Dette er det andet indlæg i en række blogs, der vil tilbyde GDPR-vejledning til vores kunder og andre hospitality-virksomheder. Denne blog omhandler eventuelle problemer med din hjemmesides cookies.
I vores første blog gav vi et overblik over den generelle databeskyttelsesforordning (GDPR) og dens indvirkning på virksomheder, der opererer inden for EU. GDPR træder i kraft 25. maj 2018 og giver en omfattende ramme for beskyttelse af privatlivets fred, med henblik på personoplysninger fra EU-registeret. Hospitalsvirksomheder indsamler, behandler og opbevarer personlige data på en række måder inden for sine operationer, og det er derfor yderst vigtigt for en virksomhed at bedømme sine operationer bredt for at identificere, hvilke personlige data den indsamler. Det er ligeledes nødvendigt at udføre en analyse af, hvordan nuværende praksis ser ud, i forhold til krav under GDPR.
Med dette i tankerne ser vi nærmere på GDPR, og hvordan det påvirker noget, næsten alle virksomheder tilbyder besøgende: cookies (ikke den slags med chokoladechips og rosiner i). Under GDPR vil de fleste cookies sandsynligvis indsamle “personlige data”, og brug af cookies skal derfor fuldt ud overholde GDPR. Betragtning 30 i den nye lov:
“Fysiske personer kan være forbundet med online-identifikatorer, der leveres af deres enheder, applikationer, værktøjer og protokoller, såsom internetadresser, cookie-identifikatorer eller andre identifikatorer som f.eks. radiofrekvensidentifikationsmærker. Dette kan efterlade spor, der især når de kombineres med unikke identifikatorer og andre oplysninger, som serverne modtager, kan bruges til at oprette fysiske personers profiler og identificere dem. ”
Det er rigtigt, at ikke alle hjemmesiders cookies anvendes på en måde, der fører til at brugere kan identificeres. For eksempel kan Analytics-cookies måske ikke gøre dette, men reklame-cookies, der er placeret ved plug-ins, vil helt sikkert have den funktion. Da de fleste cookies sandsynligvis vil blive underlagt GDPR, mener vi, at den fornuftige tilgang er at behandle alle cookies som krav om overholdelse af den nye lov og udvikling af en ensartet cookiepolitik, der omfatter alle sådanne anvendelser.
GDPR ‘Samtykke’ Model
GDPR introducerer store ændringer i brugerens samtykke model, specifikt kategorierne “Kun information” og “Impliceret samtykke”. Disse modeller er ikke længere kompatible, hvilket betyder at du ikke kan tage brugerens samtykke for givet eller antage, at det er blevet givet. Betragtning 32 præciserer, at samtykke kræver en “klar bekræftende handling” og giver eksempler på, hvad der ville opfylde dette krav:
valg af tekniske indstillinger for informationssamfundstjenester,
når man klikker på en boks på et websted eller
en anden erklæring eller adfærd, der præciserer angivelsen af samtykke
Og GDPR nævner følgende som særligt utilstrækkelige til at etablere samtykke:
Stilhed,
bokse hvor der allerede er blevet klikket, eller
inaktivitet
Dette betyder, at hvis du bruger popup-cookiebokse, skal du tilpasse den måde brugerene afgiver samtykke. Under de nye regler, vil de der besøger din hjemmeside for første gang, ikke betragtes som havende givet samtykke til behandling af besøgendes data, selvom du giver dine besøgende oplysninger som “Ved at bruge dette websted accepterer du cookies”. Dette fremhæves i betragtning 42, hvori det hedder, at samtykke ikke anses for at være “frit givet”, hvis du nægter at levere nogen af dine tjenester, medmindre brugeren samtykker i brugen af deres personoplysninger. Med andre ord, hvis brugere ikke accepterer brugen af deres personlige oplysninger til analyse, bør de stadig kunne bruge dit websted på en eller anden måde.
Websteder, der anvender forskellige typer af cookies til forskellige formål, skal indhente samtykke til ethvert af disse formål. Betragtning 32:
“Når behandlingen har flere formål, bør der gives samtykke til dem alle. Hvis det registrerede samtykke skal gives efter en elektronisk anmodning, skal anmodningen være klar, koncis og ikke unødigt forstyrrende for brugen af den tjeneste, den leveres til”.
Den bedste fremgangsmåde ville være at liste alle dine cookies i afsnittet om beskyttelse af personlige oplysninger på din hjemmeside, så brugerne kan blive bekendt med dem, når de besøger din side. Cookie-samtykkeformularen skal derefter vise alle cookies.
Endeligt er det nødvendigt, at brugerne har mulighed for at trække deres samtykke tilbage på ethvert tidspunkt. Som beskrevet i artikel 8.2 i GDPR bør tilbagekaldelse af samtykke være lige så let som at give samtykke i første omgang. Det betyder, at muligheden for at tilbagekalde samtykke skal være synlig og tilgængelig for besøgende på dit websted til enhver tid.
Global Reach
Det er vigtigt at huske på, at GDPRs rækkevide er global. Mens den nye lov gælder for personoplysninger indsamlet hos registrerede i EU, kan den blotte anvendelse af cookies på et websted fra et firma uden for EU udløse krav til GDPR, hvis en som er registreret i EU besøger webstedet.
Website-cookies er en god ting. På alle måder bør hospitality-virksomheder fortsætte med at bruge dem til at hjælpe deres forretning. Men du skal muligvis tilpasse din cookie ‘opskrift’ lidt, for at sikre de opfylder kravene under GDPR, og at du ikke bliver brændt i processen.
It’s not as catchy as: ‘When is a door not a door?’ (answer, when it’s a jar) but it speaks to the idea that in-car collection, and the technologies that support it, are flexible enough to bend to the needs of a business and its guests.
Delivery can be daunting to the uninitiated, and it might be tempting to sign up with a third-party ordering aggregator that offers the service, such as UberEats, but other options could suit your business and brand better. Here we present three different ‘levels’ of delivery, starting with the most basic – and cheapest method: doing it yourself.
