GDPR – samtycke och spårning av personliga uppgifter

GDPR innebär att organisationer och företag måste behålla register över alla personuppgifter, kunna bevisa att samtycke gavs, visa var data går, vad denna data används för och hur den skyddas. Och det gäller alla som behandlar uppgifter om EU-medborgare.

Men vad definierar personuppgifter …? Och hur är PII annorlunda …?

Självklart är namn, adress, telefonuppgifter och så vidare personuppgifter. GDPR gör det dock klart att Personligt Identifierbar Information (PII) också kan betraktas som personuppgifter. PII är data som först kan verka godartade, till exempel besökarens kön, ålder, språk, typ av bil besökaren har, demografisk grupp o s v. Dessa uppgifter i isolerat format skadar inte och identifierar inte en individ. Om man däremot länkar dem och kopplar dem till en besökare på en webbplats som kanske söker efter ett mycket specifikt objekt på en geografisk plats kan man relativt lätt identifiera vem den personen är.

Datatriangulering gör PII till PI (Personlig Information)

Ett fall av hur dåligt handhavande av personliga uppgifter kan ställa till problem var Facebookskandalen i mars 2018. Sedan dess har flera fall av nya skandaler uppdagats, där personliga uppgifter läckt ut till allmänhet.

Enkelt sagt, det finns nog inte en enda kommersiell webbplats som inte samlar in PII på någon nivå. Om inte, vad är meningen med att ha en webbplats? Det förväntas också av användarna/besökarna som standardpraxis, så inget fel med att samla PII i sig. Men som en webbplatsägare (eller DPO – Data Protection Officer – Dataskyddsombud) måste du bestämma och kunna verifiera om samtycke från webbplatsens besökare krävs för att spåra dem. I grund och botten är det helt enkelt inte ett alternativ att inte vidta några åtgärder på denna punkt

Flödesdiagram för samtycke – alternativen

Som du kan se, förutsatt att du handlar med det största enskilda handelsblocket i världen är den stora rutan i mitten avgörande för att du ska fråga om samtycke, eller inte:

VIKTIGT: Observera att “Samtycke Nödvändigt” innebär uttryckligt samtycke, det vill säga besökaren uttryckligen väljer ja, inte förutsatt ja, underförstådd eller antagen. Och det innebär att få samtycke från personer bosatta inom EU innan du spårar dem.

Exemplen på inbyggda skript som skickar spårningsinformation till 3: e part är bara de vanligaste – det finns potentiellt tusentals fler!

Vad gäller för Google Analytics …?

Vi rekommenderar att du begär samtycke att spåra dina besökare som standard. Om du inte gör det ligger ansvaret på dig för att verifiera att samtycke inte krävs genom att granska ALL spårning på ALLA dina sidor (och göra det regelbundet för att bekräfta överensstämmelse). Det är genomförbart, men ett alldeles för komplicerat tillvägagångssätt.

Vår anledning att begära samtycke som standard är att GDPR är tillämplig på din organisation och därmed dess webbplats (er) som helhet. Lagen är inte specifik för något verktyg eller någon teknik som används för spårning. Om du, genom att granska alla potentiella spårningsvägar, kan bekräfta att ingen annan spårning samlar in PII på din webbplats (eller om det finns någon som är kompatibel), är Google Analytics-inställningen följande:

European Union user consent policy

When using Google Analytics Advertising Features, you must also comply with the European Union User Consent Policy.

Tagen från: Policy requirements for Google Analytics Advertising Feature

Vad är annonseringsfunktionerna i Google Analytics?

Dessa inkluderar demografi- och intresserapporter, remarketing med GA och DCM-integration (DoubleClick Campaign Management). Anledningen är att dessa funktioner kräver användning av cookies från tredje part, det vill säga delning av data med andra organisationer än webbplatsen som besöks. Därför konsekvenserna för personlig integritet.

Sammanfattning av Googles råd:
Om du använder dessa annonseringsfunktioner i GA måste du begära ett uttryckligt samtycke. Om du inte använder annonseringsfunktionen, behöver du inte göra det.

Sammanfattning

  1. När det gäller webbplatsdata är GDPR tydligt, eftersom lagen är tillämplig inte bara för personuppgifter, det vill säga de uppenbara typerna: namn, e-postadress etc., det gäller även personligt identifierbar information (PII). Dessa är datapunkter som vid första anblicken framträder godartade men kan kombineras med andra “godartade” data, dvs triangulerade, och kan därför identifiera en individ.
  2. Varje kommersiell webbplats samlar PII på en viss nivå (eventuellt varje webbplats gör), och vår tolkning av GDPR är därför att webbplatsägare begär uttryckligt samtycke från alla EU-besökare – innan spårning börjar.
  3. GDPR är inte specifikt för något verktyg eller teknik. Om du inte kan verifiera att alla spårningsskript är kompatibla eller kan verifiera att det enda spårningssättet på din webbplats är Google Analytics, och om den inte innehåller Googles annonseringsfunktioner, måste du begära spårning från dina besökare.
  4. Även om GDPR är specifikt för EU-medborgare, är det enligt vår mening mycket sannolikt att GDPR kommer att bli en global datastandard. Trots allt har många sagt att data är den nya valutan. Därför, precis som finansmarknaderna, krävs en reglering och verkligen önskas av de allra flesta vanliga människor – inte bara ifrån dem som bor inom EU.

Om du vill läsa mer om hur du kan få hjälp med GDPR för ditt företag, kontakta oss eller läs mer här.