Gästinlägg från Axel Tandberg, Senior Advisor på PrivacyWorks
Vad händer med ett förtroende?
Dagen börjar med en snabb koll av sociala medier – vem har gjort vad, har du missat något? – för att därefter börja jobba.
Genomgång av mailen, släng allt som inte är relevant, jobba!
Äntligen lunch, en promenad för att hitta något att äta, kolla sociala medier medans du äter.
Dagen är slut, en sista koll av mailen innan middag och sedan kanske lite mer sociala medier.
Känns det igen? Någonstans i allt det här vill vi nå ut med vårt budskap till vår kund.
Hur säkerställer du det?
Det finns dels legala krav, dels krav som åläggs oss av vår kund. När det gäller vad som åläggs oss av kunder så gäller följande devis:
Vill du nå ut till en person kräver det i mångt och mycket att denne vet vem du är.
För att detta ska fungera så krävs det att du kan bygga upp ett förtroende hos din motpart.
Hur gör du då detta?
Oftast genom att vara tydlig och transparent. I dagens digitala värld så kan du göra detta på ett enkelt sätt – du ser till att du informerar din kund om vad du avser att göra när du samlar in information och när kunden kommer till din webbplats. Det senare gäller framförallt om hur du informerar om användningen av cookies.
Ur ett rent juridiskt perspektiv så finns det inget krav på att informationen om cookies måste vara uppdelat, utan endast att det krävs ett samtycke för att du ska få lägga en cookie på en användares enhet. Dock ska det vara ett s.k. GDPR-samtycke, vilket innebär att det ska vara:
- frivilligt
- särskilt
- informerat
- aktivt.
Konsekvenser
Låt oss titta lite närmare på detta och vad det har för konsekvenser.
För det första, du måste få individen som besöker din sida att visa att denne samtycker till att du lägger cookies. Än så länge så räcker det med att du har en text som säger ”Genom att du surfar vidare på vår webbplats samtycker du till vår användning av cookies” eller liknande.
Men i många andra länder i vår närhet och inom EU så räcker inte detta längre, då dataskyddsmyndigheterna inte anser att detta är tillräckligt. Så om det är så att din organisation har anpassat webbplatsen till kunder från andra länder, antingen via språklig anpassning (fler språk än svenska) eller om du har en webbadress i landet (exempelvis .dk eller .no) måste man få individen att bekräfta sitt samtycke genom en mer aktiv handling.
Dock räcker det inte längre med att du ber besökarna att kryssa i en ruta där det står ”jag samtycker till att ni får lägga cookies på min enhet” eller liknande. I ett flertal länder inom EU anser många av integritetskyddsmyndighetens motsvarigheter att individen även måste kunna välja vilken sorts cookies som du får lägga på enheten. De enda sortens cookies du då inte behöver be om samtycke för, i detta fall, är de cookies som är nödvändiga för webbplatsens funktion. Men det innebär också att du INTE får lägga en annan sorts cookie INNAN besökaren har samtyckt till detta.
Varför skiljer det sig det då mellan Sverige och andra länder?
Svaret på detta är många andra länder har sett till samtyckeskravet i GDPR samtidigt som man har anpassat praxis till den kommande e-Privacy förordningen (ePR). Inom EUs institutioner så är man ännu inte överens om ePRs utformning och innehåll till 100% och troligen kommer man inte komma överens innan jul. Men det som är helt säkert är att ePR kommer att påverka all elektronisk marknadsföring. Ett exempel är att du kan få liknande regler för hur du får använda dig av elektronisk kommunikation i marknadsföringssyfte – antingen så kan det räcka med att få ett godkännande från en kund eller så kan du behöva få ett samtycke för användningen av varje kanal.
Mer om detta när detta väl är bestämt, men om ni vill ge er ut på den europeiska marknaden redan nu finns det flera företag som kan hjälpa er med de rent tekniska delarna.
Mer om: Dagens cookieanvändning och samtyckeskrav
Låt oss återvända till dagens cookieanvändning och kravet på samtycke. För du måste inhämta ett samtycke innan du lägger en cookie på en användares enhet. Detta innebär till exempel att man inte kan lägga en cookie som kontrollerar varifrån någon kommer, men den informationen måste komma från den webbplatsen som användaren kom ifrån och inte när denne landar hos oss. Gör du något annat så risker din organisations förtroende att skadas.
Att sedan inte alla, utan endast 4/5-delar, av de undersökta organisationerna informerar om hur man använder sig av spårande teknik på sina webbplatser förvånar mig. Transparens skapar tillit!
Förkryssade rutor för samtycken
Om du nu ska titta på rent lagliga krav som åläggs dig när du vill samla in information från vår blivande och existerande kunder så kan du konstatera att knappt 10% av de undersökta webbplatserna bryter mot GDPR genom att ha förkryssade rutor som samlar in samtycken.
En förkryssad ruta tvingar den som inte vill samtycka att agera, men det ska vara tvärtom. Ett av kraven på samtycket är den aktiva handlingen genom vilken individen indikerar att denne samtycker och detta ska vara en handling där man säger ”ja” och inte ”nej”.
Det finns t.o.m. ett domslut i EU-domstolen som som fastställer detta (Planet 49-fallet) där det tyska företaget Planet49 använde sig av en på förhand ikryssad cookie-ruta. Domstolen ansåg att detta inte kunde anses som att vara ett giltigt samtycke då det inte fanns en aktiv handling som indikerar att individen har samtyckt.
En förikryssad ruta, som måste avmarkeras för att vägra medgivande, innebär inte ett sådant aktivt handlande. Då detta var ett så kallat förhandsavgörande som hade begärts av Bundesgerichtshof så beslutade inte EU-domstolen om några sanktioner, utan det fick den tyska domstolen göra. Jag rekommenderar starkt alla organisationer som har förikryssade rutor att upphöra med detta.
Rätten att radera uppgifter
Ett annat lagligt krav är att en individ ska på ett enkelt sätt kunna utöva sina rättigheter som denne har rätt till enligt GDPR. Den mest kända av dessa rättigheter är rätten att radera sina uppgifter hos det insamlande företaget.
Jag måste säga att jag tycker att det är lite chockande att endast knappt 13% av alla organisationer som undersöktes erbjuder denna möjligheten. Kan du tänka dig när media börjar undersöka vilka organisationer som inte erbjuder denna rätten, skulle din organisation nämnas så kommer ditt förtroende att raseras snabbt.
Sedan så ska du veta att rätt till radering inte är absolut i den meningen att man måste radera alla uppgifter direkt, utan det finns skäl för att du ska behålla dem, men du måste erbjuda individen en möjlighet att kunna BEGÄRA att få dem raderade.
Nog med pekpinnar, det finns ändå många organisationer som redan gör rätt och till er andra, använd sunt förnuft så kommer ni också att lyckas med det.
Skulle ni tveka på ert sunda förnuft så är vi många som är redo att hjälpa er att kontrollera det.