Policy mot verklighet: gör din webbplats det policyn säger?
IMY:s Meta Pixel-tillsynskluster utfärdade sanktionsavgifter på sammanlagt 45 miljoner kronor mot två apoteksaktörer för att ha delat hälsorelaterade surfdata med Meta — trots att de hade publicerade integritetspolicyer på plats. Vad de saknade var beteende som matchade policyns löften. Vakteyes granskning läser vad din policy anger — vilka tredje parter, vilka ändamål, vilken rättslig grund — och kör sedan en beteendebaserad skanning i realtid för att kontrollera om verkligheten stämmer överens.
Vem det är för
- Juridik- och integritetsteam som skrivit en policy men inte verifierat den mot faktiskt beteende på webbplatsen
- Bolag som ska förnya ett personuppgiftsbiträdesavtal eller en leverantörsenkät som hänvisar till deras publicerade policy
- Alla som ärvt en integritetspolicy från ett tidigare team eller en byrå och är osäkra på om den fortfarande stämmer
Vad Vakteye testar
- Om de tredje parter som nämns i policyn matchar de spårare och skript som faktiskt observeras på webbplatsen
- Om de angivna ändamålen för datainsamling matchar vad formulär, pixlar och analysverktyg faktiskt samlar in
- Om policyns påståenden om lagringstid eller cookielivslängd matchar de cookies som faktiskt sätts
- Om säkerhetspåståenden ("vi använder branschstandardens säkerhetsåtgärder") stöds av observerbara grunder som TLS och säkerhetsheadrar
Rättslig grund
GDPR Article 5
Principen om öppenhet och korrekthet som står på spel när policy och verklighet går isär — tillsynsmyndigheter har återkommande bedömt att säga en sak och göra en annan som ett brott mot kravet på korrekt behandling.
GDPR Article 13
Informationsskyldighetsartikeln som kräver att de angivna mottagarna och ändamålen för behandlingen är korrekta, inte önsketänkande.
GDPR Article 6(1)(a)
Om policyn beskriver samtyckesbaserad behandling som inte matchar vad som faktiskt sker blir den angivna rättsliga grunden i sig otillförlitlig.
Exempel på fynd
Policyn listar tre tredje parter, webbplatsen skickar data till åtta
Vad vi observerade
Integritetspolicyn namnger tre uttalade mottagare av besökardata. En beteendebaserad skanning av nätverkstrafik under en normal surfsession identifierar fem ytterligare tredjepartsdomäner som tar emot förfrågningar med identifierande parametrar.
Varför det spelar roll
Det här är den enskilt vanligaste fyndkategorin i policy-verklighetsgranskningar — policyn var korrekt när den skrevs, men marknadsföringsstacken har vuxit sedan dess utan att någon uppdaterat informationen.
FAQ
Redo att se vad din webbplats faktiskt gör?
Boka en fullständig beteendebaserad granskning — samma metodik som beskrivs ovan, körd mot hela din webbplats med ett fullständigt bevismaterial.
Boka en fullständig granskning