Meta Pixel GDPR-granskning: före samtycke, efter avslag
IMY:s Meta Pixel-tillsynskluster utfärdade sanktionsavgifter mot flera svenska bolag för samma underliggande mönster: inget giltigt samtycke inhämtades innan pixelns Advanced Matching-funktion skickade identifierbara parametrar — e-post, telefonnummer, namn — tillsammans med hälsorelaterade surfdata, direkt till annonsplattformen. Vakteyes skanning återskapar den tekniska kontrollen: aktiveras pixeln innan något samtyckesval gjorts, skickar den personligt identifierbara Advanced Matching-fält, och kvarstår den efter avslag.
Vem det är för
- Alla webbplatser som kör Meta Pixel, TikTok Pixel, LinkedIn Insight Tag eller en liknande annonspixel
- E-handels- och leadgenereringswebbplatser där Advanced Matching eller förbättrade konverteringar kan vara aktiverade
- Bolag som ser över sin marknadsföringsstack efter IMY:s publicerade Meta Pixel-beslut
Vad Vakteye testar
- Om pixeln aktiveras vid sidladdning innan något samtyckesbeslut fattats
- Om Advanced Matching-parametrar (e-post, telefon, namn) finns med i pixelns nätverksdata
- Om pixeln fortsätter skicka händelser efter att en besökare uttryckligen avslagit spårning
- Om CMP:ns deklarerade leverantörslista faktiskt matchar pixeln och relaterade spårare som observeras i nätverket
Rättslig grund
GDPR Article 6(1)(a)
Att skicka identifierbara uppgifter till en annonsplattform kräver giltigt samtycke som rättslig grund — precis den fråga som IMY:s Meta Pixel-beslut avgjordes utifrån.
GDPR Article 5
Advanced Matchings fält med personuppgifter aktualiserar frågorna om uppgiftsminimering och ändamålsbegränsning som ligger i kärnan av principen om korrekthet.
ePrivacy Directive Article 5(3)
Pixelns cookie eller enhetsidentifierare omfattas i sig av samma krav på förhandssamtycke som all annan spårningsteknik.
Exempel på fynd
Advanced Matching skickar hashad e-post innan samtycke
Vad vi observerade
En skanning av en kassa eller ett leadformulär visar att pixelns nätverksförfrågan innehåller en hashad e-postparameter, skickad vid sidladdning — innan besökaren har gjort något samtyckesval.
Varför det spelar roll
Hashning tar inte bort kravet på samtycke — det här är det specifika tekniska mönster som ligger bakom flera av IMY:s Meta Pixel-sanktioner. Ett policypåstående om att "vi delar inte personuppgifter med annonsörer" stämmer inte med det observerade beteendet.
FAQ
Redo att se vad din webbplats faktiskt gör?
Boka en fullständig beteendebaserad granskning — samma metodik som beskrivs ovan, körd mot hela din webbplats med ett fullständigt bevismaterial.
Boka en fullständig granskning