Apoteket AB måste betala en så kallad sanktionsavgift på 37 miljoner kronor för att ha delat data med Meta, Facebooks och Instagrams ägarbolag. Även Apohem AB ska betala en sanktionsavgift, 8 miljoner kronor, för att på ett liknande sätt ha delat integritetskänslig information med Meta.

Bolagen har använt en spårningsmetod, Meta Pixel, på sina webbplatser vilken har överfört integritetskänslig information till Meta.

Genom att aktivera delfunktionen har bolagen fört över integritetskänsliga personuppgifter till Meta om ett stort antal kunder. Bolagen har bland annat fört över uppgifter om köp av receptfria läkemedel för behandling av exempelvis specifika hälsobesvär, självtester och behandling av könssjukdomar och sexleksaker. Överföringen har inte omfattat receptbelagda mediciner.

– Behandling av den här typen av integritetskänsliga personuppgifter innebär höga risker som medför krav på hög skyddsnivå. Bolagen har haft en skyldighet att vidta lämpliga åtgärder för att skydda uppgifterna från att exempelvis delas med obehöriga, säger Shirin Daneshgari Nejad, jurist på IMY.

IMY

Upptäckten gjordes inte av bolagen själva utan av utomstående i kombination med att överföringen pågått under en längre tid vilket är försvårande anser IMY.

– Vår granskning visar att bolagen inte har haft de rutiner som krävts för att själva upptäcka bristerna. Överföringen av personuppgifterna har därför pågått under en längre tid och stoppats först efter att bolagen fått kännedom om händelsen av utomstående, säger Maja Welander, jurist på IMY.