Logga in

GDPR, ePrivacy & Awin

Skrivet av Filip Langewolf på 28 minute read

GDPR var en unik möjlighet i en generation att ompröva dataskyddslagarna i hela Europa.

Dela

För företag som arbetar inom digitala industrier är det avgörande att de både förstår detaljerna i GDPR och ePrivacy. I denna vitbok försöker vi förklara konsekvenserna för affiliate-marknadsföring och erbjuder praktisk vägledning för publicister och annonsörer.

Awin & the GDPR
GDPR i ett nötskal
Den fullständiga bilden med ePrivacy
Hur påverkar GDPR affiliate marknadsföringsindustrin?
Awins förberedelser för GDPR
Användning av personuppgifter
Konsumentdata
Datakontrollant eller processor?
Men vad gäller nätverk och publicister? Är de processorer eller gemensamma kontrollanter med annonsören?
Hur skiljer sig detta från andra nätverks positioner?
Vilka sekretessarrangemang har Awin?
Legitimt intresse och balanstest
Varför inte samtycka?
Respektera samtycke
ePrivacy-direktivet
Så varför pratar vi om Cookie Consent igen?
Hur påverkar GDPR Cookie-samtycke?
Så hur skiljer sig Cookie Consent och Data Consent åt?
Hur påverkar detta hur publicister och annonsörer arbetar med Awin?
Awins position i ett nötskal
Vad betyder allt detta om jag är en annonsör eller publicist som arbetar med Awin?
Var kan jag få mer information?

Awin & the GDPR

Allmänna dataskyddsförordningen (GDPR) trädde i kraft den 25 maj 2018. Den innebar en betydande förändring av hur personuppgifter regleras i EU, och ersatte en befintlig rättslig ram som inte förutsåg den snabba ökningen av användningen av personuppgifter av företag som har blivit vanligt under de senaste 20 åren eller så.

GDPR innebar en betydande förändring i hur personuppgifter regleras i EU

I upptakten till att GDPR trädde i kraft genomförde varje affiliate marketing-nätverk och SaaS-plattform sin egen due diligence och sökte juridisk vägledning om deras juridiska ställning för databehandling och hur de tror att de passar in i annonsör/publicist-ekosystemet.

Eftersom det inte finns någon konsekvens i hur affiliate-nätverk använder data, finns det fortfarande ingen konsensus, vilket oundvikligen kan skapa förvirring inom branschen. Detta dokument syftar till att skissera logiken bakom Awins position och våra förväntningar på de företag vi samarbetar med.

1.GDPR i ett nötskal

GDPR, inklusive den brittiska GDPR, är utformad för att ge EU / brittiska konsumenter makt och förankra deras rättigheter när det gäller hur deras data används. För digitala industrier tar detta en ökad betydelse eftersom definitionen av vad som anses vara personuppgifter har utvidgats till att inkludera allt som kan särskilja en individ men inte nödvändigtvis är öppet personligt identifierbart. Så, medan en e-postadress uppenbarligen är personlig data, inkluderar omfattningen också pseudonyma identifierare som en IP-adress eller order-ID.

För att bearbeta denna data behöver företag välja en laglig grund, av vilka det finns sex. För vissa aktiviteter är det uppenbart men för många digitala marknadsföringsföretag väljer de vanligtvis antingen 'samtycke' eller 'legitimt intresse'. Mer om dessa senare.

Integritet genom design kräver att företag grundligt omprövar hur de utvecklar nya verktyg och teknologi.

Data minimering kräver att företag endast spårar de data de behöver för att utföra den angivna bearbetningsfunktionen.

Dessutom är anställdas utbildning och tillsättandet av individer som ägnar sig åt verkställighet två viktiga överväganden.

Förutom den juridiska grunden finns det också några grundläggande principer som är förankrade i GDPR.

Om du inte följer reglerna kan det resultera i den ultimata sanktionen; betydande böter.

GDPR är därför omfattande och allomfattande. Men utöver denna lagstiftning bör de befintliga reglerna kring digital marknadsföring, som är förankrade i medlemsstaternas lagar som implementerar ePrivacy-direktivet, också övervägas i detalj.

2.Den fullständiga bilden med ePrivacy

ePrivacy-direktivet (eller ePrivacy kort sagt), ger människor specifika integritetsrättigheter i förhållande till elektronisk kommunikation, det mest betydande området för affiliate-marknadsföring är användningen av cookies och liknande teknologier. I Storbritannien fastställs dessa regler i PECR, Privacy and Electronic Communications Regulations. Här kommer vi att hänvisa till ePrivacy-direktivet för konsekvensens skull.

ePrivacy-direktivet kompletterar allmänna dataskyddslagar och anger mer specifika integritetsrättigheter för elektronisk kommunikation. Det finns en komplexitet i att förstå vad ePrivacy innebär för Awin och alla företag som verkar inom EU, vilket härrör från lagens natur.

Medan GDPR, som namnet antyder, är en förordning och som sådan direkt tillämplig som den är, är ePrivacy i sin nuvarande form endast ett direktiv, vilket lämnar genomförandet upp till medlemsstaterna. Den slutliga texten i ePrivacy-lagen har således bestämts av de enskilda medlemsstaterna och som ett resultat är kraven kring cookies (och liknande teknologier) föremål för olika krav i hela Europa.

Därför, även om GDPR är universellt antaget, är ePrivacy föremål för lokal tolkning.

Den här juridiska osäkerheten kommer att lösas när den länge väntade ePrivacy-förordningen träder i kraft, fram till dess måste dock företag som verkar i flera jurisdiktioner överväga att söka lokal vägledning för att säkerställa efterlevnad.

GDPR och ePrivacy kan inte tolkas isolerat.

För att lägga till ytterligare ett lager av förvirring kan GDPR och ePrivacy inte tolkas isolerat. I vissa jurisdiktioner kan ePrivacy kräva GDPR-nivå på samtycke för cookies (oavsett om personuppgifter samlas in genom den cookien eller inte). Vi har försökt att göra en tydlig distinktion mellan de två när vi behandlar data samtycke och cookie samtycke nedan.

Därför, även om denna vägledning är avsedd att hantera GDPR:s inverkan på affiliate-marknadsföring, kommer vi också att hänvisa till ePrivacy för att hantera dataskyddsreglering i sin helhet.

3.Hur påverkar GDPR affiliate marknadsföringsindustrin?

GDPR:s ökade omfattning och tillämpning på typer av personuppgifter innebar att, beroende på sammanhanget, vissa typer av data som tidigare kan ha varit oreglerade av sekretesslagar, blev föremål för reglering. Detta inkluderar enhets-ID, cashback-medlems-ID, kundreferensnummer och andra tekniska identifierare. Dessutom ställer GDPR strängare krav på att erhålla användares samtycke för behandling av personuppgifter.

Det är viktigt att notera att i dess renaste form och i relation till Awins specifika tjänster, är karaktären på den personliga data som behandlas för affiliate-marknadsföring icke-känslig och till stor del teknisk.

Jämför kanalen med andra som använder personuppgifter för att bygga konsumentprofiler att rikta in sig på genom annonser; typiskt sett engagerar sig inte affiliatemarknadsföring med remarketing eller programmatiska tekniker.

Men, vissa varumärken kommer att arbeta med Affiliates som driver denna typ av aktivitet på en CPA-basis genom affiliate-kanalen och i vissa fall beteendebaserad reklam och annan prestationsbaserad marknadsföring, vilket i stor utsträckning är beroende av användarprofilering för att skicka riktad reklam, är föremål för större regulatoriska skyldigheter.

Vissa andra affiliate-nätverk använder data genererad av affiliates för att bygga profiler för personalisering och remarketing-tjänster. Därför kan de känna att de behöver en annan laglig grund än legitimt intresse för att göra det, vilket i sin tur medför olika regulatoriska skyldigheter som affiliates måste följa.

Därför kommer publicister oundvikligen att hamna i en situation där ett nätverks skyldigheter skiljer sig från ett annat. När GDPR först trädde i kraft i mars 2018 försökte affiliate-nätverk, ledda av Awin, skapa en branschkonsensus genom att träffas för att komma överens om en konsekvent strategi. Även om detta inte var möjligt, gick alla deltagare med på att sätta sitt namn till ett branschuttalande.

Awins rekommendation för publicister är att kontakta alla nätverk de arbetar med och vara tydliga med vad dessa nätverks integritetskrav är och varför.

4.wins förberedelser för GDPR

En av de största effekterna av GDPR var att alla företag tvingades granska sin användning av personuppgifter i sammanhanget av omfattningen, principerna och rättigheterna som GDPR ger. Awin genomförde denna bedömning i samband med en detaljerad Sekretesspåverkanbedömning (PIA). Awin's PIA har flera mål, bland annat att:

  1. Skapa en detaljerad översikt över all data som samlats in under Awins spårningsaktiviteter
  2. Bedöm om Awin agerar som en kontrollant eller processor i förhållande till dessa data
  3. Bedöm syftet och den rättsliga grunden för varje bearbetningsaktivitet
  4. Genomför en 'balanstest' där legitimt intresse har identifierats som den rättsliga grunden för behandlingen.*
  5. Identifiera de skyddsåtgärder som är nödvändiga för att skydda datan
  6. Minimera användningen av personuppgifter så mycket som möjligt

*Detta test används för att bedöma om Awins antaganden vid valet av legitimt intresse är giltiga.

In interpreting Awin’s position under the GDPR, it is important to understand how Awin processes personal data and what impact that has on the privacy of the individuals.

5.Användning av personuppgifter

I sin vanliga verksamhet behandlar Awin data om följande kategorier av individer:

  1. Awin personnel Publicist, annonsör och leverantörspersonal
  2. Publicister där publicisten är en individ
  3. Konsumenter vars köp spåras av Awin

För ändamålen med detta dokument kommer vi endast att detaljera spårningsaktiviteten genom vilken personuppgifter behandlas med avseende på konsumenter. Detta beror på att alla andra bearbetningsaktiviteter endast utförs för att administrera verksamheten och, enligt regleringsriktlinjer, anses sådana data osannolikt att resultera i en hög risk för individer.

6. Konsumentdata

Awin använder främst konsumentdata för spårning. Spårning gör att Awin kan förstå en konsumentens online-resa över specifika webbplatser som gjorts efter att ha sett eller klickat på en annons. Syftet med spårning är att tillskriva försäljning och marknadsföringsinsats av en publicist till en specifik transaktion, för att möjliggöra för annonsörer att belöna publicister på en per transaktion basis. Spårning gör också att Awin kan tillhandahålla publicister och annonsörer med relaterade rapporter.

Cross Device Tracking gör det möjligt för Awin att förstå en konsumentresa när den börjar på en enhet, med en transaktion som slutförs på en annan.

För att utföra spårning använder Awin spårningsdomänkakor, resa-taggar och enhetsfingeravtryck. Här är en kort förklaring av hur dessa teknologier fungerar:

  • Spårningsdomänens cookies:Kakor som serveras av Awin-domänen när en konsument klickar på en annons som visas på en publicisttjänst.
  • Reseetiketter: JavaScript-kod integrerad i annonsörens webbplats, för att möjliggöra för Awin att ta emot transaktionsinformation.
  • Enhetens fingeravtryck: Metod genom vilken Awin kan identifiera en enhet unikt genom att överväga vissa attribut (inkl. skärmstorlek/upplösning och användarkonfigurationer).

Cross Device Tracking använder sig av spårningsdomänens cookies och res-taggen på samma sätt och för samma ändamål som spårning. Dessutom utvecklar Cross Device Tracking pseudonyma konsumentprofiler, som sedan används för att matcha flera enheter till en enda konsument.

All data Awin använder för spårning är pseudonym, icke-känslig, till stor del teknisk och inte relaterad till beteende, eller förutsägelser eller bedömningar av konsumentintresse eller personligheter.

7.Datakontrollant eller processor?

Varje företag som hanterar data måste bestämma vilken roll de spelar i bearbetningen av den datan.

Detta är en viktig övervägning eftersom det finns olika konsekvenser baserat på den roll som spelats. Att bestämma om du är en 'kontrollant' eller 'bearbetare' av data är logiskt kopplat till vad du gör med den spårade datan och de beslut du fattar om den.

Du kommer att vara en kontrollant om du bestämmer:

  • Varför data bör bearbetas; och/eller
  • Hur det bör bearbetas för att uppnå det avsedda syftet.

Processorer, å andra sidan, bestämmer aldrig varför de ska bearbeta data, de lämnar detta till kontrollanten som har instruerat dem. Processorer kan fatta begränsade beslut om hur de ska gå tillväga för att bearbeta data för de ändamål som bestämts av kontrollanten, men dessa kan endast vara 'icke-väsentliga' beslut.

Detta innebär att väsentliga beslut alltid bör lämnas till kontrollanten, inklusive beslut om vilka data som ska bearbetas för att uppnå kontrollantens syfte eller det ekonomiska modellen för det eftersträvade syftet.

Det viktigaste att komma ihåg är att rollerna tilldelas baserat på fakta.

Det är inte möjligt att ingå ett avtal som säger, till exempel, "X kommer att vara kontrollant, Y kommer att vara behandlare", om, faktiskt, Y har fattat beslut om vilka data som ska bearbetas för X:s ändamål; i detta fall kommer Y att hamna i rollen som gemensam kontrollant tillsammans med X. Om Y bestämmer sig för att bearbeta data för sina egna ändamål, kommer de att vara en ensam kontrollant för det nya ändamålet.

I affiliate marknadsföring är annonsören alltid en kontrollant eftersom endast annonsören kan bestämma 'varför' att bearbeta data; endast annonsören kan bestämma, till exempel "Låt oss göra lite marknadsföring online och betala provisioner på en CPA-basis".

8. Men vad gäller nätverk och publicister? Är de processorer eller gemensamma kontrollanter med annonsören?

Awins ståndpunkt är att Awin är en gemensam kontrollant tillsammans med annonsören och publicisterna. Det finns faktiskt ett gemensamt kontrollantförhållande mellan alla tre parter.

Awin har bestämt den ekonomiska modellen, och både Awin och publicister bestämmer vilka data som ska bearbetas

Detta beror på hur transaktioner spåras, frågas och rapporteras.

Vi anser att denna slutsats är den enda som korrekt återspeglar hur saker fungerar i praktiken.

Om, låt oss säga, Awin eller publicister skulle försöka arbeta inom ramarna för en databehandlares roll, skulle de behöva få varje ny databehandling godkänd av varje respektive annonsör i förväg varje gång. De kan inte fatta dessa beslut själva; detta verkar både opraktiskt och ogenomförbart.

9. Hur skiljer sig detta från andra nätverks positioner?

Vissa nätverk har valt en data processor position vilket innebär att de inte behöver fastställa en laglig grund för databehandling och därför inte kan fastställa en laglig grund för sina publicister.

De kan välja att säkerställa att annonsörer engagerar publicister direkt för att säkerställa att de inte är ansvariga för eventuella dataintrång av en publicist, och tar bort sig själva direkt från publicist/annonsör-relationen.

En av de extra utmaningarna med att vara en databehandlare är den potentiella påverkan på din förmåga att fatta beslut om framtida utveckling av dina tjänster och teknologi.

Till exempel skulle Awin behöva informera annonsörer om vi ingick ett databehandlingsavtal med dem, att de inte skulle kunna använda buggfixar, uppdateringar, uppgraderingar eller ytterligare funktioner i Awins produkter eller tjänster förrän annonsören instruerade Awin skriftligen att göra det.

Det är viktigt att komma ihåg att Awins tolkning av processor-/kontrollerpositionen skiljer sig från andra nätverk. Efter att ha sökt juridisk rådgivning är vi säkra på att vår position återspeglar den korrekta statusen.

I huvudsak tror vi att följande uttalanden skisserar vår kontrollantposition:

  1. Annonsörer bestämmer inte vad de ska spåra. De väljer ett nätverk, men nätverket bestämmer hur deras teknik fungerar och vilka data som används. Utan denna status skulle ett nätverk aldrig kunna iterera någon ny teknik utan att få ett nytt processoravtal från varje partner.
  2. Nätverk bestämmer den ekonomiska modellen.

  3. Nätverk instruerar annonsörer, som att tala om för dem att hålla spårningen igång.

Direktmarknadsföring kan göras med en enda bit data (som en e-postadress). Detta gör det möjligt för en kontrollant att säga till processorn/direktmarknadsföringsföretaget, "skicka e-post till denna lista med e-postadresser". Affiliatemarknadsföring är mer komplex, vilket gör det ogenomförbart att säkerställa att annonsören ger alla instruktioner till alla sina affiliates.

10.Vilka sekretessarrangemang har Awin?

Som gemensamma kontrollanter måste de respektive parterna ingå i en överenskommelse där alla aktörers roller och ansvar definieras. Till skillnad från databehandlingsavtal där en part agerar som kontrollant och den andra parten som en processor, har parterna mer frihet att bestämma formen och innehållet i överenskommelsen och behöver inte inkludera GDPR-nivåns skyldigheter för en processor.

För annonsörer tillhandahåller Awin ett tillägg till annonsörsavtalet som gemensam kontrollant för databehandling, som specifikt behandlar den databehandling som krävs för Awins tjänster.

För publicister innehåller databehandlingsvillkoren i bilagorna till vårt standardavtal för publicister så att vi är tydliga med vilken part som är ansvarig för vad. Dessa villkor täcker till exempel hur Awin och publicister kommer att hantera förfrågningar från konsumenter om data, eller hur de kommer att hantera ett dataintrång om detta skulle hända.

Genom att göra dessa ansvarsområden tydliga, hjälper det till att förhindra att annonsörer, publicister och Awin blir ansvariga för varandras överträdelser av GDPR.

Det innebär också att, som en kontrollant, kommer publicister att behöva följa fler av GDPR:s skyldigheter. Alla inblandade parter behöver dock redan göra detta när de behandlar data för sina egna ändamål. Konsekvensen är att de nu också kommer att behöva tillämpa dessa skyldigheter på de data som behandlas när de levererar kunder till en annonsör.

Den stora fördelen är att på Awin-nätverket, om det görs i enlighet med GDPR och relevanta avtal eller villkor, kan parterna själva bestämma hur de ska behandla data. Vi tror starkt på att detta är fallet ändå och myndigheterna skulle betrakta oss som gemensamma kontrollanter. Genom att skapa ett kontraktligt åtagande som matchar den faktiska verkligheten, bör alla vara klara över vilka skyldigheter de bör anta enligt GDPR.

Slutligen, när vi bestämde vår position övervägde vi vilka data som myndigheterna troligen kommer att kategorisera Awin och dess annonsörer och publicister som.

11. Legitimt intresse och balanstest

Som en kontrollant är Awin skyldig att motivera behandlingen av personuppgifter innan den kommer att anses vara laglig. Det finns sex lagliga grunder under vilka detta kan göras:

  • Samtycke

  • Kontrakt
  • Legal åtagande
  • Vitalt intresse

  • Offentlig uppgift

  • Legitimt intresse

När Awins legitima intresse bedömdes, togs hela affiliate-ekosystemets intressen i beaktande.

Ett balanstest utfördes sedan där det bekräftades att spårning medför en mycket låg risk för otillbörlig negativ påverkan på de registrerades intressen eller grundläggande rättigheter och friheter.

Detta innebär att Awin inte kommer att vara beroende av individuellt samtycke som den rättsliga grunden för behandlingen av personuppgifter enligt GDPR, som en del av sina spårningstjänster.

12. Varför inte samtycka?

Det är först och främst viktigt att påpeka att det fortfarande råder stor förvirring kring samtycke.

Detta beror delvis på att det inte finns någon branschöverenskommelse om ämnet, men främst för att det, vid sidan av GDPR-samtycke, också finns samtycke relaterat till det befintliga ePrivacy-direktivet.

Dessa lagar är separata men existerar också samtidigt. I dataskyddssammanhang, tänk på GDPR som bred och allomfattande på alla aspekter av personuppgiftsreglering. ePrivacy å andra sidan handlar specifikt om direktmarknadsföring och funktioner för online-spårning, såsom användning av cookies eller liknande teknologier.

Oundvikligen uppstår det viss överlappning eftersom cookies ofta innehåller personuppgifter, men det är ett misstag att anta att cookies och personuppgifter är samma sak.

Enligt GDPR finns det gott om sätt att lagligt behandla personuppgifter utan att förlita sig på datamedgivande och faktum är att datamedgivande är den minst bekväma och mest betungande rättsliga grunden för databehandling.

Enligt ePrivacy-direktivet krävs alltid samtycke för att ställa in cookies, alltid krävs, om inte cookies är strikt nödvändiga för att leverera en tjänst som begärs av individen. Så, cashback och belöningspublicister, till exempel, kanske inte behöver samtycke för affiliate-cookies eftersom affiliate-cookies är nödvändiga för att en cashback- eller belöningsbaserad typ av tjänst ska fungera.

Att få samtycke till datainsamling är inte utan sina utmaningar. I och med detta kan användarens upplevelse på platsen påverkas negativt och individen kan ändå vägra att ge sitt samtycke.

När personuppgifter behandlas baserat på datamedgivande, ges individen större datarättigheter, vilka måste respekteras i framtiden. Dessutom måste datamedgivandet hanteras och registreras på en viss detaljnivå. Dessutom kan en tjänst eller innehåll inte nekas till konsumenter och användare eftersom de har vägrat att ge datamedgivande, såvida inte tjänsten beror på det datamedgivandet.

Kanske viktigast av allt, för att få giltigt samtycke till data, måste individen ges tillräckligt med information för att kunna fatta ett informerat beslut.

Eftersom Awin är ett affiliatenätverk använder vi begränsad personlig data för att spåra hänvisningar till annonsörswebbplatser, de efterföljande transaktionerna och vår rapportering, men vi återanvänder aldrig denna data för att bygga beteendemässiga användarprofiler eller för andra marknadsföringsändamål. Vi samlar heller inte in någon annan data för:

  1. Bygger beteendemässiga användarprofiler
  2. Beteendemässig inriktning
  3. Marknadsföring för alla andra ändamål

För att genomföras lagligt tenderar dessa typer av bearbetning att kräva ett datamedgivande eftersom de uppfattas ha en större inverkan på individers integritet. Genom att undvika denna typ av bearbetning kan Awin förlita sig på legitimt intresse för att motivera sin bearbetning och undvika krav på datamedgivande från publicister eller annonsörer för att lagligt spåra transaktioner.

Detta gäller behandlingen av personuppgifter när individer reser från publicistens webbplats till annonsörens webbplatser, via våra domäner, spårar bekräftelsen av transaktionen och den efterföljande rapporteringen tillgänglig i användargränssnittet.

13. Respektera samtycket

Det är viktigt att överväga att om en kontrollant väljer samtycke som en laglig grund kanske de inte kan använda en annan laglig grund om samtycke visar sig vara problematiskt att erhålla.

Enligt riktlinjerna från arbetsgruppen för artikel 29 om samtycke enligt förordning 2016/679:

Om samtycke väljs som en laglig grund för någon del av behandlingen, måste kontrollanten respektera det och stoppa den delen av behandlingen om en individ drar tillbaka sitt samtycke.

Det tillägger: "Att skicka ut budskapet att data kommer att behandlas på grundval av samtycke, medan faktiskt någon annan laglig grund används, skulle vara grundläggande orättvist mot individer. Med andra ord kan kontrollanten inte byta från samtycke till andra lagliga grunder. Till exempel är det inte tillåtet att i efterhand använda den legitima intressegrunden för att rättfärdiga behandling, där problem har uppstått med giltigheten av samtycket."

På grund av behovet av att i förväg avslöja en rättslig grund måste en kontrollant bestämma i förväg vilken av de sex grunderna som ska antas.

14. ePrivacy-direktivet

Sedan ePrivacy-direktivet implementerades i nationella lagar över hela EU, krävs det att alla inhämtar samtycke för cookies när de ställer in cookies.

Awin har sedan 2012 krävt att publicister ska inhämta samtycke för cookies enligt våra avtal med publicister. Detta är för att säkerställa att publicister följer dessa regler, men också för att inhämta samtycke för Awins cookies, på Awins vägnar. Detta är typiskt för nätverk som vårt, som inte har en naturlig eller bekväm möjlighet att engagera individer för att inhämta samtycke för cookies.

15. Så varför pratar vi om Cookie-samtycke igen?

Samtycke till cookies har åter hamnat under diskussion de senaste åren eftersom, i de flesta EU-medlemsstater, lagar som implementerar ePrivacy-direktivet baserades på definitionen av samtycke i lokala datalagar för definitionen av samtycke till cookies.

Så, när GDPR ersatte lokala datalagar, ersattes också definitionen som används för samtycke till cookies.

Det är betydande eftersom standarden för samtycke som krävs för GDPR är högre än enligt vissa tidigare lokala datalagar och detta har ytterligare klargjorts i rättspraxis och i vägledning som utfärdats sedan GDPR trädde i kraft.

16. Hur påverkar GDPR samtycke till cookies?

Slutsatsen är att det nu är mer komplicerat att få samtycke till cookies. Den specifika skillnaden är att, eftersom samtycke till cookies måste vara entydigt, är den vanliga metoden att använda underförstått samtycke inte tillräcklig. Samtycke till cookies bör också ges innan cookies ställs in.

För att få ett giltigt samtycke till cookies enligt den nya definitionen av samtycke, måste individen göra något aktivt för att visa sitt godkännande. Du är säkert bekant med universella samtyckesverktyg eller samtyckeshanteringsplattformar (CMPs); teknik som visar upp ett meddelande när en användare kommer till en webbplats och söker tillstånd att spåra den konsumentens aktivitet på platsen.

De flesta webbplatsoperatörer, inklusive publicister och annonsörer, använder sådana samtyckesverktyg för att få samtycke till de cookies som serveras på deras webbplats, inklusive Awins cookies när man arbetar på Awin-plattformen.

17. Så hur skiljer sig Cookie Consent och Data Consent åt?

Eftersom cookies i grunden är mindre komplicerade än allt som kan göras med personuppgifter, är det mycket enklare att följa de ökade samtyckesstandarderna när man inhämtar samtycke för cookies än när man inhämtar samtycke för data.

Detta beror på att det finns mindre att förklara för individen, färre skyldigheter att föra register och färre ytterligare rättigheter att erbjuda individen.

Även efterlevnadsrisken är lägre, eftersom de enorma böterna som GDPR medför inte gäller för samtycke till cookies, till skillnad från datamedgivanden som används för cookies.

Även om lagar som implementerar ePrivacy-direktivet förlitar sig på GDPR för definitionen av samtycke, har de fortfarande sina egna böter och straff för icke-efterlevnad.

18. Hur påverkar detta hur publicister och annonsörer arbetar med Awin?

Att erhålla samtycke för cookies fortsätter att vara nödvändigt för Awin för dess publicister och annonsörer, både för att erhålla samtycke för sina egna cookies och för Awins cookies.

Vi granskar också publicisters och annonsörers efterlevnad av dessa krav och ber dem att korrekt inhämta samtycke för cookies om det verkar som att de inte gör det.

Men Awin kräver inte hur samtycke till cookies måste erhållas.

Awin erbjuder ett samtyckesverktyg som kan användas för cookie-samtycke, men vi är också glada för publicister och annonsörer att använda andra samtyckesverktyg, eller att erhålla giltigt samtycke på andra sätt.

Vi erkänner att GDPR inte är enkel, särskilt för mindre publicister eller annonsörer, och vi försöker minimera bördan av efterlevnad för våra partners på alla möjliga sätt.

Ett sätt är att motivera vår databehandling baserat på legitimt intresse, så vi behöver inte be publicister eller annonsörer att inhämta något data samtycke för oss. Detta är inte ett alternativ för cookie-samtycke; om en webbplatsoperatör inte behöver ställa in cookien för att leverera en tjänst som begärts av en individ, kan cookie-samtycke inte undvikas.

19 Awins position i ett nötskall

Awin är en gemensam kontrollant med annonsörer och de flesta publicister.

Detta eliminerar behovet av att underteckna databehandlingsavtal.

Det ger nätverket flexibiliteten att utveckla ny teknik och bestämma grunden för framtida teknikuppgraderingar och utgåvor.

Awin använder legitimt intresse som en laglig grund för att behandla data.

Awin kräver inte att dess partner söker samtycke för GDPR.

Awin kräver att alla annonsörer och publicister söker giltigt samtycke till cookies i enlighet med tillämpliga datalagar.

Publicister och annonsörer är fria att inhämta samtycke på det sätt de anser lämpligt, men Awin erbjuder ett lättinstallerat samtyckesverktyg.

20. Vad innebär allt detta om jag är en annonsör eller publicist som arbetar med Awin?

Som ett företag som verkar under GDPR har du vissa skyldigheter som en kontrollant. Dessutom, när du arbetar med Awin har du vissa uppgifter för att säkerställa att affiliate-spårning sker lagligt på din webbplats. Vi har skapat en checklista över de viktigaste sakerna att överväga:

  • Kontrollera om du behöver registrera dig hos din lokala dataskyddsmyndighet;
  • Uppdatera dina villkor och sekretesspolicy om det behövs;
  • Inled avtal eller arrangemang med alla tredje parter med vilka du behandlar data;
  • Se till att du har kontaktinformation där individer kan kontakta dig med frågor relaterade till integritet;
  • Se till att du har en laglig grund för alla bearbetningsaktiviteter;
  • Samla in samtycke för cookies där ePrivacy kräver att du gör det och se till att ditt samtyckesmekanism täcker alla dina aktiviteter.

21. Var kan jag få veta mer?

Awin har ett GDPR-center, som finns här.

Awins vanliga frågor om dataskydd och säkerhet

Under de senaste åren har vi sett en stadig ökning av antalet frågor vi får kring våra datahanteringsaktiviteter. Frågorna varierar från överensstämmelse med GDPR till mer tekniska frågor om datasäkerhet. Nedan har vi listat de vanligaste frågorna från både annonsörer och publicister.

Är Awin GDPR-kompatibel?

Som ett företag med huvudkontor och verksamhet i Europa och som dagligen hanterar personuppgifter, är efterlevnad av GDPR kärnan i Awins verksamhet. Awin har genomgått en integritetskonsekvensbedömning för att säkerställa efterlevnad av GDPR och har infört ett antal skyddsåtgärder för att säkerställa fortsatt efterlevnad. Awin övervakar kontinuerligt juridisk vägledning och beslut och är engagerade i att säkerställa att alla dess verksamheter förblir förenliga med eventuella utvecklingar.

Gör du har en utsedd dataskyddsombud? Hur kan vi nå dem?

Ja, Awin har utsett en dataskyddsombud. Du kan nå DPO på global-privacy@awin.com.

Vilka personuppgifter samlar du in, lagrar eller bearbetar i samband med spårning?

Data som Awin använder för spårning är pseudonym, icke-känslig, till stor del teknisk och inte relaterad till beteende, eller förutsägelser eller bedömningar av konsumentintresse eller personligheter.

En spårningskaka skulle till exempel samla in följande data:

  • Datum för kakor

  • Utgångsdatum för cookie

  • IP-adress (förkortad)

  • IP Hash
  • GeoIP
  • Annonsörens ID
  • Publicist-ID
  • Banner-ID
  • Grupp-ID
  • Produkt-ID

  • Klicka/Nätverksreferens

  • Hänvisare

  • Överskriven publicist-ID

  • Plattform


Samlar Awin in någon känslig personlig information?

Nej, Awin samlar inte in någon känslig data under spårningen eller administrationen av sin verksamhet med annonsörer, publicister och leverantörer. Awin kan samla in känslig data om sina anställda där det krävs enligt lag.

Vilket är flödet av data som Awin spårar?

Var lagrar du fysiskt denna data?

Inom EU/Storbritannien.

För att vara värd för applikationen och datan, använder du tjänsterna hos en värd eller en molnleverantör?

Ja, Equinix (London/Slough) som är våra samlokalisera datacenter. Molnleverantörer: AWS (Irland och Frankfurt, Tyskland) och Azure (Amsterdam).

Hur länge lagrar ni datan? Har ni processer på plats för att automatiskt radera datan??

Awin behåller data i enlighet med sin bevarandepolicy. Om inget annat anges i policyn (och tillåtet enligt lag), raderas personuppgifter efter 36 månader. Vi har implementerat automatiserade raderingsrutiner för att säkerställa att data raderas vid utgången av den tillämpliga bevarandeperioden.

Är du ISO 27001-certifierad?

I februari 2022 klarade vi framgångsrikt steg 2-granskningen av ISO 27001-certifieringen för de system och tjänster som omfattas, av oberoende revisorer från BSI, och i mars erhölls ISO 27001-certifieringen. Årliga övervakningsrevisioner och omcertifieringsrevisioner kommer att genomföras

Beskriv processen för regelbunden övervakning, granskning och revision av tjänsten som tillhandahålls av dina tredjepartsleverantörer.


Leverantörer är föremål för riskhantering av leverantörer, vilket inkluderar due diligence av leverantörer vid onboardning och regelbundna översyner därefter.

Separerar du kunddata?

Vi separerar logiskt data. ACL:er används inom Awin användargränssnitt för att säkerställa att data är logiskt åtskilt och att det inte kan nås eller skadas av andra klienter.

Genomför du penetrationstester?

Ja, penetrationstester utförs av en ansedd tredje part på årlig basis. Vi har också ett Bug Bounty-program på plats.

Har du kontroller på plats för att begränsa och övervaka installationen av obehörig programvara på dina system?

All programvara måste ombordas via processen för leverantörsinformationssäkerhetsgranskning. Användare får tillgång till ett bibliotek i Microsoft Store med tillåtna appar. All annan programvara installeras av intern IT efter godkännande.

Använder du några tredjepartsorganisationer som underleverantörer av personuppgifter?

Ja, Awin använder ett antal processorer; en fullständig lista över processorer kan delas på begäran.

Dessa tjänsteleverantörer har genomgått granskningar av integritet och informationssäkerhet och ett databehandlingsavtal finns på plats där det behövs.

Överför ni någon av datan utanför EU?

Awin överför endast utanför EU där det finns lämpliga skyddsåtgärder för att göra det.

Var vänlig beskriv de tekniska och organisatoriska åtgärder du har för att skydda datan.

Awins tekniska och organisatoriska åtgärder (TOMs) inkluderar:

  • Pseudonymisering och anonymisering av data där det är möjligt (IP-adressens förkortning har rullats ut, e-postadresser hashas när de används, kundinformation är pseudonymiserad)
  • Fysiska säkerhetsåtgärder (kortskydd, begränsad gästaccess)
  • Användningen av behörighetsbaserade åtkomsträttigheter, där rättigheter beviljas på ett behov-att-veta-basis. Rätt att få tillgång till data beviljas när det finns ett affärsfall för att personen ska ha tillgång.
  • Ett obligatoriskt utbildningsprogram för anställda om både dataskydd och datasäkerhet.

Uppdaterade riktlinjer kring dataskydd inklusive Awins affärskontinuitetsplan, policy för incidentrapportering, policy för informationshantering, etc.

Testar/bedömer/uppdaterar du regelbundet TOMs?

Ja, TOMs granskas på årlig basis och i det osannolika fallet av något säkerhets- eller databrott.

Krypterar, anonymiserar eller pseudonymiserar du personuppgifter för att säkerställa att de inte kan läsas av oavsiktliga parter?

De data som samlas in under spårningen är pseudonym (IP-adresser är trunkerade, e-postadresser som används för tvär-enhetsspårning är som standard hashade). All data i överföring är krypterad när den passerar över offentliga nätverk (använder TLS eller IPSec-kryptering baserat på nuvarande branschstandarder). Bärbara enheter, bärbara datorer och mobila enheter har full diskkryptering aktiverat.

Please describe the physical security of your buildings.

Access to all sites (offices and data centre) are controlled by key card access. Guests are not permitted to access these sites unaccompanied by a member of staff. Access to Data Center locations is limited to pre-approved personnel within the IT teams. All-access to these locations are logged and feature industry-leading physical security controls.

Var god beskriv den fysiska säkerheten i era byggnader.

Åtkomst till alla platser (kontor och datacenter) styrs av nyckelkort. Gäster får inte tillträde till dessa platser utan att vara i sällskap av en personalmedlem. Åtkomst till datacenterlokaler är begränsad till förhandsgodkänd personal inom IT-teamen. All åtkomst till dessa platser loggas och har branschledande fysiska säkerhetskontroller.

Vilka åtgärder har ni för att begränsa åtkomsten till data?

Som en del av vår förberedelse för GDPR har vi granskat vår policy för åtkomstkontroll och har förstärkt åtaganden som:

  • Åtkomstkontrollarrangemang följs för att begränsa tillgången till Awins anläggningar, affärsapplikationer, informationssystem, nätverk och datorer.
  • Alla individer med tillgång till IT-system, informationssystem, applikationer, nätverk och datorer är auktoriserade innan de beviljas åtkomstprivilegier.
  • Principen om minsta privilegium bör följas.
  • Separation av uppgifter bör övervägas.
  • Åtkomst till Awin-anläggningar måste strikt kontrolleras, med tillträde beviljat på individuell basis till autentiserad och auktoriserad personal med hjälp av lämpliga fysiska säkerhetskontroller.
  • Åtkomsträttigheter kan inte beviljas kollektivt eller delas inom en grupp.

I allmänhet måste åtkomst till informationssystem som innehåller personlig eller konfidentiell information kräva 2-faktorsautentisering.

Har ni rutiner för säkerhetsbrottsmeddelanden på plats?

Överträdelser hanteras och rapporteras i enlighet med vår incidenthanteringsplan. Vid en personuppgiftsincident (eller olaglig offentliggörande av konfidentiell information) görs anmälningar till de berörda parterna och/eller relevanta myndigheter i enlighet med lagliga skyldigheter.

Hur säkerställer du att dataskyddsmyndigheten skulle bli underrättad inom 72 timmar i händelse av ett dataintrång?

Alla överträdelser måste rapporteras till Awin's DPO omedelbart. Detta är en kritisk del i att säkerställa att 72-timmarsfristen uppfylls och betonas därför i all utbildning, informationsmaterial och policyer för anställda. När informationen har nått DPO, kommer DPO att ta hand om anmälan till dataskyddsmyndigheten, som krävs.

Hur säkerställer du individernas rättigheter?

Awin har processer för att säkerställa uppfyllandet av individernas rättigheter enligt GDPR. Alla förfrågningar bör riktas till global-privacy@awin.com där förfrågan kommer att behandlas i enlighet med den relevanta processen.

Har all din personal som är involverad i behandlingen av kunddata fått utbildning om dataskydd och informationssäkerhet?

Ja, vi tillhandahåller både obligatorisk utbildning i integritet och informationssäkerhet vid anställning av medarbetare. Dessutom genomför vi årliga uppdateringsutbildningar. Observera att vår utbildning avslutas med ett test i slutet, för att säkerställa tillräcklig kunskap.

Vänligen tillhandahåll en länk till din sekretesspolicy.

https://www.awin.com/gb/privacy

Kan du ge ett exempel på hur vi kan hänvisa till Awin i våra sekretesspolicyer?

Du kan använda vilken formulering som helst från vår policy för dina avslöjanden.

Kan vi underteckna ett databehandlingsavtal som en annonsör?

Ja, detta ingår redan automatiskt i ditt avtal med annonsören för affiliate-marknadsföring hos Awin.

Kan vi underteckna ett databehandlingsavtal som publicist?

Detta är inte nödvändigt eftersom alla relevanta bestämmelser redan ingår i publicistvillkoren, som bilagor till dessa villkor. Vänligen granska dessa villkor.

Vem kan jag vända mig till med ytterligare frågor?

Våra kontochefer kommer att kunna svara på allmänna frågor om dataskydd. Om du vill prata direkt med vår DPO kan du skicka e-post till global-privacy@awin.com

Dela