De rättsliga och affärsmässiga konsekvenserna av att spåra och analysera kunddata

Vad pratar vi om när vi talar om spårning och analys?

I den digitala försäljningens tidsålder är data kung. Om du har personliga, beteendemässiga och demografiska uppgifter om dina kunder kan du fatta datadrivna och kundorienterade beslut i din verksamhet.

Det är här som dataövervakning kommer in i bilden. Genom att spåra dina kunders aktiviteter online kan du bättre förstå dem, förbättra den övergripande kundresan och bättre förstå effekten av dina marknadsföringsinvesteringar. Marknadsföringen är vanligtvis intresserad av publikens storlek, surfbeteende, engagemang och konverteringar.

Kunduppgifter på en aggregerad nivå kan användas till exempel för:

●     Retargeting i dina marknadsföringskanaler

●     Ge din organisation insikter om affärsverksamheten

●     Att göra en tilldelning av marknadsföringskanaler

●     Personlig anpassning av upplevelser på webben och i appar

●     Optimering av konverteringar i kundresor

Cookies är den viktigaste tekniska mekanismen som vi använder för att spåra våra kunder. De är små datafragment som webbplatser placerar på en användares enhet för att komma ihåg information om deras besök och aktivitet. På så sätt kan webbplatsen komma ihåg användarens preferenser, inloggningsstatus och annan information som kan förbättra användarupplevelsen och tillhandahålla riktad reklam. Cookies kan också användas för att spåra användarnas aktiviteter på webbplatsen, t.ex. vilka sidor användaren besöker och vilka länkar de klickar på.

Det finns också alternativ utan cookie för att spåra kunder, främst spårning på serversidan. Det är en metod för att spåra användarnas aktivitet på en webbplats eller app där uppgifterna samlas in och behandlas på servern i stället för i användarens webbläsare via cookies. Med den ökande oron för integritetsfrågorna går allt fler företag i denna riktning. Det gör det möjligt för företagen att behandla data på ett mer ansvarsfullt sätt och förbereda sig för den hotande döden för tredjepartscookies.

Verktyg som används för att spåra kunduppgifter på nätet brukar vara beroende av cookies från tredje part. Marknadsföringsplattformar som Meta, Google och TikTok, liksom CRM- och upplevelseleverantörer som Salesforce, HubSpot och Adobe, spårar beteenden, t.ex. formulärsinlämningar, konverteringar och specifika händelser, främst med hjälp av cookies från tredje part.

När cookies från tredje part försvinner kommer det dock att bli svårare för marknadsföringsplattformar att göra attribuering, och deras algoritmer kommer att ha mycket svårare att avgöra vilken användare som är mest trolig att konvertera, vilket kan undergräva deras affärsmodeller. Även om man aktivt studerar lösningar, kommer detta troligen att få en stor inverkan på den digitala marknadsföringsbranschen som helhet.

Tillsammans med spårning går det att analysera. Google Analytics är det mest populära webbanalysverktyget, men vi har sett utmaningar som Matomo, Piwik PRO och Snowplow dyka upp efter att flera EU-länder beslutat att Google Analytics inte uppfyller kraven i dataskyddsförordningen.

Fondia, vilka rättsliga konsekvenser bör vi ta hänsyn till när vi spårar och analyserar kunddata?

Som anges ovan kan cookies vara ett mycket användbart verktyg när de används i ett legitimt syfte, t.ex. för prestanda eller analys. Cookies och andra liknande spårningsverktyg kan dock allvarligt inkräkta på Internetanvändarnas privatliv genom att spåra användarnas aktiviteter och samla in information som lagras på deras enheter.

Eftersom användningen av cookies ibland innebär ett intrång i användarnas privata sfär måste användningen av dem följa integritetslagstiftningen. Lagar om integritetsskydd i samband med kakor syftar till att säkerställa skyddet av allmänhetens grundläggande rättigheter och friheter när de använder sig av allmänt tillgängliga elektroniska kommunikationsnät. De rättsliga bestämmelser som gäller för cookies gäller således för all lagring av information på en användares enhet samt all åtkomst till information som redan är lagrad på enheten och gäller oavsett om den lagrade eller åtkomliga informationen innehåller personuppgifter.

Detta innebär att enbart användningen av cookies eller liknande spårningsverktyg måste vara förenlig med tillämplig lagstiftning - när cookies används för att samla in information som består av eller innehåller personuppgifter måste behandlingen av dessa personuppgifter dessutom vara förenlig med dataskyddsförordningen.

Vilka principer för dataskydd bör styra spårning och analys av kunduppgifter?

En av huvudprinciperna för personlig integritet är att du inte får samla in fler personuppgifter än vad som är nödvändigt för att uppnå ett specifikt, förutbestämt syfte. Med denna princip i åtanke måste du fråga dig själv varför du behöver behandla uppgifterna om besökarna på din webbplats, vilka uppgifter du behöver samla in och hur länge du behöver behålla uppgifterna. Du får inte börja behandla personuppgifter utan att först ha definierat ett legitimt syfte. Oftast används cookies för tekniska, preferens-, analys- eller marknadsföringsändamål.

En annan princip för dataskydd är att du också behöver en laglig grund för att i efterhand behandla de personuppgifter som erhållits genom cookies, vilket kan skilja sig från det samtycke som krävs för att använda cookies för lagring eller tillgång till information som du måste få från användaren. För det mesta kommer den efterföljande behandlingen att baseras på webbplatsägarens berättigade intresse (t.ex. för att utvärdera prestandan hos sina tjänster och system för deras utveckling eller för att marknadsföra sina produkter), vilket måste bedömas i förväg från fall till fall, eller på användarens samtycke. Om den lagliga grunden för den efterföljande behandlingen är samtycke kan det ges vid samma tidpunkt som kakorna placeras, förutsatt att all nödvändig information ges till webbplatsens besökare.

Så hur kan vi hantera cookies och samtycke i praktiken?

I motsats till vad många tror regleras användningen av cookies inte av GDPR utan av direktivet om integritet och elektronisk kommunikation. Faktum är att cookies knappt nämns i GDPR. Den efterföljande behandlingen av personuppgifter som samlats in med hjälp av cookies måste dock, som vi sett ovan, vara förenlig med GDPR - inklusive att ha en laglig grund.

Direktivet om integritet och elektronisk kommunikation ställer dock flera krav på ägaren av en webbplats eller annan applikation som vill använda cookies, inklusive samtycke till användningen av cookies och huruvida cookies är avsedda att samla in personuppgifter eller inte.

Användarna måste få tydlig och exakt information om användningen och syftet med cookies och de bör ha möjlighet att vägra att få en cookie placerad eller få tillgång till information som lagras i deras terminalutrustning. Att ha möjlighet att säga nej till cookies innebär att användarens samtycke krävs innan några cookies (utom cookies som inte kräver samtycke) placeras eller får tillgång till information på deras utrustning, även om inga personuppgifter kommer att samlas in. I direktivet om integritet och elektronisk kommunikation anges att det samtycke som krävs måste motsvara det samtycke som definieras i dataskyddsförordningen. I GDPR definieras samtycke som ett fritt givet, specifikt, informerat och otvetydigt uttalande eller en tydlig bekräftande handling.

I praktiken innebär detta att:

• Användarna måste få nödvändig information om de cookies som används så snart de ombeds att välja cookies.

• Det måste vara lika lätt att vägra cookies som att acceptera dem (det bör till exempel finnas två knappar, "vägra" och "acceptera").

• Användarna måste informeras om möjligheten att när som helst återkalla sitt samtycke till cookies, och det bör vara lika enkelt som att ge det från början (det bör till exempel finnas en länk till cookiepolicyn som anger hur samtycket kan återkallas längst ner på varje sida på webbplatsen).

• Det inhämtade samtycket ska dokumenteras och sparas.

• Användarna måste få tillgång till och använda webbplatsen även om de vägrar att ta emot kakor.

• Det krävs en tydlig och positiv handling från användarens sida för att signalera sitt samtycke, vilket innebär att en ruta som redan är ikryssad eller en uppgift om att fortsatt rullning på sidan är likvärdigt med samtycke inte är förenligt med reglerna.

• Mörka mönster bör undvikas (till exempel bör knapparna "acceptera" och "vägra" vara av samma storlek).

• Slutligen är det bra att be användarna att förnya sitt samtycke regelbundet, till exempel var sjätte månad.

Det finns två undantag från kravet på samtycke: om kakorna är absolut nödvändiga för att tillhandahålla en tjänst som användaren uttryckligen kräver (t.ex. för att tillhandahålla en chattbot endast när användaren aktivt klickar för att öppna den eller för att hålla reda på vilka varor som lagts i en kundvagn), eller om det rör sig om kakor som enbart används för att genomföra överföringen av en kommunikation över ett nätverk (t.ex. en kaka vars enda syfte är att identifiera en av servrarna). Den franska dataskyddsmyndigheten har i en rekommendation förklarat att cookies som enbart är avsedda för prestanda inte kräver samtycke så länge de endast tjänar till att producera anonyma statistiska uppgifter, inte spårar en person på flera olika domäner och inte överförs av webbplatsägaren till någon annan mottagare.

Vilka risker löper företagen om de inte uppfyller dessa krav?

Beroende på överträdelsen kan en webbplatsägare bryta mot den nationella lagstiftning som genomför direktivet om integritet och elektronisk kommunikation och/eller dataskyddsförordningen, om användningen av cookies innefattar behandling av personuppgifter. Exempel på överträdelser är bristande insamling av samtycke, avsaknad av information om användning av kakor, avsaknad av information om behandling av personuppgifter och avsaknad av laglig grund för behandling av personuppgifter.

Ägare av webbplatser som har konstaterats bryta mot bestämmelserna om skydd av privatlivet riskerar administrativa böter. Ett nyligen genomfört fall gäller TikTok, som av den franska dataskyddsmyndigheten har ålagts ett bötesbelopp på 5 miljoner euro för att ha underlåtit att följa reglerna för samtycke till kakor i december 2022. Myndigheten konstaterade att det inte var lika enkelt att vägra kakor som att acceptera dem på webbplatsen tiktok.com, eftersom det krävdes flera klick för att vägra alla kakor, medan det bara krävdes ett klick för att acceptera dem.

Den europeiska integritetsskyddsgruppen NOYB (grundad av Max Schrems) har nyligen lämnat in 226 klagomål i hela EU mot webbplatser som påstås presentera vilseledande cookie-banners. Europeiska dataskyddsstyrelsen har startat en särskild arbetsgrupp för att samordna svaren från de nationella myndigheter som ansvarar för att tillämpa nationell lagstiftning om kakor. Resultatet av arbetsgruppen offentliggjordes i januari 2023 och ärendena är fortfarande inte avgjorda.

Om du använder cookies som tillhandahålls av en tredje part på din webbplats måste du också tänka på att du måste vara medveten om vilka personuppgifter du lämnar ut till dessa tredje parter. Du kan betraktas som personuppgiftsansvarig för dessa personuppgifter och behöver i så fall ett avtal om databehandling med personuppgiftsbiträdet. Du är fortfarande ansvarig för att få användarnas samtycke till användningen av kakor från tredje part.

Vad kommer härnäst inom dataskyddet?

Eftersom direktivet om integritet och elektronisk kommunikation är från 2002 har Europeiska kommissionen föreslagit en ny förordning om kakor för att ta hänsyn till den tekniska utvecklingen och harmonisera medlemsstaternas nationella lagar som har genomfört direktivet om integritet och elektronisk kommunikation på olika sätt. Den nya ePrivacy-förordningen skulle ha antagits 2018, samtidigt som GDPR, men antagandet har skjutits upp. Den nya e-Privacyförordningen kommer att ha en bredare täckning än e-Privacydirektivet och kommer bland annat att behandla fingeravtryck från webbläsare och skapa strängare skydd för metadata.

Lagen om digitala tjänster, en EU-förordning som antogs 2022, har skapat nya skyldigheter för onlineplattformar, med tonvikt på mycket stora onlineplattformar som har mer än 45 miljoner användare i EU, t.ex. Facebook och Twitter. Lagen om digitala tjänster kräver till exempel att plattformarna ska se till att användarna har fått viss information när de presenteras för annonser, inklusive de viktigaste parametrarna som används för riktade annonser baserade på profilering, till exempel de viktigaste profileringskriterierna som används. Lagen om digitala tjänster kräver också att onlineplattformar förbjuder annonser som bygger på profilering när det innefattar behandling av särskilda kategorier av personuppgifter och annonser som bygger på profilering när användaren är minderårig.

Hur kommer man igång?

Att förstå kundspårning och analys är avgörande för alla företag som vill ge fantastiska upplevelser och sälja effektivt på nätet. Lika viktigt är det att ta hänsyn till kundernas integritet.

Fondias erfarna och kunniga dataskyddsexperter hjälper dig med alla typer av ärenden som rör personuppgiftsbehandling och integritetsskydd. Vi ger bland annat handfasta råd kring efterlevnad av kraven i den allmänna dataskyddsförordningen (GDPR) och ePrivacy-reglerna samt hittar affärsmässiga lösningar på utmaningar inom dataskydd.

Columbia Roads experter hjälper dig att bygga och genomföra en kompatibel och effektiv strategi för digital försäljning.