Integritetsskyddsmyndigheten (IMY) har utfärdat en sanktionsavgift på 8 miljoner kronor mot Apohem AB efter att bolaget använt den så kallade Meta-pixeln på sina webbplatser och överfört integritetskänsliga personuppgifter till Meta i strid med reglerna i dataskyddsförordningen (GDPR).
Av beslutet framgår att Apohem har använt sig av Metas analysverktyg Meta-pixel på sina webbplatser för att förbättra sin marknadsföring på Facebook och Instagram. Den felaktiga överföringen av personuppgifter har orsakats av att bolaget aktiverat en ny delfunktion i Meta-pixeln.
Genom att aktivera delfunktionen har bolaget fört över integritetskänsliga personuppgifter till Meta om ett stort antal kunder. Bolaget har bland annat fört över uppgifter om köp av receptfria läkemedel för behandling av exempelvis specifika hälsobesvär, självtester och behandling av könssjukdomar och sexleksaker. Överföringen har inte omfattat receptbelagda mediciner. Apohem beräknar att ca 15 000 registrerade har omfattats av incidenten.
Behandling av den här typen av integritetskänsliga personuppgifter innebär enligt IMY höga risker som medför krav på hög skyddsnivå. Apohem har haft en skyldighet att vidta lämpliga åtgärder för att skydda uppgifterna från att exempelvis delas med obehöriga.
En grundläggande förutsättning i arbetet med att skydda personuppgifter är ett systematiskt säkerhetsarbete som omfattar löpande uppföljning av pågående behandlingar. IMY:s granskning visar att Apohem inte har haft de rutiner som krävts för att själva upptäcka bristerna. Överföringen av personuppgifterna har därför pågått under en längre tid och stoppats först efter att bolaget fått kännedom om händelsen av utomstående.
Apohem har brutit mot artikel 32.1 GDPR genom att inte ha vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå för sina kunders personuppgifter. Bristerna gör att IMY beslutar om sanktionsavgift mot Apohem med 8 miljoner kronor.