Tre bolag får reprimand av IMY efter att ha delat personuppgifter via Meta-pixeln

Av Sophie Wichmann, Thesis Trainee, Advokat­firman Delphi.

Integritetsskyddsmyndigheten (IMY) har utdelat en reprimand till Kry International AB (”Kry”), Apotea Sverige AB (Apotea”), Länsförsäkringar AB och ytterligare 27 bolag inom Länsförsäkringsgruppen efter att bolagen brutit mot dataskyddsförordningen.

Verksamheterna hade av misstag läckt personuppgifter till Meta, som äger bland annat Facebook och Instagram. I samtliga fall uppgav bolagen att den felaktiga överföringen orsakats av att en delfunktion i analysverktyget Meta-pixeln aktiverats utan deras kännedom. Informationen användes till annonsering och marknadsföring och innehöll till exempel mejladresser och telefonnummer. Länsförsäkringar upptäckte läckan efter knappt tre månader men för Kry och Apotea tog det närmare två år.

Den personuppgiftsansvarige ska enligt artikel 32.1 i dataskyddsförordningen vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med behandlingen. Bolagen uppgav i samband med tillsynen att de visserligen haft rutiner för att följa upp sin behandling av personuppgifter, men att de inte följts.

I besluten konstaterade IMY att en grundläggande förutsättning för att bolagen ska kunna uppfylla sina skyldigheter enligt dataskyddsförordningen är att de är medvetna om vilken behandling som sker under deras ansvar. Bolagen kände inte till incidenterna förrän en utomstående uppmärksammat dem. IMY konstaterade därför att bolagen saknat kontroll och förmåga att identifiera oavsiktlig behandling av personuppgifter.

Särskilda kategorier av personuppgifter, till exempel uppgifter om hälsa, är förbjudna att behandla om inte undantag föreligger enligt artikel 9.2 i dataskyddsförordningen. I sin bedömning konstaterade IMY att de aktuella överföringarna inte hade omfattat särskilda kategorier av personuppgifter. Avseende Kry hade överföringen inte omfattat några uppgifter om relationen mellan användaren och slutanvändaren eller några uppgifter om vad bokningen gällt. Det hade således inte gått att utläsa om slutanvändaren varit patient och inte heller om mötet utgjort ett vårdbesök, eller vilka hälsobesvär det i så fall skulle gälla. Avseende Apotea hade endast produkternas interna produkt-id och inga uppgifter om t.ex. namnet på produkten överförts till Meta. Det framgick alltså inte av uppgifterna som fördes över till Meta om en kund hade köpt en vara av integritetskänslig natur, t.ex. läkemedel eller medicintekniska produkter. I samtliga fall uttalade dock IMY att kunderna, med hänsyn till sammanhanget personuppgifterna behandlades i, haft en berättigad förväntan på att deras uppgifter hanteras med hög grad av konfidentialitet.

Mot bakgrund av att bolagen på förhand hade begränsat behandlingen på ett sådant sätt att känsliga personuppgifter inte kunnat överföras till Meta, bedömde IMY att överträdelserna var av mindre allvarlig art och bolagen undgick sanktionsavgift.

Besluten visar på vikten av att ha lämpliga tekniska och organisatoriska åtgärder på plats för att ha kontroll över verksamhetens personuppgiftsflöden och upptäcka eventuella personuppgiftsincidenter.