Hvordan GDPR påvirker cookie politikker

Cookies nævnes kun en gang i EU databeskyttelsesforordningen (GDPR), men konsekvenserne er signifikante for enhver organisation, som bruger dem til at tracke brugeres browsing aktivitet.

Sagsfremstilling 30 af GDPR konstaterer:

Fysiske personer kan være associeret med online identifikatorer […] såsom internet protokol adresser, cookie identifikatorer eller andre identifikatorer […]. Det kan efterlade spor, som, især når kombineret med unikke identifikatorer og anden information modtaget af serverne, kan bruges til at skabe profiler af de fysiske personer og identificere dem.

Kort sagt: når cookies kan identificere et individ via deres apparat, så ses det som persondata.

Det understøtter sagsfremstilling 26, som konstaterer, at enhver form for data, som kan bruges til at identificere et individ enten direkte eller indirekte (om af egen kraft eller i forbindelse med anden information), er persondata.

Hvad det betyder

Ikke alle cookies bruges på en måde, som kan identificere brugere, men størstedelen gør og vil være til genstand for GDPR. Det inkluderer cookies for analyser, reklame og funktionelle tjenesteydelser, såsom survey og chat værktøjer.

For at være konform er organisationer nødt til enten at holde op med at indhente de krænkende cookies eller finde en retsgyldig grund til at indhente og bearbejde den data. De fleste organisationer sætter deres lid til samtykke (enten implicit eller ved fravalg), men GDPRs skærpede krav betyder, at det bliver meget sværere at opnå juridisk samtykke. Konsekvenserne heraf blev diskuteret under konferencen Data Protection Compliance i 2016 og dens konklusioner er beskrevet af Cookie Law:

  • Implicit samtykke er ikke mere nok. Samtykke skal gives med en klar bekræftende handling, såsom at klikke i tilsagns-boks eller vælge indstillinger eller præferencer i en indstillingsmenu. Bare det at besøge en hjemmeside tæller ikke som samtykke.
  • ‘Ved at bruge den hjemmeside accepterer du cookies’-beskeder er ikke mere nok af de samme grunde. Hvis der ikke er et ægte og frit valg, så er det ikke retsgyldigt samtykke. Du skal gøre det muligt at acceptere eller afvise cookies. Det betyder:
  • Det skal være lige så nemt at trække samtykke tilbage, som det er at give den. Hvis organisationer vil bede folk om at blokere cookies, hvis de ikke vil give deres samtykke, så skal de først få dem til at acceptere cookies.
  • Hjemmesider skal have en option til at vælge fra. Selv efter at have fået retsgyldigt samtykke skal hjemmesider give folk mulighed for at skifte mening. Hvis du anmoder om samtykke med tilvalgs-bokse i en indstillingsmenu, så skal brugere altid være i stand til at vende tilbage til den menu for at tilpasse deres præferencer.

At opnå komformitet

Blød tilvalgs-samtykke er nok det bedste samtykke-model ifølge Cookie Law: “Det betyder, at man giver en mulighed for at handle, før cookies er indstillet ved et første besøg på en hjemmeside. Hvis der så er en rimelig advarsel, så kan det at browse videre i de fleste tilfælde udgøre retsgyldigt samtykke via en bekræftende handling.”

Hvis du er ved at finde ud af, hvordan din organisation kan være konform med GDPR, så bør du måske overveje at indskrive dig på vores certificerede EU databeskyttelsesforordning udøver (GDPR) kursus

Kurset hjælper dig med at få en praktisk forståelse for redskaberne og metoderne for at implementere og forvalte en effektiv konformitetsramme. Det fokuserer på, hvordan databeskyttelsesprincipperne fungerer i praksis og på de nødvendige politikker og procedure, du skal have på plads.Det tilbyder også praktisk vejledning om, hvordan at implementere et effektivt privatssfæres- og informationssikkerhedsprogram.

Find ud af mere om vores certificerede EU databeskyttelsesforordning udøver (GDPR) kursus >>

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.