I början av sommaren utfärdade Integritetsskyddsmyndigheten (IMY) en sanktionsavgift på 15 miljoner kronor mot Avanza Bank AB. Jag redogjorde för beslutet för en månad sen i en tidigare artikel. Nu har IMY utfärdat ytterligare två sanktionsavgifter mot Apohem AB och Apoteket AB (nedan apoteken) och avgifterna uppgick till 8 miljoner kronor respektive 37 miljoner kronor. Besluten är ett resultat från den granskning som Sveriges Radio Ekot gjorde av bolagets användning av Meta-pixeln under 2021.
Samtliga tre beslut rör användningen av Meta-pixeln på bolagens webbplatser och i appar. IMY har konstaterat att bolagen har haft bristande säkerhetsåtgärder då integritetskänsliga personuppgifter och personuppgifter som omfattats av banksekretess överförts till Meta. Gemensamt för de tre besluten är att bolagen anmält sig själva för personuppgiftincident då de upptäckt att funktioner i tjänsten d.v.s. funktioner i Meta-pixeln varit påslagna oavsiktligen.
Om vi tittar närmare på besluten mot apoteken så kan konstateras att bolagen inte fört över uppgifter om kunder som nekat till marknadsföringskakor utan samtliga kunder som fått personuppgifter överförda har samtyckt till överföringen genom bolagens cookie-banner. För kunder som har samtyckt har bl.a. händelsedata såsom URL och IP-adress förts över genom Meta-pixeln. Därutöver har bolagen fört över uppgifter om för- och efternamn, e-postadress, telefonnummer, personnummer, kön, stad, postnummer och land.
Inget av apoteken har överfört uppgifter om receptbelagda varor. Om en besökare accepterat marknadsföringskakor och genomfört ett köp har uppgifter om exempelvis följande produkter och/eller produktkategorier delats via Meta-pixeln: självtester, preventivmedel och dagen-efter-piller, sexleksaker, produkter för behandling av migrän och produkter för behandling av allergi.
Apoteken framhöll att det inte kan konstateras att överföring har skett av känsliga personuppgifter. Den som handlar av ett apotek kan även handla åt en annan person eller i syfte att skapa ett ”husapotek”.
IMY menade dock att det är sannolikt att köpen i åtminstone några fall har skett för eget bruk och att behandlingen därmed avslöjat uppgifter om den enskildes privatliv t.ex. sexualliv. Vid bedömningen av lämplig skyddsnivå skulle apoteken därför beakta att behandlingen skulle kunna komma att omfatta känsliga personuppgifter. IMY väger även in att behandlingen utförts av ett apotek där kunden får antas ha särskilda förväntningar på att deras personuppgifter hanteras med en hög grad av konfidentialitet.
Sammanfattningsvis bedömer IMY att behandlingen med hänsyn till sin art, omfattning och sammanhang har inneburit höga risker som medfört ett krav på hög skyddsnivå för personuppgifterna. Åtgärderna skulle bland annat säkerställa att personuppgifterna skyddas mot obehörigt röjande och förlust av kontroll. I de båda besluten finner IMY att bolagen inte kan anses ha vidtagit lämpliga tekniska och organisatoriska åtgärder i förhållande till de höga risker som behandlingen har inneburit.
Som jag tidigare lyft fram innebär besluten inte något förbud mot att använda Meta-pixeln i sig för att rikta marknadsföring i sociala medier. Dock bör bolag som vill använda Meta-pixeln först göra en juridisk riskanalys utifrån GDPR innan implementering av pixeln för att kartlägga vilka uppgifter som i praktiken kommer att överföras. Därtill som IMY även påpekar krävs ett systematiskt säkerhetsarbete vilket bland annat innebär återkommande kontroller med uppföljningar av aktuell personuppgiftsbehandling.
Intressant att notera är att i samtliga tre beslut har IMY inte beaktat omständigheten att bolagen har haft samtycke att placera marknadsföringskakor. Frågan om samtycke har varit en del i ärendehandläggningen men IMY tar den enkla vägen och väljer att endast bedöma ärendena utifrån frågan om bristande tekniska och organisatoriska säkerhetsåtgärder. Detta är givetvis synd då det skulle behövas vägledning för branschen i hur man ska se på inhämtande av samtycke via cookie-banners.
Besluten hittar ni här:
https://www.imy.se/globalassets/dokument/beslut/2024/beslut-tillsyn-apoteket-ab.pdf
https://www.imy.se/globalassets/dokument/beslut/2024/beslut-tillsyn-apohem.pdf
Katarina Ladenfors, advokat & partner på Advokatfirman MarLaw