Vägledning för publicister om GDPR och samtycke
Skrivet av Filip Langewolf på 6 minute read
Med endast en månad kvar till GDPR träder i kraft är det viktigt att även publicister är införstådda med sina lagliga skyldigheter.
En punkt i GDPR som har diskuterats flitigt och förmodligen är allmänt känt vid det här laget är ”consent” eller samtycke, och om detta måste erhållas från konsumenter för att kunna fortsätta driva affiliate marketing-aktiviteter.
Därför vill vi ge dig en snabb rundtur i hur samtycke fungerar och vilken position Awin tar. Vi beskriver också åtgärder publicister kan vidta för att uppnå överrensstämmelse med de nya datasekretesslagarna.
Definitioner av samtycke
Det är i första hand viktigt att konstatera att det råder en stor förvirring kring samtycke. Detta beror dels på att det inte finns någon branschöverenskommelse i ämnet, men kanske främst för att det förutom GDPR-samtycke, finns ett samtycke i kontext med det redan befintliga ePrivacy-direktivet (ofta refererat till som The Cookie Directive).
Båda dessa lagar är separata, men de existerar även tillsammans. I det fall dataskydd betraktas som en helhet, tänk på GDPR-förordningen som en allomfattande och bred lag som tar upp alla aspekter av data. ePrivacy är däremot särskilt inriktad på Direct Marketing och funktionerna för online-spårning.
Det finns dock oundvikligen en viss överlappning so uppstår på grund av att cookies ofta innehåller personuppgifter, men det är ett misstag att anta att cookies och personuppgifter är en och samma sak.
För att vara extra tydliga, kommer vi i den här artikeln att referera till:
- Samtycke för användning av cookies enligt ePrivacy-direktivet som Cookie-samtycke
- Samtycke för att behandla personuppgifter under GDPR som Data-samtycke
Även om det finns två typer av samtycke, är det inte nödvändigtvis enklast eller ens nödvändigt att erhålla båda samtidigt. Under GDPR finns det många sätt att lagligt behandla personuppgifter utan att behöva förlita sig på data-samtycke. Det är i själva verket rättvist att säga att data-samtycke är den minst praktiska och mest besvärliga rättsliga grunden för behandling av personuppgifter.
Du kan läsa om de sex rättsliga grunderna för behandling av personuppgifter här.
Enligt ePrivacy-direktivet (2012) krävs alltid cookie-samtycke för att ställa in cookies, såvida inte cookies är strikt nödvändiga för att leverera den tjänst som individen begär. Detta kan betyda att cashbacks och reward-publicister t.ex. inte nödvändigtvis kommer att behöva ett cookie-samtycke för affiliate cookies eftersom affiliate cookies är essentiella för att en cashback eller rewards-baserad typ av tjänst ska fungera.
Data-samtycke under GDPR
Att erhålla data-samtycke är inte helt utan utmaningar. Genom att erhålla det, kan användarupplevelsen on site påverkas negativt och individen kan trots det ändå vägra samtycke.
När personuppgifterna behandlas baserat på data-samtycke ges personen i fråga individuella rättigheter, vilket även i framtiden behöver respekteras. Dessutom måste data-samtycket hanteras och noteras på en viss detaljnivå. Utöver det kan inte tillhandahållandet av en tjänst eller innehåll nekas till konsumenter eller användare eftersom de har vägrat att ge data-samtycke, såvida inte tjänsten helt är beroende av data-samtycke.
Kanske viktigast, för att få ett giltigt data-samtycke behöver personen ha tillräckligt med information för att kunna fatta ett välgrundat beslut.
Det här är anledningen till att Awin använder en annan rättslig grund för att behandla personuppgifter under GDPR, mer känt som legitimt intresse (legitimate interest), vilket innebär att Awin inte kräver data-samtycke från varken publicister eller annonsörer för att lagligt kunna spåra transaktioner.
Detta gäller behandling av personuppgifter när enskilda personer tar sig från publicistens hemsida till annonsörens hemsida via våra domäner, där vi spårar bekräftelsen av transaktionen och den efterföljande rapporteringen som finns tillgänglig i vårt användargränssnitt.
Awin kan legitimt ta sig an den approachen eftersom vi är ett bolag som enbart sysslar med affiliate marketing.
Awin använder personuppgifter för att spåra referrals till annonsörers hemsidor, transaktioner samt den efterföljande rapporteringen, men vi använder aldrig denna data för att:
- Bygga användarprofiler baserade på beteende
- Bygga beteendeprofiler
- Marknadsföra andra ändamål
De ovanstående aktiviteterna tenderar att behöver data-samtycke för att kunna genomföras på ett lagligt sätt. Detta eftersom de uppfattas ha en större inverkan på individens privatliv.
Genom att undvika denna typ av bearbetning kan Awin förlita sig på legitimt intresse för att rättfärdiga sin behandling och således undvika krav på data-samtycke.
ICO definierar legitimt intresse här.
Hur påverkar GDPR cookie-samtycket?
Resultatet blir att det nu är mer invecklat att få ett cookie-samtycke. Den specifika skillnaden är eftersom cookie-samtycket måste vara entydigt, är det osannolikt att den vanliga approachen, underförstått samtycke, är tillräckligt. Cookie-samtycke bör också ges innan cookies är inställda.
För att få till ett giltigt cookie-samtycke enligt den nya samtyckesdefinitionen måste individen göra något för att bekräfta överenskommelsen. Du kanske är bekant med ett växande fokus på universella samtyckesverktyg; en teknik som innebär att användaren får upp ett meddelande som söker tillstånd för att spåra konsumentens aktivitet on site.
Publicister kan därför välja att använda sig av samtyckesverktyg, men samtycke kan också erhållas genom att t.ex. fortsätta navigera på en webbplats genom att klicka på interna eller externa länkar (förutsatt att cookies inte redan är inställda).
Hur skiljer sig cookie-samtycke mot data-samtycke?
Eftersom cookies i sig är mindre komplicerade än alla de saker som kan göras med personuppgifter, är det betydligt enklare att följa den ökade samtyckesstandarden genom att få cookie-samtycke snarare än data-samtycke.
Mängden information som behöver förklaras för individen är betydligt mindre, förpliktelserna är färre, likaså antalet rättigheter som behöver erbjudas till vederbörande.
Överrensstämmelserisken är också avsevärt mycket mindre eftersom de enorma böter som GDPR för med sig inte gäller för cookie-samtycke, till skillnad från data-samtycke som används för cookies.
Trots att lagar som implementerar ePrivacy-direktivet bygger på GDPR för definitionen av samtycke, har de fortfarande sina egna böter och påföljder för bristande efterlevnad.
Hur förändrar det här mitt samarbete med Awin?
Vi inser att, på grund utav denna förändring i definitionen av samtycke, det nu är vanskligare att uppfylla dina existerande skyldigheter. Detta gäller inte er som redan verkar i t.ex. Nederländerna, där man redan tidigare infört krav på att individer ska ger sitt samtycke till cookies.
Cookie-samtycke kommer fortsatt att krävas av Awin för sina publicister att få samtycke både för sig själva och för de cookies som kommer med Awins domän.
Vi kommer också att fortsätta granska publicisters överensstämmelse med dessa krav och be dem att på ett korrekt sätt erhålla cookie-samtycke om vi ser att de inte redan har det.
Awin bestämmer dock inte hur cookie-samtycket bör erhållas.
Awin kommer att erbjuda ett samtyckesverktyg som kan användas för cookie-samtycke, men vi är lika glada om du använder dig av andra samtyckesverktyg, eller erhåller ett giltigt samtycke på andra sätt. Det kommer i de allra flesta fall t.ex. vara tillräckligt att ändra befintliga cookiemeddelanden för att förklara att en person kommer att ge sitt samtycke till en ansluten spårningskanal om de klickar på en extern länk utan att ändra inställningarna för webbläsaren cookie. Awins strategi kommer att följa denna metodik.
Vi vill vara noga med att poängtera att GDPR inte på något sätt är okomplicerat, särskilt inte för de mindre publicisterna, och vi försöker minimera bördorna för våra publicister på alla tillgängliga sätt.
Ett sätt att rättfärdiga vår behandling av personuppgifter är genom legitimt intresse, så att vi inte behöver be publicister att erhålla data-samtycke för oss. Detta är dock inte ett alternativ för cookie-samtycke; om ett företag inte behöver ställa in en cookie för att leverera den tjänst som individen begär, kan inte cookie-samtycke undvikas. Men eftersom cookie-samtycke är tydligare än data-samtycke mot cookies, kan vi åtminstone vara flexibla i metoderna för lagligt cookie-samtycke som är acceptabla för oss.
Vi kommer att fortsätta att ge vägledning för att hjälpa både publicister och annonsörer att förbereda sig inför den 25 maj 2018 samt informera kring vårt samtycketverktyg.
Vi hoppas att du förstår att vi inte på något sätt kan erbjuda juridisk rådgivning.