Apoteket och Apohem: Meta-pixeln blev en GDPR-skandal
IMY:s beslut visar hur känslig data, Meta-pixeln och GDPR kan bli en kostsam kombination
Integritetsskyddsmyndigheten, IMY, har fattat ett uppmärksammat beslut som tydligt visar hur viktigt det är att ha kontroll över sin datahantering, särskilt när det gäller känsliga personuppgifter och marknadsföringsteknik. IMY har beslutat att Apoteket AB ska betala 37 miljoner kronor och Apohem AB 8 miljoner kronor i sanktionsavgift efter att bolagen använt Meta-pixeln på sina webbplatser och därigenom överfört integritetskänsliga personuppgifter till Meta.
Det som överfördes var enligt IMY bland annat information som kunde kopplas till köp av receptfria läkemedel för specifika hälsotillstånd, självtester, behandling av könssjukdomar och sexleksaker. IMY har samtidigt klargjort att tillsynen inte avsåg överföring av uppgifter om receptbelagda läkemedel. Myndigheten bedömde att bolagen inte hade vidtagit tillräckliga tekniska och organisatoriska åtgärder för att skydda uppgifterna, vilket innebar brott mot GDPR.
Enligt IMY innebär hantering av den här typen av uppgifter stora risker och kräver en hög skyddsnivå. Myndigheten lyfte också att överföringen pågått under en längre tid och att den stoppades först efter att bolagen fått kännedom om händelsen från utomstående. Det gjorde bristerna särskilt allvarliga i bedömningen.
Fallet med Apoteket och Apohem visar att dataskydd i marknadsföring är en fråga som berör alla företag, oavsett storlek eller resurser. För marknadsförare blir det allt viktigare att förstå vilka uppgifter som samlas in, hur de behandlas, vem som får tillgång till dem och om behandlingen är rimlig i förhållande till ändamålet. Liknande frågor har redan aktualiserats i andra tillsynsärenden, bland annat när Avanza fick en sanktionsavgift på 15 miljoner kronor efter överföring av personuppgifter till Meta via samma typ av teknik.
För företag som arbetar med datadriven marknadsföring blir lärdomen tydlig: om ni inte kan svara klart på vilka personuppgifter som samlas in, hur de behandlas, av vilka och varför, är det klokt att pausa eller omvärdera aktiviteten. I en snabbt föränderlig digital miljö är GDPR, konsumentintegritet och kontroll över tredjepartsverktyg inte bara juridiska frågor, utan också avgörande för förtroende, varumärke och affärsrisk.
