Piksel trakujący – wymagania na gruncie RODO

Tzw. piksel trakujący (śledzący) to fragment kodu HTML, przybierający postać małego niewidocznego obrazka, który jest ładowany, gdy użytkownik odwiedza stronę internetową lub otwiera wiadomość e-mail (zawierającą newsletter). Mierzy, jak często otwierany jest newsletter lub strona internetowa.

Piksel służy śledzeniu zachowań użytkowników. Dzięki pikselowi reklamodawcy mogą pozyskiwać cenne dane do marketingu online, w tym e-mailowego. Dzięki analizie dokonanej przy użyciu odpowiednich narzędzi analitycznych, dane uzyskane za pomocą piksela mogą być wykorzystywane do - na przykład - retargetingu (wyświetlania w różnych miejscach reklamy tym, którzy mieli kontakt z daną stroną internetową). To idealne narzędzie dla marketingowców, ale co z ochroną prywatności?

Jak to działa?

Piksel śledzący to grafika o wymiarach 1x1 pikseli, która jest ładowana, gdy użytkownik odwiedza stronę internetową lub otwiera wiadomość e-mail. Ponieważ jest tak mały, pozostaje prawie niewidoczny dla odwiedzających stronę internetową lub odbiorców wiadomości e-mail. Piksele śledzące są częściowo lub w całości zaprojektowane tak, aby były przezroczyste lub zakamuflowane w kolorze tła witryny i nie wyróżniały się dla użytkowników. Gdy użytkownik odwiedza witrynę, obrazek jest ładowany z tego serwera., a działanie użytkownika jest rejestrowane w plikach dziennika serwera.

Piksel wykorzystuje dwa rodzaje plików cookie: wewnętrzne i zewnętrzne. Różnica polega na tym, kto jest właścicielem danego pliku: wewnętrzne pliki cookie należą do przeglądanej w danej chwili witryny, zaś zewnętrzne są własnością innej witryny niż aktualnie przeglądana przez internautę. Domyślnie piksel używa zarówno plików wewnętrznych jak i zewnętrznych.

Śledzenie pikseli i plików cookie ma podobieństwa, ale rozwiązania te działają inaczej. Pliki cookie przechowują dane na urządzeniu internauty, dzięki czemu można je wykorzystać później - na przykład zawartość koszyka zakupów w sklepie internetowym lub preferencje językowe na stronie internetowej. Piksele śledzące są ładowane, gdy tylko otworzymy wiadomość e-mail lub witrynę – czyli jest on również na urządzeniu, ale nie przechowuje żadnych danych, które zostaną odczytane później. Zamiast tego śledzenie wysyła informacje o pikselu do serwera podczas ładowania wiadomości e-mail lub strony internetowej. Nadawcy e-maila lub właściciele strony internetowej mogą sprawdzić, czy coś otworzyliśmy, a jeśli tak, to kiedy.

Mała rzecz, a śledzi

Za pomocą piksela śledzącego mogą być zbierane i analizowane następujące dane:

  • Używany system operacyjny (informuje o korzystaniu z urządzeń mobilnych);
  • Rodzaj używanej strony internetowej lub poczty e-mail, na przykład na urządzeniu mobilnym lub stacjonarnym;
  • Typ używanego klienta, na przykład przeglądarka lub program pocztowy;
  • Rozdzielczość ekranu klienta;
  • Czas przeczytania wiadomości e-mail lub odwiedzin witryny;

Dzięki pikselowi mogą być rejestrowane następujące przykładowe zdarzenia:

  • Dodanie produktów do koszyka (np. kliknięcie, wyświetlenie strony docelowej po kliknięciu przycisku „Dodaj do koszyka”);
  • Dodanie produktów do listy życzeń (np. kliknięcie, wyświetlenie strony docelowej po kliknięciu przycisku „Dodaj do listy życzeń”);
  • Wysłanie formularza rejestracyjnego (np. zamówienie subskrypcji, zamówienie usługi);
  • Telefon lub SMS, e-mail, wiadomość na czacie lub inny rodzaj kontaktu klienta z firmą;
  • Personalizacja produktów w narzędziu konfiguracyjnym lub innej aplikacji, którą dysponuje firma;

Wdrożenie NIS2

Piksele śledzące upraszczają również pracę spamerów. Spamerzy mogą integrować piksele śledzące w swoich wiadomościach spam, aby dowiedzieć się, czy adres e-mail jest prawidłowy. Jeśli odbiorca otworzy wiadomość e-mail i w ten sposób załaduje automatyczny piksel śledzący, spamer otrzyma potwierdzenie autentyczności adresu e-mail. W rezultacie wzrasta wysyłanie wiadomości spam.

Efekty wykorzystania piksela to na przykład:

  • Emisja reklam wśród właściwej grupy odbiorców - znajdowanie nowych klientów lub osób, które odwiedziły określoną stronę lub podjęły oczekiwane działanie w witrynie.
  • Zwiększenie sprzedaży - automatyczne składanie ofert docierających do osób, które są bardziej skłonne do podjęcia działania, np. dokonania zakupu.
  • Pomiar wyników reklam - pozwala poznać skuteczność reklamy, analizując to, co się zdarzyło bezpośrednio w wyniku jej wyświetlenia.

A może to nie dane osobowe?

Piksele śledzące są często krytykowane przez rzeczników ochrony danych osobowych, ponieważ gromadzą kompleksowe dane o użytkowniku, w większości bez jego wiedzy. Piksela śledzącego nie można zobaczyć gołym okiem, a zwykły użytkownik nie ma świadomości, do czego służy mała grafika, nawet gdy jest ona widoczna. Na tej podstawie krytycy twierdzą, że w przypadku pikseli śledzących prywatność użytkownika jest naruszana poprzez rejestrowanie profili użytkowników. Transmisja adresu IP umożliwia również przyporządkowanie informacji do innych informacji o użytkowniku w Internecie, np. do profilu w serwisie społecznościowym lub forum. Nie pozostaje nic innego jak przyznać wspomnianym krytykom rację. Dane osobowe to bowiem informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, zaś możliwa do zidentyfikowania osoba fizyczna to osoba, którą można nawet pośrednio zidentyfikować, łącząc wszystkie pochodzące z piksela informacje.

Ważne

Zgodnie z RODO użytkownicy muszą być poinformowani, że strona internetowa zbiera dane osobowe (w tym te pochodzące z piksela śledzącego). Obowiązek informacyjny ciąży na administratorze danych, czyli tym podmiocie, który decyduje o zebraniu danych, określa cele i sposoby ich przetwarzania.

Kto odpowiada za wypełnienie obowiązków wynikających z RODO?

Migracje, chmury, systemy.
RODO w IT.

Szkolenie RODO w IT dla inspektorów ochrony danych oraz managerów i pracowników IT. Zapraszamy!
SPRAWDŹ TERMINY
Nawet jeśli fizycznie nie ma dostępu do danych (nie zbiera danych), to administrator decyduje o tym, czy i w jakim zakresie dane będą przekazywane do zewnętrznego podmiotu. Ergo – jeżeli dany podmiot decyduje się na umieszczenie piksela śledzącego w wysyłanych wiadomościach e-mail/na swojej stronie internetowej, jest on odpowiedzialny za dane, które przekazuje dostawcy wspomnianego piksela. Z tego powodu administrator powinien zapewnić odpowiednią podstawę prawną przetwarzania, w tym przekazywania danych, jak również spełnić obowiązek informacyjny – poinformować śledzone za pomocą piksela osoby, że śledzenie ma miejsce, jakie dane są pozyskiwane, komu przekazywane itd. Takie też jest stanowisko holenderskiego organu nadzorczego (odpowiednika naszego UODO) przedstawione tutaj.

Przykład pikselu Facebooka – kto jest administratorem danych

W przypadku narzędzia oferowanego przez Facebook firma wprost przyznaje się do współadministrowania danymi osobowymi, o czym można przekonać się analizując zapisy na www.facebook.com/legal/terms/businesstools_jointprocessing. W zamieszczonej na stronie tabeli zaprezentowano rodzaje danych osobowych gromadzonych i przekazywanych Facebook Ireland w ramach wspólnego przetwarzania/współadministrowania w przypadku korzystania z narzędzi biznesowych Facebooka. Samą umowę współadministrowania, wymaganą przez art. 26 RODO, można znaleźć na www.facebook.com/legal/controller_addendum. Zgodnie z umową, Facebook Ireland Ltd. oraz użytkownik (tj. właściciel strony internetowej wykorzystującej piksel Facebooka) są współadministratorami danych.

Internauto - masz dosyć szpiegowania?

Na koniec wskażemy na kilka sposobów, dzięki którym użytkownicy mogą zapobiec gromadzeniu swoich danych przez piksele śledzące:

  • Ustawienie przeglądarki i ustawień poczty e-mail tak, aby były jak najbardziej restrykcyjne i aby zewnętrzna grafika była obsługiwana tylko po uzyskaniu zgody, a wiadomości e-mail w formacie HTML nie były obsługiwane. W tym celu można również użyć odpowiednich ustawień zapory. Niektóre rozszerzenia przeglądarki mogą służyć do wyświetlania pikseli śledzących.
  • Anonimowe surfowanie za pomocą przeglądarki Tor lub korzystanie z serwerów proxy, aby zapobiec pobieraniu pikseli śledzących.
  • Aby zapobiec gromadzeniu dodatkowych danych użytkownika, takich jak typ przeglądarki lub system operacyjny, można wyłączyć obsługę skryptów w przeglądarce, co może jednak w pewnych okolicznościach ograniczyć inne funkcje w Internecie.
  • Wyłączając pliki cookie w przeglądarce wyłączysz pikselowi Facebooka możliwość wysyłania danych do Facebook.
quiz

Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!

Które z poniższych stwierdzeń najlepiej opisuje funkcję piksela śledzącego?

Czytaj także:

Najczęstsze błędy przy zawieraniu umów powierzenia

„Nie potrzebujemy dokumentacji IT, wiemy jak mamy działać”

Jesteś tego pewien?

Zamów
audyt IT

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz "Oznacz jako wiadomość pożądaną").
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>