Cookies nämns bara en gång i EU General Data Protection Regulation (GDPR), men konsekvenserna är viktiga för alla organisationer som använder dem för att spåra användarnas aktivitet på webbläsare.
Skäl 30 i GDPR anges följande:
Fysiska personer kan vara associerade med online-identifierare […] såsom internet-protokolladresser, cookie-identifierare eller andra identifierare […].Detta kan leda till spår som, i synnerhet när de kombineras med unika identifierare och annan information som mottas av servrarna, kan användas för att skapa fysiska personers profiler och identifiera dem.
Kort sagt: när cookies kan identifiera en person via sin enhet, övervägs dess personliga data.
Detta stöder skäl 26, där det anges att alla uppgifter som kan användas för att identifiera en individ, antingen direkt eller indirekt (antingen ensamt eller i samband med annan information) är personuppgifter.
Vad det innebär
Alla cookies används inte på ett sätt som kan identifiera användare, men majoriteten är och kommer att bli föremål för GDPR.Det här inkluderar cookies för analys, annonsering och funktionstjänster, till exempel undersöknings- och chattverktyg.
För att bli kompatibel måste organisationer antingen sluta samla in de stötande cookies, eller hitta laglig mark för att samla in och bearbeta den data.De flesta organisationer är beroende av samtycke (antingen underförstådda eller bortvalda), men GDPR´s stärkta krav innebär att det blir mycket svårare att få rättsligt samtycke. Konsekvenserna av detta diskuterades under 2016 Data Protection Compliance Conference och dess resultat beskrivet av Cookie Law:
- Implicerat samtycke är inte längre tillräckligt.Samtycke måste ges genom en tydlig bekräftande åtgärd, till exempel att klicka på en inloggningsruta eller välja inställningar eller preferenser på en inställningsmeny.Att endast besöka en webbplats räknas inte som samtycke.
- “Genom att använda den här webbplatsen accepterar du att cookies” meddelanden inte heller är tillräckliga av samma skäl.Om det inte finns något genuint och fritt val, finns det inget giltigt samtycke.Du måste göra det möjligt att både acceptera eller avvisa cookies.Detta innebär:
- Det måste vara lika lätt att återkalla samtycke som det är att ge det.Om organisationer vill säga till personer att blockera cookies om de inte ger sitt samtycke, måste de få dem att acceptera cookies först.
- Webbplatser kommer att tillhandahålla ett bortvalt alternativ.Även efter att ha fått ett giltigt samtycke måste webbplatser ge människor möjlighet att ändra sig.Om du begär samtycke via inloggningsrutor i en inställningsmeny, måste användarna alltid kunna återgå till den menyn för att justera sina inställningar.
Uppnå överensstämmelse
Mjukt invalt samtycke är förmodligen den bästa samtyckes modellen enligt Cookie Law:”Detta innebär att man får möjlighet att agera innan cookies ställs in vid ett första besök på en webbplats. Om det då är ett rättvist meddelande, kan fortsättning att bläddra i de flesta fall vara ett giltigt samtycke via bekräftande åtgärd.”
Om du bestämmer dig för hur din organisation kan uppnå överensstämmelse med GDPR, kanske du vill överväga att registrera dig till vår Certified EU General Data Protection Regulation Practitioner (GDPR) Training Course.
Kursen hjälper dig att få en praktisk förståelse för verktygen och metoderna för att implementera och hantera ett effektivare efterlevnadsramverk.Det fokuserar på hur dataskyddsbestämmelserna fungerar i praktiken och de policyer och förfaranden du behöver införa.Det tillhandahåller också praktisk vägledning om hur man implementerar ett effektivt program för integritet och informationssäkerhetsöverensstämmelse.
