Integritetsskyddsmyndigheten (IMY) har utdömt sanktionsavgifter på 37 miljoner kronor mot Apoteket AB och 8 miljoner kronor mot Apohem AB, för brott mot GDPR. Detta efter att bolagen överfört känsliga personuppgifter till teknikjätten Meta, genom användning av analysverktyget Meta-pixel på sina webbplatser.
Användningen av Meta-pixeln, som är ett verktyg för att förbättra marknadsföring, ledde till att apoteken av misstag skickade fler personuppgifter än avsett. De känsliga personuppgifterna som överfördes inkluderade köp av receptfria läkemedel, självtester, samt produkter relaterade till sexuell hälsa.
IMY betonar att hanteringen av sådana känsliga personuppgifter kräver hög säkerhet och att företagen borde ha vidtagit nödvändiga åtgärder för att förhindra incidenterna. Granskningen visar att varken Apoteket eller Apohem hade tillräckliga rutiner för att själva upptäcka dessa brister. Det var först när de blev informerade av tredje part som överföringarna stoppades. Företagen har nu vidtagit åtgärder för att säkerställa att liknande incidenter inte inträffar i framtiden. Trots detta anser IMY att överträdelserna av GDPR är så pass allvarliga att sanktionsavgifter är nödvändiga.
