Katarina Ladenfors om GDPR: Viktiga händelser och vad de innebär

Nu har det kommit ytterligare tre intressanta beslut från Integritetsskyddsmyndigheten (IMY) avseende överträdelse av Dataskyddsförordningen (GDPR). Besluten rör Apoteket AB, Apohem AB och Avanza Bank AB:s användning av Meta-pixeln på sin webbplats. 

I början av sommaren utfärdade Integritetsskyddsmyndigheten (IMY) det första beslutet som rörde Avanza. Avanza fick en sanktionsavgift på 15 miljoner kronor för att banken använt en så kallad Meta-pixel på sin webbplats och app och som medfört att uppgifter om exempelvis kunders värdepappersinnehav och kontonummer överförts till Meta.

Bakgrunden till beslutet är Sveriges Radio Ekots granskning under 2021 av aktörer som använder Meta-pixeln. IMYs beslut mot Avanza var det första av tre ärenden om bolags användning av Meta-pixeln efter Sveriges Radio Ekots granskning våren 2021. Nu i september kom det ytterligare två beslut rörande samma fråga som innebar sanktionsavgift för Apoteket med 37 miljoner kronor och Apohem med 8 miljoner kronor. Sanktionsavgiftens storlek baseras på bolagens omsättning.

För Avanza hittade Ekot i sin granskning att Avanza överfört kunduppgifter såsom personnummer, lånebelopp och kontonummer till Meta vilket bland annat strider mot regler om banksekretess. Genom granskningen uppmärksammades Avanza på läckan till Meta och valde att den 2 juni 2021 anmälde saken som en personuppgiftsincident till IMY. Av anmälan framkom att mellan 500 000 – 1 miljon personuppgifter under tiden från den 15 november 2019 till och med den 2 juni 2021 felaktigt överförts till bankens samarbetspartner Meta.

Genom användningen av Meta-pixeln hade funktioner som möjliggjorde matchning av personuppgifter varit påslagna. Exempelvis en funktion som följer hur en användare rör sig på en sajt/i mobilen (konverterar) och kan analysera beteendet för att sedan kunna ge förslag på marknadsföring på Facebook. Via funktionen kunde uppgifter om bland annat värdepappersinnehav och värde, Information om lånebelopp, kontonummer och kreditlimit, avgifter, skatter och aktuella räntor, pågående transaktioner samt e-postadress och personnummer överföras till Meta. Enligt Avanza var dessa funktioner påslagna oavsiktligt.

IMY kom fram till att Avanza inte vidtagit tillräckliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå för de personuppgifter som överförts till Meta och utfärdade därför sanktionsavgiften på 15 miljoner kronor. Motsvarande bedömning gjordes i ärendena rörande apoteken där bolagen överfört känsliga personuppgifter om exempelvis inköp av läkemedel till Meta.  

De tre besluten ska inte ses som något förbud mot att använda Meta-pixeln i sig för att rikta marknadsföring i sociala medier. Besluten bör dock ses som ett tydligt ställningstagande från IMY om att organisationer som vill använda funktioner och verktyg som behandlar personuppgifter måst göra sin hemläxa och utvärdera systemen innan de börjar användas. Det är viktigt att först göra en juridisk riskanalys utifrån GDPR och kartlägga vilka uppgifter som i praktiken kommer att överföras. IMY menar också att det krävs ett systematiskt säkerhetsarbete vilket bland annat innebär återkommande kontroller med uppföljningar av aktuell personuppgiftsbehandling.

Ett råd från mig som advokat är att alltid riskbedöma och utvärdera system, verktyg och funktioner som ska användas i kommunikation innan tjänsten börjar användas. Utvärderingen ska dokumenteras och sparas internt för att kunna visas upp vid en eventuell granskning av IMY.

Katarina Ladenfors

Vill ni veta mer om vilka juridiska krav som ställs för att använda verktyg och tjänster som behandlar personuppgifter? Läs mer om kursen Digital Kommunikationsjuridik här! 

Källor:

Integritetsskyddsmyndighetens (IMYs) Beslut 25 juni 2024 Diarienummer: DI-2021-5544

https://www.imy.se/globalassets/dokument/beslut/2024/beslut-tillsyn-apohem.pdf

https://www.imy.se/globalassets/dokument/beslut/2024/beslut-tillsyn-apoteket-ab.pdf