Tillsyn av Apoteket AB, gällande Facebook-pixel
I denna notis kommer tre utvalda nyheter från den svenska tillsynsmyndigheten Integritetsskyddsmyndigheten (”IMY”) presenteras.
Tre apotekskedjor har skickat in anmälningar om personuppgiftsincidenter till IMY. Anmälningarna rör personuppgifter som samlats in i företagens webbshoppar och som skickats över till Facebook.
IMY har inlett en tillsyn och nu pågår en granskning. De tre apoteken som är föremål för granskning är Apoteket, Apotea och Apohem.
IMY ställer ett antal frågor till de berörda apotekskedjorna, bland annat vilken typ av personuppgifter som förts över till Facebook, vad syftet med överföringen av uppgifter är, vilken rättslig grund som använts för överföringen och hur bolagen bedömt riskerna med att dela personuppgifter från sina webbshopar med Facebook.
IMY inleder granskning av Kry
Kry International har anmält en personuppgiftsincident som rör överföring av personuppgifter till Facebook. I anmälan framgår att bolaget haft en så kallad Facebook-pixel på två av sina webbplatser vilket medfört att bolaget överfört personuppgifter till Facebook.
IMY inleder således en granskning av det inträffade för att utreda vad som har hänt. Granskningen avser också utreda huruvida Kry anser att bolaget är personuppgiftsansvarig eller personuppgiftsbiträde för överföringen av personuppgifterna.
IMY ställer ett antal frågor till Kry, exempelvis vilka personuppgifter som överförts, hur många personer som kan ha påverkats av incidenten och vilka tekniska och organisatoriska säkerhetsåtgärder bolaget vidtagit.
IMY publicerar nytt rättsligt ställningstagande
Den 27 juni 2022 publicerade IMY ett rättsligt ställningstagande som klargör hur myndigheten tolkar ”undantaget för journalistiska ändamål” som finns i lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen).
I dataskyddslagen finns ett undantag från att följa GDPR då behandling av personuppgifter sker för journalistiska ändamål.
Ställningstagandet behandlar innebörden av begreppet journalistiska ändamål och vad som gäller när det finns andra parallella ändamål.
Begreppet journalistiska ändamål ska enligt IMY ges en bred tolkning och har en bredare innebörd än i vardagligt språkbruk.
Undantaget från skyldigheten att följa GDPR kan omfatta när till exempel privatpersoner sprider information, åsikter eller idéer till allmänheten i sociala medier och således inte endast vad yrkesmässiga journalister och traditionella massmedier gör.
I ställningstagandet anmärks dock att journalistiska ändamål inte kan ges en sådan bred innebörd att det omfattar all information som tillgängliggörs på internet innehållande personuppgifter, exempelvis då en sökmotorleverantör tillhandahåller en sökmotor eller en till allmänheten riktad renodlad söktjänst avseende fällande brottmålsdomar.
Publicering av uppgifter av rent privat karaktär omfattas normalt inte heller av undantaget. Vid en journalistisk granskning av personer i maktposition och då det är nödvändigt att offentliggöra uppgifterna med hänsyn till de journalistiska ändamålen kan dock publicering av rent privata uppgifter omfattas av undantaget för journalistiska ändamål.
I ställningstagandet ger IMY exempel på domstolspraxis av relevans vid tolkningen av begreppet ”journalistiska ändamål”.
IMY ger även tio konkreta exempel på olika typer av publiceringar av personuppgifter och huruvida dessa omfattas av undantaget för journalistiska ändamål eller inte.