I juni udstedte den svenske databeskyttelsesmyndighed (IMY) en bøde på 15 millioner svenske kroner til en virksomhed, der brugte Facebook Pixel (nu Meta Pixel) på deres hjemmeside. Afgørelsen kan få konsekvenser for danske hjemmesider.
Den svenske virksomhed brugte Meta Pixel til at optimere deres digitale markedsføring, men ved en fejl aktiverede de funktionerne Automatisk Avanceret Matching (AAM) og Automatiske Begivenheder (AE). De to funktioner indsamlede og delte store mængder følsomme persondata, såsom CPR-numre og bankoplysninger, med Meta.
Det har de den 25. juni fået en bøde på 15 millioner svenske kroner for, udstedt af den svenske databeskyttelsesmyndighed IMY, og det har skabt opmærksomhed.
Det sker året efter, at Meta Pixel blev fundet i strid med GDPR-reglerne i Østrig, hvilket vakte international opsigt, da det potentielt gjorde brugen af Meta Pixel ulovlig.
IMY’s afgørelse i Sverige fokuserede på, hvordan persondata blev indsamlet og delt med Meta uden tilstrækkelige sikkerhedsforanstaltninger og uden ordentlig kontrol. Selvom virksomheden fjernede Meta Pixel og forbedrede deres processer, blev der ikke fundet formildende omstændigheder, og bøden blev udstedt.
Datatilsynet i Danmark vil muligvis blive inspireret af sine europæiske kolleger, ligesom de har været tidligere, og lignende undersøgelser kan være på vej i Danmark. Der er dog endnu ingen specifik meddelelse fra Datatilsynet om en kommende beslutning vedrørende Meta Pixel.
Services som Meta Pixel og lignende er brugbare og værdifulde, men bærer også betydelige risici. For at undgå store bøder og for at bevare et godt omdømme, bør virksomheder derfor overveje deres tilgang nøje.
Sagen understreger vigtigheden af at overvåge og forstå de værktøjer og scripts, der anvendes på din hjemmeside, for at sikre, at du overholder reglerne for online privatlivsbeskyttelse, GDPR og ePrivacy-direktivet. Dette kan indtil videre opnås hovedsageligt ved at anvende en såkaldt Consent Management Platform (CMP).
Men er Meta Pixel GDPR-compliant eller ej? Det korte svar: Måske.
Det var ikke op til IMY at afgøre i denne sag. IMY har kun undersøgt den dataansvarliges handlinger og processer, og en undersøgelse af lovligheden som helhed vil kræve en separat sag.
Det, vi dog kan konkludere, er, at vi som marketingprofessionelle må påtage os ansvaret for at sikre lovlig brug af tjenester som Meta Pixel og lignende. Det er en tung og udfordrende opgave med risiko for betydelige bøder og tab af omtale.
Denne downside må vi ikke glemme, når vi lægger grundstenene for vores marketingstrategi.
Jonas Voldbjerg Andersen er chief strategy officer hos Cookie Information.
