- podać adres email
- wybrać przynajmniej jedną kategorię
- wyrazić zgodę na przetwarzanie danych
Nieobowiązkowe jest podanie imienia i nazwiska.
Formularz jest zabezpieczony certyfikatem SSL. Wszystko sprawia bardzo dobre wrażenie. Ale czy wszystko jest zgodne z wymaganiami UODO (ustawa o ochronie danych osobowych)?
Klauzula zgody na przetwarzanie danych osobowych
Na dole formularza znajduje się disclaimer w następującej treści:
Wyrażam zgodę na przetwarzanie moich danych osobowych przez BRE Bank SA, w celach promocyjnych i marketingowych. Nadmieniam, iż jestem świadomy przysługujących mi praw wynikających z przepisów Ustawy o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.). Brak niniejszej zgody nie wpływa na możliwość korzystania z serwisu.
Natomiast Ustawa wymaga, aby zbierający dane osobowe poinformował osobę, której dane te dotyczą o:
- adresie swojej siedziby i pełnej nazwie,
- celu zbierania danych,
- prawie dostępu do treści swoich danych oraz ich poprawiania,
- dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Porównując disclaimer z wymaganiami Ustawy mogę powiedzieć, że disclaimer:
- nie zawiera informacji o adresie siedziby administratora danych osobowych
- zawiera cel określony jako cel promocyjny i marketingowy
- nie zawiera bezpośredniej informacji o prawach dostepu do treści danych i ich poprawiania. Zapis “jestem świadomy przysługujących mi praw wynikających z przepisów Ustawy o ochronie danych osobowych” nic nie mówi przeciętnemu użytkownikowi internetu jakie są jego prawa.
- zawiera informację dotyczącą dobrowolności podania danych zapisaną nie wprost: “Brak niniejszej zgody nie wpływa na możliwość korzystania z serwisu“
Ponadto, zgoda jest domyślnie zaznaczona na “tak” co oznacza, że jest domniemana. Ustawa mówi, że “zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści”.
Zapis do newslettera
Zapis do Newslettera jest realizowany na zasadzie double opt-in , co oznacza, że chęć subskrypcji muszę potwierdzić poprzez kliknięcie w link uwierzytelniający, który otrzymuje w wiadomości e-mail wysyłanej po zapisaniu do Newslettera.
Niestety z treści wiadomości nie wynika jednoznacznie, kto jest nadawca maila. Na mocy artykułu 127 § 5, 206 oraz 374 ustawy o kodeksie spółek handlowych, pisma w formie papierowej, elektronicznej, czy też informacje na stronach WWW złożone przez spółki z ograniczona odpowiedzialnością, spółki akcyjne, a także komandytowo-akcyjne powinny zawierać informacje takie jak:
- pełną nazwę spółki,
- siedzibę i adres spółki,
- oznaczenie sądu rejestrowego, w którym przechowywana jest dokumentacja spółki,
- numer KRS,
- numer identyfikacji podatkowej (NIP),
- wysokość kapitału zakładowego (w spółce akcyjnej i komandytowo-akcyjnej wraz z informacją, jaka jego część została wpłacona).
Żadnego z powyższych elementów nie ma w mailu, który otrzymałem po zapisie do Newslettera.
Podsumowanie
Plusy:
- formularz jest zabezpieczony certyfikatem SSL
Minusy:
- braki formalno-prawne w klauzuli zgody
- domniemana zgoda na przetwarzanie danych osobowych
- brak informacji wymaganych przez ustawę o kodeksie spółek handlowych w automatycznym mailu ze strony www