Awins status som 'Data Controller'
Skrivet av Filip Langewolf på 3 minute read
Ur ett dataskyddsperspektiv måste alla verksamheter avgöra om de är 'data processors' eller 'data controllers'.
I den här artikeln förklarar vi Awins position och vad det innebär för våra annonsörer.
Som en del av förberedelserna inför General Data Protection Regulation (GDPR) måste alla verksamheter överväga i vilken utsträckning de fungerar som data controllers och när de betraktas vara data processors i sin personuppgiftsbehandling.
Konceptet med controllers och processors är i sig inget nytt i och med GDPR, det har däremot blivit mer relevant än tidigare eftersom controllers står inför strängare krav på ansvarsskyldighet. Som en del av vår djupgående bedömning har vi utvärderat vår position i samband med GDPR och sammanfattat de viktigaste punkterna och effekterna på vårt förhållande till våra annonsörer.
Att definiera en data controller
Data Controllers fastställer syftet med behandlingen samt medlen för att uppnå syftet. Genom att definiera syftet motiverar du samtidigt varför behandlingen behöver ske, medan fastställandet av medel motiverar för hur behandlingen kommer att ske. Syftet och medlen kan bestämmas enskilt, eller tillsammans med andra.
Att bestämma syftet - "varför"
De spårningstjänster som Awin tillhandahåller sina partners innebär att syftet med personuppgiftsbehandlingen fastställas av våra annonsörer. Detta eftersom det är annonsörerna som avgör huruvida en kampanj ska köras eller inte när de går med i vårt nätverk. Därför representerar implementeringen av kampanjen det centrala syftet med bearbetandet av de personuppgifter som används för vår spårningsteknik.
Vad gäller driften av affiliatenätverket är det Awin som bestämt den generella ekonomiska modellen i samband med bearbetningen, nämligen arvodet från annonsör till publicist (provision), samt nätverksavgiften till Awin som baseras på en procentsats av provisionen. Följaktligen bestämmer alltså Awin element i syftet med personuppgiftsbehandlingen.
Att bestämma medel - "hur"
När du bestämmer medel eller svarar på frågan ’hur’, behöver du överväga vem som bestämmer de centrala aspekterna av behandlingen. Enligt Artikel 29 Data Protection Working Party Opinion 1/2010 [“the means include both the technical and organisational questions where the decision can be well delegated to processor and the essential elements, which are traditionally and inherently reserved to the determination of the controller, such as “which data shall be processed?”, "for how long shall they be processed?”, “who shall have access to them?”] och så vidare.
Vad gäller spårningen bestämmer Awin centrala delar av medlen för att behandla data. Det här inkluderar de personuppgifter som behandlas för att underlätta Awins spårning. Exempel på dessa är:
• Tracking domain cookies och journey tags
• Device Fingerprinting
Joint Controllers
Som ovan nämnt, kan syftet och medlen bestämmas gemensamt med andra, varigenom de som är inblandade i personuppgiftsbehandlingen kommer att betraktas som ’joint controllers’ under GDPR.
På grund utav Awins förhållande till annonsörerna kommer syftet främst att bestämmas av våra annonsörer, medan medlen i huvudsak kommer att bestämmas av Awin.
Vi anser därför att Awin, inom ramen för vår verksamhet, agerar data controller tillsammans med respektive annonsör.
Vad det här betyder för våra annonsörer
I form av ’joint controllers’ antar vi samma skyldigheter enligt GDPR som våra annonsörer. Det innebär att vi kommer att dela ansvaret för att skydda den information som vi använder för våra spårningsändamål och således omfattas av samma skyldigheter och ansvarstagande inför dataskyddsmyndigheterna.
Det här innebär naturligtvis också att den traditionella ’controller-processor”-modellen inte kommer att tillämpas, istället måste Awin tillsammans med annonsören reglera sitt förhållande som ’joint controllers’.
För att vi ska kunna formalisera det här på bästa sätt, har vi infört en mall för ett avtal gällande personuppgiftsbehandling där vi definierar våra skyldigheter och åtaganden som ’joint controllers’.
Under de kommande veckorna kommer vi därför att granska våra befintliga avtal för personuppgiftsbehandling för att säkerställa att vår nuvarande hållning kommer att vara juridiskt korrekt under GDPR. Vi kommer givetvis att hålla dig uppdaterad med eventuella ändringar under tiden.
Hur är det med publicisterna då?
Awin undersöker fortfarande sin personuppgiftsbehandlingsrelation till publicister och vi kommer att dela med oss av vår utvärdering inom en snar framtid.
Under tiden, om du har några frågor gällande GDPR, kontakta oss här.
Vidare läsning
Information Commissioner’s Office (ICO) i Storbritannien ger några användbara exempel på när ett företag betraktas som ’controller’ och/eller ’processor’ här.