Integritetsskyddsmyndigheten (IMY) har fattat beslut i ett av de fem Facebook-pixel-ärenden som ligger på deras bord. Beslutet, som släpptes den 25 juni 2024 beskriver varför webbplatsägaren i fråga ska betala 15 miljoner kronor, vilket motsvarar cirka 1,34 miljoner euro.
Beslutet från IMY är omfattande, och även om det är unikt för ett specifikt fall är resonemanget relevant för alla webbplatsägare som bedriver verksamhet i ett EU- eller EES-land.
IMY konstaterar att företaget i fråga är berättigad den högsta bötesnivån på grund av ärendets allvar—vilket i detta fall var 20 miljoner euro—men sänkte beloppet till 1,34 miljoner euro.
Webbplatsägaren valde att ta bort pixeln så snart de hamnade under lupp. Men borde du också ta bort pixeln från din site?
Låt oss bryta ner vad som hänt.
Hur använde webbplatsägaren Facebook-pixeln?
Företaget hade valt att implementera Facebook-pixeln (idag Meta-pixeln) på sin webbplats 2019. De gjorde man för att optimera sin digitala marknadsföring.
Samma år utvecklade Facebook (nu Meta) en funktion för Facebook-pixeln kallad Automatisk Avancerad Matchning (AAM). Webbplatsägaren uppger att de aktiverade AAM-funktionen av misstag, vilket är den främsta anledningen till att deras webbplats otillbörligt överförde en stor mängd personuppgifter till Facebook/Meta, inklusive personnummer, bank-kontonummer och annan mycket känslig information.
Webbplatsägaren aktiverade även en Facebook-pixel-funktion kallad Automatiska Händelser (AE). Även detta gjordes “av misstag”.
Marknadsföringsavdelningen hade fått grönt ljus av företaget att använda Facebook-pixeln, vilken först implementerades efter en intern säkerhetsprocess. Företaget hade däremot inte godkänt AAM- eller AE-funktionerna.
Marketing bad senare den juridiska avdelningen om lov för att använda den specifika AAM-funktionen för Facebook-pixeln, vilket de fick avslag på. Trots detta hade någon aktiverat AAM-funktionen.
Vad gör Facebooks AAM-funktion?
AAM (Advanced Automatic Matching) gör det möjligt för Facebook-pixeln att automatiskt samla in besökares data och matcha dem med användare på deras plattformar—Facebook och/eller Instagram.
Om du använder ett formulär på din webbplats, samlar AAM in formulärs-data som e-postadresser och telefonnummer och skickar detta till Facebook/Instagram. Informationen hashas av säkerhetsskäl innan den överförs.
Syftet är att spåra och profilera besökare så att dina annonser kan bli mer exakta och effektiva. Meta kan också använda denna information för att förbättra sina egna tjänster och riktade beteendestyrd annonsering, vilket gynnar andra annonsörer som använder deras Pixel och annonsplattform.
Vad gör Facebooks AE-funktion?
AE (Automatiska Händelser) gör det möjligt för webbplatsen som använder Facebook-pixeln att automatiskt spåra användarinteraktioner, såsom knapptryckningar, sökningar och menyval.
När en besökare rör sig på din webbplats eller app, samlar AE in data om om personens interaktioner och skickar den till Meta (Facebook/Instagram). Denna data skickas ofta i klartext.
Syftet är att analysera användarbeteende för att göra dina annonser mer relevanta och effektiva. Som med AAM-funktionen kan Facebook också använda denna information för att förbättra sina tjänster och den riktade annonseringen.
Vad hände när företaget aktiverade Facebook-pixeln?
När webbplatsägaren i detta fall omedvetet aktiverade AAM- och AE-funktionerna, började den dela en stor mängd personuppgifter med Facebook/Meta.
Personuppgifter från cirka 500 001 – 1 miljon individer mellan 2019 och 2021. Genom AAM-funktionen överfördes följande typer av personuppgifter till Facebook/Meta:
- Personnummer
- Arbetsgivare
- Anställningsform
- Bankkontonummer
- Banklån (belopp)
- Kontaktinformation såsom:
- Telefonnummer
- E-post
- Postnummer
Genom AE-funktionen överfördes följande typer av personuppgifter till Facebook/Meta:
- Vilka obligationer du har och deras värde
- Banklånebelopp
- Kontonummer och kreditgräns
- Avgifter, skatter och räntor
- Aktuella beställningar
- Företagsägare och bank från vilken pension flyttades
- E-post
- Personnummer
Riskerade varje webbplatsbesökare att få sina personuppgifter överförda till Meta?
Nej, “endast” de som hade gett sitt samtycke till marknadsförings-cookies på webbplatsen och loggat in på webbplatsen fick sina rörelser spårade av Facebook-pixeln och sina personuppgifter skickade till Meta/Facebook.
Med ett undantag.
Vissa knappar för vissa formulär på webbplatsen var tillgängliga för alla besökare, även de som saknade inlogg och inte var kunder hos företaget. Besökare som fyllde i dessa fält och tryckte på dessa knappar fick också sina data överförd till Meta, specifikt därför att AE-funktionen för Facebook-pixeln var aktiverad.
Varför bötfälldes webbplatsägaren för att ha använt Facebook-pixeln?
Det gjorde de inte.
IMY granskar inte om du har brutit mot ePrivacy-direktivet, ibland kallat “cookielagen”. Tillsynsmyndigheten för det är Post- och telestyrelsen.
Så vad handlade detta fall om då?
I detta specifika fall uppger IMY att de endast undersökte hur personuppgifter samlades in och sedan delades med tredje part och om detta var i strid med GDPR.
IMY berör visserligen om det fanns laglig grund, såsom samtycke, för att samla in uppgifterna i steg 1, så att säga. De skriver till exempel att (i huvudsak) endast besökare som hade gett sitt samtycke (på en cookie-banner, får man förmoda) till marknadsförings-cookies (och sedan loggat in på webbplatsen som kund) hade fått sina data insamlade och förbehållslöst delade med Facebook eller Meta. Men beslutet i sig, från IMY, fokuserar främst på hur och vilka personuppgifter som samlades in och delades, samt på bristerna i säkerhetsprocesserna.
Vad bötfälldes webbplatsägaren för?
Kort sagt, webbplatsägaren överförde känsliga personuppgifter till Facebook/Meta utan adekvata säkerhetsåtgärder. De misslyckades också med att förhindra det och upptäcka det, eftersom de inte hade fungerande säkerhetsåtgärder på plats. Att marknadsavdelningen beslutade att aktivera Pixel, trots att de fått ett nej, är ett exempel på detta.
Fanns det några förmildrande omständigheter?
Nej, IMY anger att det inte fanns några förmildrande omständigheter. Trots att webbplatsägaren:
- Tog bort pixeln snabbt när de upptäckte det,
- Säkerställde att Meta/Facebook raderade uppgifterna,
- Och etablerade en bättre process för att säkerställa att ingen kan installera skript på webbplatsen eller använda verktyg som utsätter deras kunder och besökare för risk.
IMY sänkte dock böterna till cirka 1,34 miljoner euro från de 20 miljoner euro de i beslutet räknar ut att företaget är “berättigat” till. Anledningen till detta är oklart.
Har du Facebook-pixeln på din webbplats?
Om du överför data till tjänster som Facebook/Meta genom att tillåta dessa tjänster på din webbplats eller app, måste du säkerställa att du har lagliga grunder för att både samla in och behandla den datan. Det är två olika men överlappande krav.
Fråga dig själv:
- Vilka skript har jag tillåtit på min webbplats, och vad gör de?
- Behöver jag alla dessa skript och tjänster, eller kan jag ta bort några?
- Samlar jag in samtycke i enlighet med ePrivacy-direktivet och GDPR för att tillåta dessa skript att sätta cookies och samla in data från mina besökare/användare?
Om du vill använda tjänster från Meta, Google, HubSpot, etc., på din webbplats, behöver du förstå deras villkor och läsa igenom deras integritets-policyer.
Om du är osäker på vad din webbplats huserar och behöver hjälp med att avgöra om Facebook-pixeln är närvarande ska du göra så här:
- Signa-upp dig på en certifierad samtyckesplattform (CMP) som Cookie Information. Det är gratis i 14 dagar utan, helt förbehållslöst.
- Installera CMP:en och låt den crawla hela domänen.
- Granska listan för att se vilka skript som finns där och vilka cookies de sätter.
- Ta bort de tjänster/skript du inte behöver eller vill ha.
Om du bestämmer dig för att behålla CMP-plattformen, får du en lösning som:
- Säkerställer att du samlar in samtycke på ett informerat och transparent sätt i enlighet med ePrivacy-direktivet och GDPR.
- Respekterar användarval genom att blockera skript som användaren nekar.
- Gör det enkelt för besökare att återkalla sitt samtycke.
- Automatiskt och kontinuerligt skannar din webbplats för att upptäcka nya cookies eller pixlar som sätts av tjänster.
- Tillhandahåller en dynamisk cookie-policy som listar alla dina cookie- och pixel-placerande skript, detaljerar deras varaktighet och länkar till varje integritetspolicy.
- Lagrar samtyckesval i fem år, så att du kan hantera en granskning.
En CMP-plattform är ett fördelaktigt verktyg som gör det enklare följa ePrivacy-direktivet och viktiga delar av GDPR.
Du bör dock alltid prata med din Dataskyddsombud (DPO) eller konsultera en tech-jurist om du till exempel har frågor eller är osäker på hur en tjänst som Facebok hanterar dina besökares data och om ditt företag tar en oacceptabel risk genom att tillåta det.
Så är Facebook-pixeln GDPR-kompatibel då?
IMY säger inget om det. I detta fall är Meta det så kallade personuppgiftsbiträdet (processor) och webbplatsägaren (controller) som fick böter är personuppgiftsansvarig.
IMY har endast undersökt vad den personuppgiftsansvarige är ansvarig för, eftersom tillsynsmyndigheter vanligtvis prioriterar just den personuppgiftsansvariges handlingar. Att undersöka personuppgiftsbiträdet, Meta, skulle kräva ett separat ärende, gärna genom Irlands dataskyddsmyndighet eftersom Meta har sitt huvudkontor där.
