I den allmänna dataskyddsförordningen (GDPR) är kraven för samtycken relativt tydliga:
“den registrerade (internetanvändaren) måste lämna ett frivilligt samtycke för att den personuppgiftsansvariga (webbplatsen) ska kunna börja insamla och behandla hans eller hennes personuppgifter“.
Detta gäller oavsett om datan insamlas via webbplatsens egna cookies (förstapartscookies) eller av andra tjänster (tredjepartscookies).
Ett giltigt samtycke är en frivillig, specifik, informerad och otvetydig viljeyttring från webbplatsens besökare om att du tillåts spara cookies på hans eller hennes enhet (dator/surfplatta/smartphone).
Länk: Vad är GDPR?
Enligt ePrivacy-direktivet (den europeiska cookielagen) måste du inhämta samtycke från dina användare för att använda cookies (det vill säga sätta cookies på deras enheter).
Detta är skälet till att alla dessa cookie-popups med texten “vi använder cookies – ok” började dyka upp över internet.
Eftersom de flesta cookies samlar in och behandlar användarnas personuppgifter omfattade de också av reglerna för samtycke i enlighet med GDPR.
Exempel på tredjepartstjänster som sätter spårnings-cookies (och därför kräver giltigt samtycke):
Länk: Samla data till Google Analytics och annonser utan cookies–
Personuppgifter innebär "varje upplysning som avser en identifierad eller identifierbar fysisk person (en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet".
GDPR article 4
Tittar vi på definitionen i GDPR hittar vi en lista med identifikatorer:
Tittar vi särskilt på online-identifikatorer ger beaktandesats 30 i GDPR denna icke uttömmande lista:
Dessa är identifikatorer som hänvisar till uppgifter som avser en persons verktyg, applikationer eller enheter som datorer, smartphones eller surfplattor. Varje upplysning som kan identifiera en särskild enhet, som fingerprinting, klassas också som online-identifikatorer.
“Men det är inte mina cookies!” Det här är värför GDPR gäller dig.
GDPR gäller alla webbplatser eller appar som insamlar och/eller behandlar EU-medborgares personuppgifter. Detta gäller oavsett om webbplatsen är baserad i eller utanför EU.
Det är webbplatsens ägare, administratör eller företagets dataskyddsombud (DPO) som ansvarar för att se till så att webbplatsen efterlever GDPR avseende den data som insamlas och behandlas med hjälp av cookies.
Webbplatsen är den “personuppgiftsansvariga” och ansvarar därför för att inhämta giltigt samtycke till cookies och databehandling.
Detta gäller även om det inte är webbplatsen som sätter cookies, utan kommer från tredjepartstjänster som Google Analytics, Facebook Pixel, YouTube eller Addthis. Tredjepartstjänsterna är personuppgiftsbiträden.
Länk: Är jag personuppgiftsansvarig eller ett personuppgiftsbiträde?
PRODUKTER