Apoteket och Apohem: En liten pixel blev en stor skandal
Integritetsskyddsmyndigheten (IMY) har nyligen fattat ett beslut som tydligt understryker hur viktigt det är att ha full kontroll över sin datahantering. Även företag med stora resurser kan ha svårt att leva upp till kraven, vilket visar att dataskydd är en utmaning för alla, oavsett storlek eller budget. Myndigheten har beslutat att bötfälla Apoteket AB med 37 miljoner kronor och Apohem AB med 8 miljoner kronor för att ha delat känsliga personuppgifter med Meta, företaget bakom Facebook och Instagram. Apoteket och Apohem använde en så kallad Meta-pixel på sina webbplatser, en bit kod som samlar in och skickar vidare personuppgifter från besökare till Meta. I detta fall inkluderade uppgifterna information om köp av receptfria läkemedel för specifika hälsoproblem, självtester, behandling av könssjukdomar och sexleksaker. Dock har inga uppgifter om receptbelagda mediciner har överförts.
”Hantering av denna typ av känsliga personuppgifter innebär stora risker och kräver en hög skyddsnivå. Företagen har varit skyldiga att vidta lämpliga åtgärder för att skydda dessa uppgifter från att delas med obehöriga,” säger Shirin Daneshgari Nejad, jurist på IMY.
Att överföra denna typ av data är inte bara problematiskt, utan också ett brott mot dataskyddsförordningen (GDPR), som tydligt ställer krav på att personuppgifter hanteras med största försiktighet och respekt för individens integritet.
På SWEDMA strävar vi efter att stötta marknadsförare i att förstå och integrera dataskydd i alla sina aktiviteter. Fallet med Apoteket och Apohem belyser hur viktigt det är att ha kunskap om och prioritera dataskydd samt konsumenters integritet. I en digital värld som utvecklas snabbt vill vi hjälpa företag att navigera dessa utmaningar på ett tryggt och hållbart sätt. Apoteks-fallen påminner om en tidigare dom från sommaren 2024, där Avanza bötfälldes för att ha använt Meta-pixeln.
Mattias Grundström, chefsjurist på SWEDMA, nämner några extra viktiga punkter som du som marknadsförare behöver ha koll på när du planerar och genomför en datadriven marknadsaktivitet. Utifrån syftet (marknadsföring) ska du kunna svara på:
- Vilka uppgifter som kommer att samlas in och behandlas?
- Hur ska dessa uppgifter behandlas och av vem/vilka?
- Är uppgifterna och behandlingarna rimliga i förhållande till ändamålet?
Om ni inte kan ge tydliga svar på dessa frågor kan det vara värt att pausa eller omvärdera aktiviteten eftersom det blir svårt för er att visa att ni följer GDPR.
Behöver ni mer vägledning eller råd är ni alltid välkomna att kontakta oss och om ni ännu inte är medlemmar i SWEDMA rekommenderar vi starkt ett medlemskap. Dataskydd är en utmaning oavsett bransch eller företagets storlek, och konsekvenserna av att göra fel kan bli kostsamma. Som medlem får ni tillgång till juridisk rådgivning och stöd som hjälper er att hantera dessa komplexa frågor. En fråga ni också kan ställa er: Har ni råd att ta risken utan rätt expertis?
Alla artiklar