Bolagen Apoteket AB och Apohem AB har brutit mot dataskyddsförordningen GDPR genom att ha överfört integritetskänsliga personuppgifter till Meta. För detta har Integritetsskyddsmyndigheten (IMY) beslutat om sanktionsavgifter på 37 respektive 8 miljoner kronor i sanktionsavgifter.

I ett pressmeddelande skriver IMY att man tagit emot anmälningar från Apoteket och Apohem om att respektive bolag under en längre tid fört över fler personuppgifter till Meta än vad som varit meningen. Genom att aktivera en delfunktion i ett av Metas analysverktyg – som ska förbättra marknadsföring i sociala medier – har apoteken delat integritetskänsliga personuppgifter om ett stort antal kunder.

Meta vet vad du köper

Det handlar bland annat om uppgifter över köp av receptfria läkemedel för behandling av specifika hälsobesvär som könssjukdomar, självtester och sexleksaker. Överföringen har inte omfattat receptbelagda mediciner.

– Vår granskning visar att bolagen inte har haft de rutiner som krävts för att själva upptäcka bristerna. Överföringen av personuppgifterna har därför pågått under en längre tid och stoppats först efter att bolagen fått kännedom om händelsen av utomstående, säger Maja Welander, jurist på IMY, i pressmeddelandet.

Bolagen har efter upptäckten av den felaktiga överföringsrutinen ”utvecklat sina interna rutiner för att säkerställa en korrekt och säker behandling av personuppgifter”, skriver IMY, som mottog anmälningarna 2022.