Slutsatser om Meta-pixeln och GDPR

Länsförsäkringar, Apotea och Kry kommer undan med varsin reprimand från IMY avseende att deras användning av Meta-pixeln var i strid med GDPR. Som vi tidigare skrivit gick det sämre för Avanza, Apoteket och Apohem som alla åkte på att betala sanktioner i mångmiljonklassen.

Men vad var egentligen skillnaden? Och omfattas spårning med hjälp av en pixel av samma regler som spårning med en kaka? Här sammanfattar jag Moderamens insikter och råd till marknadsförare efter ha följt dessa tillsynsärenden.

Bara reprimander

Så kom då de tre sista tillsynsbesluten mot Länsförsäkringar, Apotea och Kry avseende deras användning av Meta-pixeln och tilläggsfunktionen automatisk avancerad matchning (AAM). De här tre kommer undan med varsin reprimand.

Metas roll och ansvar berörs fortfarande inte i tillsynsbesluten trots att:

  • Meta själva hävdar att de är gemensamt personuppgiftsansvariga med webbplatsägaren för insamlingen av uppgifterna.
  • Ingen av företagen vet hur AAM faktiskt blev aktiverat, trots att inget av företagen tagit något sådant aktivt beslut.

Det spelar ingen roll hur du spårar

Jag noterar också att EDPB:s klargörande riktlinjer från 7:e oktober i år om att E-privacydirektivet självklart gäller alla former av digital spårning (vilket Moderamen hela tiden har hävdat) har uppmärksammats av IMY och förtydligas i de tre sista tillsynsbesluten efter bedrövliga formuleringar om detta i de tre första (gällande Avanza, Apoteket och Apohem).

Det var väl för väl, då jag hört även initierade dataskyddsjurister hävda att spårning med hjälp av pixlar (och gissningsvis andra spårningstekniker?) inte omfattas av E-privacydirektivet.

I det första beslutet (mot Avanza) skrev IMY uttryckligen att behandlingen inte omfattades:

”Denna informationshantering innebär inte att uppgifter lagrats i eller hämtats från en abonnents eller användares terminalutrustning och omfattas därmed inte av 9 kap. 28 § i LEK eller tidigare gällande motsvarande bestämmelse i lagen (2003:389) om elektronisk kommunikation.”

Denna formulering har nu bytts ut mot (i de tre sista tillsynsbesluten):

Den aktuella behandlingen har därmed omfattat både sådan lagring i och hämtning från användares terminalutrustning som avses i 9 kap. 28 § i LEK, och motsvarande bestämmelse i 6 kap. 18 § lagen om (2003:389) om elektronisk kommunikation.

180 graders vändning inom en tidsperiod om 6 månader. Känns sådär avseende rättssäkerhet, eller vad säger ni?

(Vill ni lära er mer om skillnaden mellan en pixel och en kaka rekommenderar vi att ni tittar på inspelningen av Cecilias presentation hos Cookie-information på ämnet i somras.)

Sammanfattning ”Pixelgate”

I korthet kan man säga att alla företagen som granskades brast i att de inte upptäckte att Meta började samla in mer uppgifter genom försåtliga ändringar i tjänsten (”Pixeln”). Det anses även som en försvårande omständighet att det inte ens var företagen själva som upptäckte det, utan att det var först när journalister på Sveriges radio upplyste dem om detta. Det här hade journalisterna insett genom att bara besöka deras webbplatser och sedan kolla vad som fastnade i webbläsaren.

Inte världens mest avancerade ”gräv” alltså, utan samma övning hade varit mycket enkel för företagen själva att kontinuerligt utföra. Det stora problemet i allt detta är nog egentligen att företagen litade på Meta och sin egen – eller deras mediabyrås? – förmåga att förstå och hantera verktygen.

I Apotekets, Avanzas och Apohems fall gällde att de även överförde känsliga eller sekretessbelagda uppgifter och det är därför de åkte på sanktioner.

BolagPeriodSanktion (MSEK)Antal drabbade kunderSanktionen i relation till omsättningenSanktion per drabbad
AvanzaNovember 2019 –
juni 2021.
15750 0000,32%20 kr/kund
ApoteketJanuari 2020 – april 2022.37930 0000,16%40 kr/kund
ApohemApril 2021 –
april 2022.
815 0001,33%533 kr/kund
LänsförsäkringarMars 2021 –
juni 2021
0Okänt
ApoteaJuni 2020 –
maj 2022.
0380 000
KryMaj 2020 –
maj 2022.
0Okänt

Sammanfattningsvis kan man konstatera att Apohems sanktion sticker ut trots att det i tillsynsbeslutet framgår att företaget inte haft direkt sämre dataskyddsprocesser än de andra. Apohem är exempelvis det enda företag som hade tillräcklig koll på att det föreligger ett gemensamt personuppgiftsansvar med Meta (vilket IMY struntade i).

Att varken Länsförsäkringar eller Kry kan uppge ens en ungefärlig siffra drabbade besökare på webbplatsen verkar inte heller ha påverkat bedömningen från IMY:s sida.

Vad bör en marknadschef ta med sig från detta?

Det är helt OK att använda Metas tjänster för marknadsföringsändamål så länge du inte överför uppgifter som kräver särskilt samtycke (ex uppgifter som kan härledas till hälsa som i ovanstående fall) eller omfattas av sekretess. I Avanzas fall skickades uppgifter som besökarna hanterade i inloggat läge vilket innebar ett brott mot banksekretessen.

Om sådana uppgifter inte behandlas i den verksamhet du företräder är det nog ganska lugnt förutsätt att du vet hur dataflöden sker och har allmän ordning på torpet.

Och att du vill att Meta och/eller Google ska veta exakt vilka dina besökare och kunder är och kunna använda din data för att profilera dem i sina egna användardatabaser. För det är det som är resultatet. Det framgår tydligt i exempelvis Facebooks integritetsinformation till deras användare.

Men det är i slutänden du som marknadschef som är ansvarig för den spårning som sker för marknadsföringsändamål på ditt företags webbplatser. Inte dina medarbetare, IT, din mediabyrå, Meta, Google eller andra samarbetspartners.

Om du i dialog med ovanstående parter känner att de inte kan förklara för dig hur detta går till på ett sätt så att du kan förstå det bör du byta ut dem eller åtminstone skaffa hjälp från någon som är 100% på din sida. För det är du som kommer att få stå där med Svarte Petter när det skiter sig.

Så behöver du hjälp med detta får du mer än gärna höra av dig i formuläret nedan. God jul och Gott nytt år!

Behöver du hjälp att få greppet om den digitala spårning som du som marknadschef är ansvarig för? Lämna dina kontaktuppgifter nedan så hör vi av oss så fort som möjligt.


Publicerat

i

, , , ,

av

Etiketter:

Kommentarer

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *