Apoteket får betala 37 MSEK i sanktionsavgifter (0,16% av omsättningen) och Apohem 8 MSEK (1,3%) för överträdelser av GDPR avseende olaglig överföring av känsliga personuppgifter till Meta med hjälp av ”Facebook-pixeln”. Precis innan sommaren kom beslutet mot Avanza där banken åkte på att betala 15 MSEK (0,3%) för samma sak. Trots att det börjar bli uppenbart att Meta själva har ett stort ansvar i dessa fall så har de hittills åkt på sanktioner i storleksordningen 0 SEK. Rätt eller fel?
Även Apoteket och Apohem åker på stora sanktionsavgifter för att inte haft koll på vilka uppgifter Meta-pixeln samlar in.
Men Meta har inget ansvar enligt IMY.
IMY missar återigen Metas personuppgiftsansvar
Att även Apoteket och Apohem skulle åka på sanktionsavgifter på samma sätt som Avanza var det nog ingen som ifrågasatte. Men återigen missar IMY det faktum att Meta också använder uppgifterna för egna ändamål som pixeln + kakorna samlar in. Meta är alltså inte enbart ett biträde i dessa behandlingar. De är gemensamt personuppgiftsansvariga för insamlingen och sedan enskilt ansvariga för sin egen behandling vilket de själva skriver i en särskild integritetsinformation.
Apohem har dock insett detta och hävdar ett gemensamt personuppgiftsansvar men IMY väljer att inte ta ställning till detta!? Även Apohem säger sig inte förstå hur AAM (Advanced automatic matching) har blivit aktiverad. (Avanza sa samma sak). Apoteket skyller på sina medarbetare men gissar också att anledningen är att funktionerna var väldigt lätta att aktivera. Gissningsvis var ju inte heller informationen från Meta (som själv anser sig gemensamt personuppgiftsansvarig för insamlingen av uppgifterna med hjälp av pixeln) särskilt tydlig.
Kommer inte Meta lite väl enkelt undan i alla dessa tillsynsärenden? Hade Avanza Bank, Apoteket, Apohem och gissningsvis Länsförsäkringar, apotea.se och Kry (som också är under tillsyn för samma behandling men där vi fortsatt väntar på besluten) hamnat i den här soppan om Meta varit tydligare i sin information om vad funktionen AAM innebar? Vad tror ni?
Behandlingen omfattas av LEK!
Det är också olyckligt att IMY i sin iver att bevisa att de är behörig tillsynsmyndighet skriver att uppgifterna inte ”lagras i eller hämtas från abonnentens terminal” vilket de gör. Detta bevisas även av att de senare skriver att överföringen inte skett för de webbplatsbesökare som nekat marknadsföringskakor. Hmmm, hur går detta ihop?
Jag har inga bekymmer med att IMY är behörig tillsynsmyndighet. Men jag tycker det är mycket olyckligt att de skriver på detta sätt då det kan tolkas som att spårning med hjälp av pixeln + Metakakor inte omfattas av LEK (och därmed inte kräver samtycke för spårningen) vilket den absolut gör!
Vill du gå ännu mer på djupet i dessa frågor? Här Cecilias presentation på ett webinar i början av augusti i ämnet anordnat av cookiebanner-leverantören Cookie information:
Lämna ett svar