När GDPR trädde i kraft den 25 maj 2018 trodde många att det skulle innebära slutet för marknads- och kundkommunikation.
Mycket har förändrats sedan det nya regelverket infördes, men ingenting nytt har tillkommit.
Vi har fått in väldigt många frågor om just GDPR, och hur man bör agera vid vissa tillfällen. Och här nedan kommer svaren:
Q: Vad är status med e-Privacy? Vad kommer att förändras?
A: e-Privacy kommer att göras om från grunden, och det kommer inte att införas än på ett tag. Tanken var att e-PR skulle träda i kraft samtidigt som GDPR, men Europeiska Rådet har inte lyckats komma överens om ett förslag ännu.
Finska ordförandeskapet försökte tvinga fram att deras förslag till en ny version av e-PR skulle tas upp vid nästa beslutande ministermöte inom Europeiska Rådet, men förslaget möttes av en blockerande minoritet när Tyskland, Polen, Tjeckien, Storbritannien, Österrike och Frankrike motsatte sig detta.
Genom att förslaget blockades har arbetet med e-Privacy stannat av och ingen visste riktigt hur de skulle kunna jobba vidare med den nuvarande texten.
Den 3 december 2019 informerade därför den nya Kommissionären för den Inre Marknaden, Thierry Breton, att man istället ska försöka ta fram ett reviderat förslag till e-PR, baserat på det arbete som har gjorts.
Q: Måste man nämna alla cookies som används på hemsidan i sin policy, samt direkt i cookievarningen?
A: Det kan vara bra att gå igenom sin policy en extra gång, för även vi hittade saker som vi nu ändrar på. Bland annat omnämnandet av de cookies som används på triggerbee.com. Bakläxa för oss!
Eftersom GDPR säger att beskrivningarna ska vara informerande och särskilt specifika innebär det att du måste specificera vilka cookies som sätts av tjänsterna du använder, och hur du använder informationen som lagras i dessa cookies.
Det bästa är om du kan dela upp vilka cookies som används i olika områden baserat på dess funktion.
Ex. Annonseringscookies listar du under en rubrik. Personaliseringscookies under en annan rubrik. Webbanalys under en tredje, och så vidare.
Detta gör det enklare för användaren att läsa igenom det.
Q: Efter GDPR, Vilka nya regler gäller?
A: Inga nya regler eller lagar har tillkommit sedan GDPR släpptes 25 maj 2018. GDPR handlar fortfarande om hur personuppgifter lagras samt hur de används efter personuppgiften är insamlad. Man arbetar fortfarande på att göra ändringar i de lagar och förordningar som påverkas av GDPR, och det enda som är på gång inom en snar framtid är ePrivacy Regulation (ePR) som kommer påverka cookies samt hur den elektroniska kommunikationen fungerar. Ingenting har beslutats om ePR ännu, och förslaget är fortfarande under bearbetning. Från början var tanken att GDPR och och EPR skulle kommit på plats samtidigt. Men EPR har blivit rejält försenat och ännu är det oklart när förordningen kan komma på plats.
Q: Vad är cookies?
A: Kakor (cookies) är små textfiler som sparas i din webbläsare när du besöker vissa hemsidor och webbutiker. De används bland annat för att möjliggöra funktioner och ge webbplatsägaren statistik om ditt besök.
Q: Finns det några generella riktlinjer om cookies, och hur de bör användas?
A: Nej, det gör det inte. Post- och Telestyrelsen som är ansvariga för cookieanvändningen anser att det inte finns tillräckligt med underlag för allmänna råd och riktlinjer ännu.
Se nedan citat från PTS egen jurist, Anna Montelius där hon säger:
“– Vi har bedömt att det är fel tidpunkt för allmänna råd. Remissinstanser har haft invändningar mot förslaget, samtidigt som nya regler om dataskydd och personlig integritet införs, nu närmast dataskyddsförordningen som trädde i kraft den 25 maj. Genom en vägledning har vi bättre möjlighet att ge mer detaljerade råd.”
Q: Vilken myndighet är det som ansvarar för hur cookies används?
A: Post och Telestyrelsen är tillsynsmyndighet över bestämmelserna om kakor i lagen (2003:389) om elektronisk kommunikation (LEK). Läs mer här.
Q: Måste man göra om sin cookepolicy inför 2020?
A: Nej. Ingenting är nytt sedan GDPR infördes i slutet av maj 2018. Du behöver inte göra om din cookiepolicy förutsatt att den uppfyller kraven som infördes i samband med GDPR.
Reglerna innebär att alla som besöker en webbplats med kakor ska få tillgång till information om att webbplatsen innehåller kakor och ändamålet med användningen av kakor. Besökaren ska också lämna sitt samtycke till att kakor används.
Q: Måste man lämna godkännande även för cookies?
A: Post och Telestyrelsen har inte kommit med någon ny definition om hur du inhämtar samtycke för cookies, därför räcker det med att samtycka genom att surfa vidare, säger vår expertjurist Axel Tandberg.
Q: Får man använda cookies som inte anses vara “nödvändiga”?
A: Ja. Det finns inga nya ändringar i lagen som säger någonting om huruvida en cookie är nödvändig eller inte. ePrivacy är den förordning som står näst på tur att införas efter GDPR, men förslaget är sedan länge både försenat och är fortfarande under bearbetning.
Q: Måste man i framtiden ge sitt samtycke för alla cookies som används?
A: Det är ett av många förslag som har diskuterats, men ingenting är beslutat. Holland har dock valt att införa och använda det förslaget redan nu, så om du inte har någon affärsverksamhet i Holland så kan du sitta lugnt i båten. Man måste inte lämna ett samtycke för varje individuell cookie som sätts.
Q: Samtycke – får checkrutan vara ikryssad?
A: Nej, detta fastslog EU domstolen i en dom nyligen mot Planet49. Planet49 hade använt sig av en förkryssad ruta för samtycket för cookies och hävdat att genom att man deltog i en tävling så samtyckte man till deras sekretesspolicy. Domstolen höll inte med, utan påpekade att ett samtycke måste vara frivilligt vilket den förkryssade rutan inte ansåg spegla.
Q: Hur gör man om en person inte klickar godkänn på cookiepolicyn?
A: Då måste man se till att cookies inte placeras på dennes enhet. Det är fortfarande inte avgjort om du kan blockera en användare från att få tillgång till din webbplats om denne inte accepterar cookies eller inte. Så, det kan du.
Q: Vad händer när man konstant byter ut och ändrar cookies?
A: Då måste du ha ett nytt samtycke. Ny cookie = nytt samtycke. Samtycket kan, som sagt, ges genom att frivilligt surfa in på sajten.
Q: Måste jag tänka på någonting med Brexit?
A: Tänk på att vara förberedd om Brexit sker. Då måste du flytta din data du har i Storbritannien till ett land inom den Inre Marknaden där GDPR gäller. Storbritannien kommer nämligen att anses vara ett tredje land såsom USA eller Pakistan, trots att de implementerat GDPR.