31 oktober, 2017 credicon

Cookies, spårningsteknik och GDPR – så blir ni redo

NYTT: Så väljer ni CMP (Consent Management Platform)

Det händer mycket inom området cookies och ni som webbplatsägare har ett ansvar att hålla er uppdaterade och följa de regler som finns. Kontakta gärna Credicon för att diskutera era behov. Foto: Christina Branco/Unsplash

Cookies och andra spårningsmetoder

Vad man får och inte får göra när det handlar om cookies och andra spårningsmetoder regleras i Lagen om elektronisk kommunikation (LEK) och delvis även i dataskyddsförordningen, General Data Protection Regulation (GDPR).

Det händer mycket på området cookies, de är inte bara under tryck regulatoriskt, utan även av teknikbolag som till exempel Apple som byggt in blockering av tredjepartscookies i sin webbläsare Safari. Dessutom är en ny förordning från EU, e-Privacy Regulation, på väg att klubbas igenom. När vet vi inte, förordningen har stött på mycket kritik från bland annat publicister som menar att det kan vara slutet på en digital annonsaffär om förordningen antas. Troligen kommer den först 2023.

Trots att det kanske känns rörigt har ni som webbplatsägare ett ansvar att veta vad ni gör när det handlar om cookies och andra spårningsmetoder och att informera era webbplatsbesökare om det.

Föreläsningar och utbildningar

Credicon håller föreläsningar och utbildningar kring bland annat följande områden:

  • Vilken typ av cookies finns det?
  • Vilka regler finns det?
  • När får man använda cookies?
  • Vilka instanser reglerar att reglerna följs?
  • Hur gör andra?
  • Har det utfärdats böter?
  • När måste man ha samtycke?
  • Vilka lösningar för att inhämta samtycke finns det?
  • Finns det någon branschstandard?
  • Vilket CMP (Consent Management Platform) ska vi välja? Läs mer om CMP här.

Inventering och rekommendationer

Credicon gör även inventeringar av vilka cookies och spårningsmetoder ni använder på era webbplatser samt ger rekommendationer kring inhämtning av samtycken, informationstexter och teknisk lösning. Nedan ser ni en checklista på vad ni behöver göra för att få kontroll över er cookiehantering.

Beslutsunderlag vid val av CMP (Consent Management Platform)

Ni har bestämt er för att det är dags att implementera ett CMP (Consent Management Platform) på er webbplats för att följa gällande cookie- och GDPR-regler. Men vilket CMP ska ni välja och vilka krav ska de uppfylla? Credicon hjälper er att välja det system som passar er bäst. Läs mer om CMP här.

Kontakta gärna Credicon för att diskutera era behov.

Så blir ni redo – checklista:

  1. Utse ansvarig/ansvariga och tillsätt en arbetsgrupp
  2. Gör en inventering av vilka cookies ni sätter, vad de gör, om de är nödvändiga, tillfälliga eller permanenta samt förstaparts- eller tredjepartscookies.
  3. Sätt relevanta utgångsdatum för era permanenta cookies.
  4. Dokumentera vilken data ni lämnar till tredje part.
  5. Rensa bort alla onödiga cookies.
  6. Se till att ni har en tydlig, utförlig och lättförståelig information om era cookies och spårningsmetoder på era webbplatser.
  7. Inhämta samtycke i de fall det krävs.
  8. Se till att samtycket följer kraven i GDPR
  9. Dokumentera de cookies och spårningsmetoder ni använder.
  10. Gör årliga revisioner.

GDPR

Den 25 maj 2018 infördes den nya dataskyddsförordningen, också kallad General Data Protection Regulation (GDPR). Den kräver att ni har kontroll på alla personuppgifter ni hanterar och kan kommunicera detta på rätt sätt mot era kunder, leverantörer och anställda.

Min GDPR-guide: Bli redo steg för steg hittar du i Medievärlden Premium

Föreläsningar och utbildningar

Credicon håller föreläsningar och utbildningar kring bland annat följande områden:

  • Vad är GDPR?
  • Vilken instans reglerar att reglerna följs?
  • Vilka är de viktigaste nyheterna i GDPR?
  • Hur ser informationskraven ut?
  • Vad är rättslig grund?
  • Vilka krav finns det på ett samtycke?
  • Vad är en intresseavvägning?
  • Vilka regler finns gällande lagringstid?
  • Vilka rättigheter har den registrerade?
  • När krävs det ett personuppgiftsbiträdesavtal?
  • Vilka måste sätta upp personuppgiftsregister?
  • Vilka måste ha ett dataskyddsombud eller data protection officer, DPO?
  • Vilka krav ställs på säkerheten?
  • Vad gäller för personuppgiftsincidenter?
  • Vad betyder ”privacy by design”?
  • Hur gör andra?
  • Vilka böter har utfärdats?
  • Vad är Schrems II-domen och ur påverkar den oss?

GAP-analyser, personuppgiftsregister och personuppgiftspolicys

Credicon utför även GAP-analyser, inventeringar av vilka personuppgifter ni hanterar, sätter upp register över personuppgifter samt tar fram interna och externa personuppgiftspolicys.

Så blir ni redo – checklista:

  1. Utse ansvarig/ansvariga och tillsätt en arbetsgrupp
  2. Gör en inventering
  3. Identifiera prio-områden
  4. Rensa
  5. Se över säkerheten
  6. Upprätta processer
  7. Ta fram en mall för incidentrapportering
  8. Ta fram en generell extern personuppgiftspolicy
  9. Ta fram en extern personuppgiftspolicy för varje enskilt fall
  10. Skriv avtal med alla personuppgiftsbiträden
  11. Se över anställningsavtalen
  12. Utbilda internt
  13. Ta fram en intern personuppgiftspolicy
  14. Ta fram en strategi för kommunikation mot kund
  15. Tillämpa

Här hittar ni min artikel om GDPR på Medievärlden Premium:
Analys/GDPR-guide: Bli redo steg för steg

Behöver ni hjälp med ert GDPR-arbete är ni välkomna att höra av er.

GDPR – liten FAQ

Vad är dataskyddsförordningen eller General Data Protection Regulation (GDPR)?

GDPR är en EU-förordning vilket innebär att reglerna gäller som lag direkt och på samma sätt i alla EU:s medlemsstater. När förordningen trädde i kraft 2018 ersatte den nationella regler, som den svenska personuppgiftslagen, PUL.

När började GDPR att gälla?

Började tillämpas i Sverige (liksom i övriga EU) den 25 maj 2018.

Varför infördes GDPR?

Tanken är att medborgarnas integritetsskydd ska värnas: de registrerade äger sin data. Den personuppgiftsansvariges ansvar och skyldigheter förtydligas och utökas, och de registrerades rättigheter förstärks. 

Det finns också en tanke om att ta bort handelshinder inom EU (digital single market).

Vilka berörs av GDPR?

Alla organisationer och företag som hanterar personuppgifter om anställda, kunder och leverantörer.

Omfattande förändringar i verksamheten kan krävas som rör:
– Ekonomi
– IT
– Marknad
– HR
– Kommunikation

Vad är en personuppgift?

All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet räknas som en personuppgift. Det kan handla till exempel om bilder utan namn, ip-nummer, kundnummerlistor (om det finns en ”nyckel”), lokaliseringsuppgifter och e-postadresser enligt den vanliga modellen förnamn.efternamn@företag.se

Och, vilka böter kan utfärdas?

Det finns två nivåer av sanktionsavgifter:

  • Upp till 2% av den den globala omsättningen
  • Upp till 4% av den globala omsättningen