Фейсбук Піксель є найпопулярнішим інструментом для відзначення відвідувачів та одночасно дуже ризикованим за законодавством про захист даних. Цей матеріал показує, як використовувати Фейсбук Піксель відносно безпечним чином.
Фейсбук Піксель та захист даних
Відомо, що компанія Facebook (США) збирає дуже багато даних своїх користувачів. Платформа за себе безкоштовна, користувач платить своїми даними. В минулому вже майже проблематичне було, якщо його можна було виразити досить ввічливо, але з 25 травня 2018 року воно стало дуже вибухонебезпечним за допомогою Повідомлення про захист даних.
Кернь рішення полягає в самостійному розробленні випадкової можливості для Facebook Pixel, яка у поєднанні з іншими заходами допомагає бути майже конформістом щодо вимог Європейської угоди про захист даних. Ніщо не відомо точно, які дані обробляє Facebook чи Meta для якихось цілей. У будь-якому разі є судове рішення щодо Facebook Plugin (ЄСПЛ рішенням від 29 липня 2019 року – C-40/17 – "Fashion ID"), згідно якого існує спільна відповідальність. При виникненні проблем сидять у одному човні вебсайтовий власник, який інтегрував FB Pixel, та Meta. Однак слід очікувати, що Meta не візьме участь у цьому.
Представлені умови
Для аналітичних інструментів на вебсторінках повинні виконуватися ряд умов, щоб вони мали шанс бути правовірними. До них належать:
- Запит на згоду: піксель може бути завантажений лише після того, як користувач (=відвідувач веб-сайту) дав на це згоду. Це випливає, серед іншого, з § 25 TTDSG, ст. 49 GDPR, рішення Суду ЄС у справі Schrems II (рішення від 16.07.2020 – C-311/18) та ст. 5 абз. 1 літ. c GDPR («мінімізація даних»)
- Правильний текст для політики конфіденційності: Назва компонента, його призначення, компанія-розробник (адреса), посилання на політику конфіденційності компанії до компонента, зібрані особисті дані, інші вказівки (як посилання на обліковий запис у Facebook якщо користувач зараз там залогінений)
- Видалення можливості збору даних особистих даних за допомогою інструменту аналізу (Опт-аут)
- Анонімізація IP-адреси (див. Google Analytics, наприклад)
- Мінімізація даних, які потрібно зібрати до рівня, який можна обґрунтувати (я не знаю чому потрібне саме вік відвідувачів вебсайту знати, ніхто не має права на це без особливих підстав)
- Договір про обробку замовлень з постачальником аналітичної програми
- Гарантія того, що постачальник інструменту аналізу дотримується чинних на території країни вимог щодо захисту даних
Хто вважає, що це можливо для Facebook Pixel, може продовжувати далі. einige пункти стосуються цього пікселя не обов'язково, оскільки він не обов'язково повинен бути розглянутий як інструмент аналізу.
Запитання згоди
Шаг 1: Не завантажувати пікселі
Ніколи не публікувати код для фейсбук піксель, сподіваючись, що інструмент збору згоди ефективно його блокує, поки користувач надає згоду. Дивіться мої дослідження щодо інструментів cookie.
Натомість використовуйте одну з наступних двох можливостей:
- Завантажити код для фейсбук пікселя після того, як користувач погодився.
- Код виконувати неактивно і активувати лише після згоди користувача.
Можливість один можна, наприклад, здійснити за допомогою моєї безкоштовного інструменту отримання згоди.
Можливість два використовує вже досить поширену директиву data-src ( замість src) у командах скрипту. Код для пікселя FB виглядатиме так:
<script data-src="/script/to/pixel-code"></script>
Вимаганням є те, щоб код для завантаження Facebook Пікселів знаходився в скриптовій файлу. Хто шукає технічні пропозиції щодо цього, може знайти їх у статті про згадане раніше інструменту згоди від мене. Можливо, також буде корисним наступний приклад коду.
Шаг 2: Інформація про захист даних на запитанні згоди
У моїй списку перевірок для запитань щодо згоди ви знайдете дані, які потрібно зробити у часто згадуваному під назвою "Cookie Popup" вікні згоди. Це зокрема:
- Ім'я служби, тут: Facebook Pixel (або інш., залежно від типу завантаженого сервісу FB)
- Коротка інформація про призначення
- Провайдер називають: Meta з вказанням країни (повна адреса також або щонайменше в Політиці конфіденційності)
- Зазначте, що ризики згідно з ст. 44 ДЗ-ГПД через передачу даних до США існують
- Всі куки називають. Для кожного кука
- Name
- Опис мети
- Вікова тривалість
Ви повинні забезпечити, щоб можливість погодитися на файли cookie була не більш видимою ніж можливість відмовитися від них. Відмова повинна бути мінімум так легко доступна як згода.
Вибіркова можливість (Opt-Out)
Фейсбук Піксель за замовчуванням не має можливості відмовитися від нього. Я пропоную такий варіант рішення:
Шаг 1: Вставте код JavaScript
Вставте наступний код на кожній сторінці вашої вебсторінки, замініть ідентифікатор Facebook у коді на свій власний. Код можна розмістити у BODY-області, наприклад, зовсім біля початку:
<!-- Facebook Pixel privacy protection (C) dr-dsgvo.de -->
<script>
var fpProperty = 'mde-service';
var fpdisableStr = 'fp-disable-' + fpProperty;
// Opt-out function
function fpOptout() {
document.cookie = fpdisableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
window\[fpdisableStr\] = true;
alert("The Facebook Pixel is deactivated and will no longer be loaded. Please refresh the page");
}
function activatePixelMDE() {
document.cookie = fpdisableStr+'=true; Max-Age=-99999999;path=/';
window\[fpdisableStr\] = false;
alert("Facebook Pixel will be activated at next page load");
window.location=window.location;//Reload of page
}
if (document.cookie.indexOf(fpdisableStr + '=true') > -1) {
// FB-Pixel is deactivated by user, do nothing
console.log(atob("RmFjZWJvb2sgUGl4ZWwgaXN0IGRlYWt0aXZpZXJ0LiBEYXRlbnNjaHV0ei1NZWNoYW5pc211cyB2b24gaHR0cDovL3d3dy5tZWluZS1kYXRlbnNjaHV0emVya2xhZXJ1bmcuZGU="));
}else {
!function(f,b,e,v,n,t,s)
{if(f.fbq)return;n=f.fbq=function(){n.callMethod?
n.callMethod.apply(n,arguments):n.queue.push(arguments)};
if(!f.\_fbq)f.\_fbq=n;n.push=n;n.loaded=!0;n.version='2.0';
n.queue=\[\];t=b.createElement(e);t.async=!0;
t.src=v;s=b.getElementsByTagName(e)\[0\];
s.parentNode.insertBefore(t,s)}(window, document,'script',
'https://connect.facebook.net/en\_US/fbevents.js');
fbq('init', '2051522461760028');//Put your ID in here
fbq('track', 'PageView');
console.log(atob("RGF0ZW5zY2h1dHotTWVjaGFuaXNtdXMgdm9uIGh0dHA6Ly93d3cubWVpbmUtZGF0ZW5zY2h1dHplcmtsYWVydW5nLmRl"));
}
</script>
Перевірте, чи після здійсненого відміни сторінка завантажується знову.
Шаг 2: Додайте інформацію про захист даних у своїй політиці щодо захисту даних
Їх користувачі повинні отримати можливість відмовитися від використання Facebook Pixel. Цю можливість можна здійснити за допомогою коду JavaScript. Копіюйте наступний код туди в своїй Політиці конфіденційності, де користувач повинен мати можливість відмовитися від використання Facebook Pixel.
<script>
if (document.cookie.indexOf(fpdisableStr + '=true') > -1) {
document.write('<div class="text-center" style="margin-top:24px"><a onclick="activatePixelMDE()">Activate FB Pixel</a></div>');
}else {
document.write('<div class="text-center" style="margin-top:24px;margin-bottom:96px"><a onclick="fpOptout()">Deactivate the pixel</a></div>');
}
</script>
Найкращий варіант – скопіювати цей код наприкінці тексту про захист даних для Facebook Pixel.
Розширений порівняльний аналіз
Фейсбук пропонує можливість проведення розширеної синхронізації даних. Ця опція повинна бути негайно деактивована, щоб уникнути проблем із захистом даних. Якщо ви все ж таки хочете використовувати розширений обмін, необхідно обов'язково отримати згоду своїх користувачів перед використанням пікселя. Як саме це зробити можна, залишається за вашим розсудом – відомих відповідних рішень немає.
Правові застереження
Цей стаття не є юридичним порадою. Якщо ви хочете бути цілковито впевненими, слід дотримуватися наступного кроку, який проте досить непрактичний:
- Запитайте згоду свого користувача щодо використання Facebook Pixel та збирання даних, пов'язаних із цим
- Перш ніж завантажити код Facebook Pixel, отримайте згоду
- Якщо користувач відкликає своє згоду – наприклад, шляхом використання механізму відмови від обробки даних, як було запропоновано вище – запобігайте завантаженню коду Facebook знову
Виправлення запитання щодо згоди, вказаного під пунктом 1, можна поєднати з вікном повідомлень про файли cookie, в якому просить згоду на використання файлів cookie. Звучає складно і не дуже користувачем приємно, але так воно й є. Правила захисту даних займаються захистом даних, а не користувацькою приємністю або практичністю. Весело дивіться!
Контроль за захистом даних для вебсайтів
Один широкий текст захисту даних щодо Facebook Pixel, а також підтримка багатьох інструментів аналізу, скриптів та компонентів надає перевірка захисту даних. Що ні людина не зможе зробити, зробить моя програма: автоматизована аналіз захисту даних вебсайту разом із пропозиціями рішень для знайдених проблем.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
