Sanktionsavgifter mot Apoteket och Apohem för överföring av personuppgifter till Meta
I dataskyddsförordningen, GDPR, finns en skyldighet att anmäla vissa personuppgiftsincidenter till IMY. IMY har tagit emot sådana anmälningar från Apoteket och Apohem om att respektive bolag under en längre tid fört över fler personuppgifter än avsett till Meta.
Apoteket och Apohem har använt sig av Metas analysverktyg Meta-pixel på sina webbplatser för att förbättra sin marknadsföring på Facebook och Instagram. Den felaktiga överföringen av personuppgifter har orsakats av att bolagen aktiverat en ny delfunktion i Meta-pixeln.
Integritetskänslig och skyddsvärd information
Genom att aktivera delfunktionen har bolagen fört över integritetskänsliga personuppgifter till Meta om ett stort antal kunder. Bolagen har bland annat fört över uppgifter om köp av receptfria läkemedel för behandling av exempelvis specifika hälsobesvär, självtester och behandling av könssjukdomar och sexleksaker. Överföringen har inte omfattat receptbelagda mediciner.
– Behandling av den här typen av integritetskänsliga personuppgifter innebär höga risker som medför krav på hög skyddsnivå. Bolagen har haft en skyldighet att vidta lämpliga åtgärder för att skydda uppgifterna från att exempelvis delas med obehöriga, säger Shirin Daneshgari Nejad, jurist på IMY.
Apoteken har inte vidtagit lämpliga skyddsåtgärder
En grundläggande förutsättning i arbetet med att skydda personuppgifter är ett systematiskt säkerhetsarbete som omfattar löpande uppföljning av pågående behandlingar.
– Vår granskning visar att bolagen inte har haft de rutiner som krävts för att själva upptäcka bristerna. Överföringen av personuppgifterna har därför pågått under en längre tid och stoppats först efter att bolagen fått kännedom om händelsen av utomstående, säger Maja Welander, jurist på IMY.
Bolagen har brutit mot dataskyddsförordningen, GDPR, genom att inte ha vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå för sina kunders personuppgifter.
Bristerna gör att IMY beslutar om sanktionsavgifter på 37 miljoner kronor mot Apoteket och 8 miljoner mot Apohem.
Bolagen har efter att de upptäckte den felaktiga överföringen av uppgifter till Meta utvecklat sina interna rutiner för att säkerställa en korrekt och säker behandling av personuppgifter. Incidenterna anmäldes till IMY 2022.
Fler granskningar av Meta-pixeln
IMY har flera andra pågående granskningar som grundar sig i anmälda personuppgiftsincidenter där personuppgifter under en längre tid har förts över till Meta. Myndigheten granskar vad som har skett och vilka rutiner bolagen har för att ha kontroll på användarnas personuppgifter.
För mer information kontakta
Tillsynen mot Apoteket: Maja Welander, jurist, telefon 08-515 154 39
Tillsynen mot Apohem: Shirin Daneshgari Nejad, jurist, telefon 08-515 154 58
Presstjänsten, telefon 08-515 154 15