FB-pixel och GDPR
Google Analytics och GDPR har fått en del strålkastarljus på sig det senaste, men det finns fler bovar i dramat, åtminstone om man frågar IMY och Max Schrems. Nu blir det både lite rörigt och nördigt, men ack så viktigt, när vi pratar om FB-pixeln.
Kakor kakor kakor
Först och främst så använder sig FB-pixeln av kakor, vilket betyder att användaren måste godkänna att deras kakor sparas innan de laddas, annars begår man redan där ett brott mot GDPR. Därför är det viktigt att ha en korrekt uppsatt cookie-banner som ger användaren möjlighet att neka kakor för spårning. Har du detta så bör du klara grundregeln i GDPR, men detta kan komma att påverka den statistik du samlar in eftersom de användare som nekat kakor inte kommer att tas med.
Vill du veta mer om hur just kakor funkar så kan du läsa den här artikeln.
Gemensamt ansvar med Facebook
Vid användande av FB-pixel blir du en gemensam behandlingsansvarig (joint controller) med Facebook. Det innebär att två eller fler parter delar ansvaret för att behandla personuppgifter för ett gemensamt syfte. De måste samarbeta och fastställa sina ansvarsområden samt säkerställa att de registrerades rättigheter respekteras enligt GDPR. Du och Facebook anses alltså att vara gemensamt personuppgiftsansvariga och därför måste du kunna svara på frågor fall IMY skulle komma och knacka på dörren även om du inte ser den data som du skickar till Facebook via pixeln.
Snårigt runt GDPR och laglighet
För att sammanfatta det enkelt så tillåts för tillfället, vid samtycke, överföring av personuppgifter mellan EU och USA via den nya ”EU-U.S. Data Privacy Framework” och därför borde man i teorin få använda FB-pixeln utan att behöva oroa sig för GDPR. Tyvärr kan vi inte riktigt stanna där utan IMY har fyra pågående tillsyner på företag som anmälts på grund av att de använder FB-pixel och Max Schrems, som fick de tidigare avtalen mellan USA och EU fällda, har redan lovat att dra det nya avtalet inför EU-domstol. Orsaken till detta beror på amerikanska lagen FISA 702 som ger amerikansk underrättelsetjänst laglig rätt att gå in i amerikanska företags data och leta information om personer. Detta är inte skyddat av EU-U.S. Data Privacy Framework och det var med hänvisning till FISA som låg till grund för IMYs beslut till sanktionsavgift mot Tele2 och CDON runt användning av Google Analytics, vilket gör det inte helt orimligt att anta att det samma kommer att gälla för FB-pixeln i framtiden.
Sammanfattning
Att använda FB-pixel på din webbsida är för tillfället lagligt om du ger användaren en möjlighet att ge samtycke till att bli spårad, men det kan fortfarande vara riskabelt. Här får du själv överväga om det är värt att chansa för att samla korrekt data från dina annonskampanjer eller om det känns bättre att vara på den säkra sidan.
