IMY har utfärdat sanktionsavgifter för användning av ”Meta-pixeln”
Integritetsskyddsmyndigheten (”IMY”) har flera pågående utredningar gällande felaktig överföring av personuppgifter till Meta (ägare till Facebook, Instagram, Whatsapp och andra sociala plattformar) i anslutning till användning av den så kallade Meta-pixeln. Sedan i somras har IMY utfärdat beslut om sanktionsavgifter mot tre bolag. IMY:s beslut är en följd av att bolagen själva har anmält felaktig överföring av personuppgifter till Meta som personuppgiftsincidenter till IMY.
Kort om Meta-pixeln
Meta-pixeln, tidigare känd som Facebook-pixeln, är en pixel (kodsnutt) som verksamheter kan lägga i sina digitala kanaler, till exempel på sina webbplatser, för att spåra och analysera besökares beteende. Verktyget hjälper till att förstå hur besökare interagerar med webbplatsen och kan underlätta att förbättra och optimera annonser på till exempel Facebook och Instagram.
Det finns flera olika delfunktioner i Meta-pixeln och under 2019 utvecklade Meta en ny delfunktion kallad Automatic Advanced Matching (AAM). Funktionen innebär i korthet att användaren av Meta-pixeln överför personuppgifter om besökare på webbsidan till Meta som därefter matchar webbplatsbesökarna till personer som använder Metas olika tjänster. På så sätt möjliggörs för bolag att optimera sin marknadsföring genom att marknadsföra med riktade annonser på flera sociala plattformar.
Eftersom Meta-pixeln innebär att personuppgifter samlas in, till exempel IP-adress, för- och efternamn, e-postadress eller andra uppgifter, måste företag som använder Meta-pixeln säkerställa att de uppfyller de krav som GDPR ställer för att behandling av personuppgifter ska vara laglig, och även de krav som lagen om elektronisk kommunikation ställer för användning av cookies.
Tillsyn mot verksamheter som överfört personuppgifter till Meta
I alla de tre tillsynsbeslut som IMY har meddelat i juni respektive augusti 2024 har personuppgifter överförts felaktigt till Meta till följd av att delfunktioner, däribland AAM, aktiverats av misstag eller utan avsikt. Till följd av att dessa delfunktioner varit påslagna har mera personuppgifter överförts till Meta än vad som varit avsikten. I ett av besluten hade uppgifter rörande enskildas ekonomiska förhållanden som omfattas av tystnadsplikt överförts till Meta, till exempel uppgifter om värdepappersinnehav och kontonummer. De andra två besluten rörde överföring av uppgifter om enskildas hälsa, till exempel köpinformation om produkter används för behandling av olika kroppsliga besvär och sjukdomar. I samtliga tre fall hade en stor mängd individers personuppgifter felaktigt överförts.
IMY poängterar i sina beslut att GDPR uppställer krav på att personuppgiftsansvariga ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med personuppgiftsbehandlingen. Behandling av särskilt integritetskänsliga personuppgifter medför högre krav på skyddsnivån och skyldigheten för personuppgiftsansvariga att vidta lämpliga åtgärder för att skydda uppgifterna från obehöriga.
Efter en granskning av alla tre bolags rutiner och åtgärder konstaterar IMY i sina beslut att de personuppgiftsansvariga bolagen brutit mot GDPR när personuppgifterna överförts till Meta. Bolagen anses inte ha vidtagit lämpliga tekniska och organisatoriska åtgärder som krävs för att kunna säkerställa en lämplig säkerhetsnivå för sina kunders personuppgifter. Det har saknats rutiner för att systematiskt följa upp oavsiktliga förändringar i system och förmåga att upptäcka pågående oavsiktligt röjande av personuppgifter. Dessutom poängterar IMY att ett säkerhetsarbete förutsätter att kontroller görs med viss regelbundenhet. IMY valde att utfärda sanktionsavgifter mot bolagen uppgående till 8, 15 respektive 37 miljoner kronor.
IMY:s beslut visar på vikten av att ha goda interna rutiner på plats för att upptäcka och åtgärda risker som berör personuppgifter. IMY:s tillsynsbeslut kan läsas här och här.
Om du har frågor om användningen av Meta-pixeln och liknande verktyg, eller andra dataskyddsfrågor, är du välkommen att höra av dig till oss på Cederquist.
