Sporingsverktøy innebærer behandling av personopplysninger
Mange sporingsverktøy fastholder at de bare behandler «avidentifiserte» eller pseudonymiserte opplysninger, at opplysningene hashes, at verktøyene behandler tallkoder i stedet for navn eller e-postadresser og liknende. Dette betyr imidlertid ikke at opplysningene er anonyme.
De fleste sporingsverktøy er laget for å kjenne igjen personer over tid. For å gjøre dette bruker verktøyene ofte (men ikke alltid) ulike nettidentifikatorer, altså ID-koder, som består av tall og/eller bokstaver. Eksempler på nettidentifikatorer inkluderer IP-adresse, cookie-ID eller MAC-adresse. Ved hjelp av nettidentifikatorer kan verktøyene kjenne igjen de besøkende og skille dem fra hverandre. På denne måten blir det også enkelt å spore enkeltpersoner på tvers av ulike nettsteder og apper - og på den måten koble sammen data om dem.
I de aller fleste tilfeller vil det være mulig å knytte opplysningene fra sporingsverktøyene til en enkeltperson som kan identifiseres. Da regnes også opplysningene som personopplysninger, og personvernforordningen (GDPR) gjelder. Det er ikke avgjørende hvorvidt personen er identifisert, men heller hvorvidt det er mulig for noen å identifisere vedkommende, om nødvendig ved hjelp av ytterligere informasjon som det er mulig å få tilgang til.
Tommelfingerregelen er derfor at dersom du bruker sporingsverktøy på nettsiden eller i appen din, behandler du personopplysninger. Veldig ofte vil dessuten disse personopplysningene deles med eller tilgjengeliggjøres for selskapet som tilbyr verktøyet.
I sporingstilsynene omtalt over brukte nettstedene sporingsverktøy fra Snap (Snap Pixel), Google (DoubleClick), Meta (Meta Pixel), Microsoft (UET Tag) og Xandr (uuid2, Adnxs.com). Ved å bruke disse verktøyene, tilgjengeliggjorde nettsidene personopplysninger om enkeltpersoner som besøkte nettstedene, for disse selskapene.