4 svenska företag är uppe för granskning hos Integritetsskyddsmyndigheten (IMY) för att de använt Facebook-pixeln på deras webbplats. Böterna, om de fälls, kan bli digra.
Vad betyder det för dig som också använder Facebook-pixeln?
“Du köpte klamydiatest – Apoteket berättade för Facebook”
I april (2022) avslöjade Sveriges Radio (SR) att det statliga Apoteket skickade mängder av information om deras kunder, och webbshops-besökare, till Facebook. Detta skedde eftersom man valt att installera och använda en Facebook-pixel på sin webbplats.
Avslöjandet ledde till att även Apotea och Apohem anmälde sig till IMY för brott mot Dataskyddsförordningen, det vill säga GDPR. De använde också Facebook-pixeln.
Eftersom de varor eller produkter som en besökare söker efter och köper på ett apotek kan vara av känslig natur, drog avslöjandet relativt stor uppmärksamhet.
Apoteket.se ”skickade”, enligt SR:s granskning, inte bara information om vad besökarna lade i korgen, utan också till exempel deras mobilnummer, mejladress, och personnummer. Och all information som skickades till Facebook genom Facebook-pixeln kopplades till respektive besökare genom ett unikt id-nummer.
Är det här lagligt?
Får man lov att använda Facebook-pixeln?
Det är inte olagligt eller otillåtet att använda cookies och annan spårningsteknik som Facebook pixeln, per default. Men förutsättningen för det är att man – först och främst – frågar först.
Apoteket måste ha en cookie-banner som, i dess utformning, följer Dataskyddsförordningen (GDPR) och Lagen om elektronisk kommunikation (LEK).
Apoteket har haft och har en cookie-banner. Den ursprungliga följde, vad jag kunde se inte reglerna till fullo, eftersom rutorna för de tre olika cookie-kategorierna var för-i-fyllda. Men om vi gör det enkelt för oss så ser vi att de hade en (och har nu en uppdaterad) cookie-banner.
Det är också, enligt SR:s undersökning, endast de besökare som tackat ja till alla cookies (specifikt marknadsförings-cookies), vars data har förts över till Facebook.
De som tackat nej till cookies, har såldes inte fått persondata överfört till Facebook. Tack och lov, höll jag på att säga. För detta är en viktig punkt. Situationen hade varit än allvarligare om besökaren varken kunnat säga ja eller nej. Eller om de som tackat nej till cookies inte respekterades för det. Det vill säga att plattformen för cookie-bannern inte respekterade besökarens svar.
Men ett viktigt krav kring utformningen av, och innehållet på, cookie-bannern är att den gör det klart och tydligt för besökaren vad som kommer att hända om man tackar ja, respektive nej till alla – eller en eller två – av de tre cookie-kategorierna. Följdfrågan som uppkommer i Apoteksfallet är således:
Förstod besökarna vad de tackade ja till?
Förstod besökaren som tackat ja till cookies vidden av hur mycket persondata som skulle kunna skickas till en tredjepart, i det här fallet Facebook?
Alla cookies som sätts av tredjepartstjänster, som till exempel Facebook, är inte likartade. Hur mycket data de samlar in och eventuellt säljer vidare varier från kaka till kaka.
Juristen som uttalade sig i ärendet å Apotekets vägnar, var själv inte med på att Facebook samlade in så detaljerad information om besökarna. Och såväl Apoteket som Apotea och Apohem har valt att plocka bort Facebook pixeln efter att de blivit varse dilemmat.
Ok, vad händer nu? Kommer de granskade bolagen att få böter?
Vad säger IMY om ärendena som rör Facebook pixeln?
Jag har pratat med Disa Rehn, som är en av de ansvariga utredarna i apoteksfallen. Hon förklarar att IMY i juni 2022 ställde ett antal frågor till apotekskedjorna för att få klarhet i vad som har hänt. Bland annat:
- Vilken typ av personuppgifter har fört söver till Facebook?
- Vad var syftet med överföringen av personuppgifterna?
- Hur bedömde man riskerna med att dela personuppgifter från sina webbshoppar med Facebook.
Dessutom har IMY begärt att bolagen specificerar vilka rättsliga grunder som bolagen vilar sig mot när man valt att samla in personuppgifter från sina besökare.
– Den som samlar in personuppgifter måste hela tiden göra en avvägning mellan det som är ett rättsligt berättigat intresse för dem och den enskildes rätt till integritet. Om ett företag skapar profiler av sina användare behöver det finnas en rättslig grund för det. Samtycke kan vara en sådan rättslig grund, säger Disa Rehn och fortsätter:
– När det gäller samtycke som rättslig grund finns det ett antal villkor som måste vara uppfyllda. Bland annat måste det vara ett frivilligt och välinformerat samtycke. Det måste också gå att återkalla sitt samtycke, säger Disa Rehn.
Hon berättar också att i denna typ av fall kan IMY titta på om den personuppgiftsansvarige hade koll på tekniken och därför hade satt rimliga skyddsåtgärder på plats så att man inte av misstag ställer in en för generös datadelning.
– Dessutom, säger Disa Rehn, kan man undersöka om den personuppgiftsansvariga hade möjlighet att radera all insamlade persondata som gått över till tredje part.
– En individ har rätt att få sina uppgifter raderade om man önskar det, säger hon.
Vad kommer IMY sannolikt att komma fram till i dessa ärenden?
– Det kan jag inte uttala mig om.
Har du några råd till den som vill vara om sig och kring sig när det gäller sin användning av Facebook-pixeln?
– För att behandla personuppgifter ska man följa GDPR. Till exempel får man inte behandla fler uppgifter än vad som är nödvändigt. Det är en viktig princip i Dataskyddsförordningen. Du måste också försäkra dig om att du har en laglig grund för behandlingen, till exempel ett giltigt samtycke, avslutar Disa Rehn.
