Πρόστιμο 4.000.000 ευρώ σε online φαρμακεία για τη χρήση του Meta pixel
Οι δύο εταιρείες είχαν ενεργοποιήσει κατά λάθος τη λειτουργία του pixel που επέτρεπε τη διαβίβαση των προσωπικών δεδομένων των πελατών τους στη Meta
Η σουηδική αρχή προστασίας δεδομένων ΙΜΥ επέβαλε πρόστιμα ύψους 3.260.000 ευρώ (37 εκατομ. Κορώνες) και 705.000 ευρώ (8 εκατομ. Κορώνες) στις εταιρίες Apoteket AB και Apohem AB, αντίστοιχα. Το πρόστιμο επιβλήθηκε επειδή τα δύο ηλεκτρονικά φαρμακεία χρησιμοποίησαν το γνωστό ως Meta pixel στους ιστοτόπους τους και διαβίβασαν ευαίσθητα προσωπικά δεδομένα στη Meta.
Ο Γενικός Κανονισμός Προστασίας Δεδομένων προβλέπει την υποχρέωση γνωστοποίησης στην εποπτική αρχή συγκεκριμένων περιστατικών παραβίασης δεδομένων. Η ΙΜΥ έλαβε τέτοιες γνωστοποιήσεις από τις Apoteket και Apohem, σύμφωνα με τις οποίες οι δύο εταιρείες διαβίβαζαν για μεγάλο χρονικό διάστημα στη Meta περισσότερα προσωπικά δεδομένα από όσα επιθυμούσαν.
Οι εταιρείες χρησιμοποίησαν το εργαλείο ανάλυσης της Meta “Meta-pixel” στους ιστοτόπους τους, προκειμένου να βελτιώσουν τις προωθητικές τους ενέργειες στο Facebook και το Instagram. Η εσφαλμένη διαβίβαση των προσωπικών δεδομένων προκλήθηκε από την ενεργοποίηση μιας λειτουργίας του Meta pixel.
Διαβάστε επίσης: Πρόστιμο 1.3 εκατ. ευρώ σε τράπεζα για διαβίβαση δεδομένων μέσω Facebook pixel
Ευαίσθητες πληροφορίες που έχρηζαν προστασίας
Ενεργοποιώντας τη λειτουργία αυτή, οι δύο εταιρείες διαβίβασαν στη Meta ευαίσθητα προσωπικά δεδομένα μεγάλου αριθμού πελατών τους. Για παράδειγμα, διαβίβαζαν δεδομένα σχετικά με αγορές φαρμακευτικών σκευασμάτων για την αντιμετώπιση συγκεκριμένων παθήσεων και ατομικών τεστ που πωλούνται από φαρμακεία, καθώς και πληροφορίες σχετικά με σεξουαλικώς μεταδιδόμενα νοσήματα ή ακόμη και ερωτικά βοηθήματα. Στη διαβίβαση δεν περιλαμβάνονταν οι ιατρικές συνταγές που εκτελούνταν.
«Η επεξεργασία αυτού του τύπου ευαίσθητων δεδομένων επιφυλάσσει υψηλό κίνδυνο και απαιτεί υψηλό επίπεδο προστασίας. Οι εταιρείες είχαν την υποχρέωση να λάβουν τα κατάλληλα μέτρα, προκειμένου να προστατεύσουν τα δεδομένα, μεταξύ άλλων, από την πρόσβαση μη εξουσιοδοτημένων προσώπων σε αυτά», δήλωσε νομικός ελεγκτής της σουηδικής αρχής.
Τα φαρμακεία δεν είχαν λάβει κατάλληλα μέτρα ασφάλειας
Βασική προϋπόθεση προκειμένου να προστατεύεις τα προσωπικά δεδομένα είναι να ελέγχεις συστηματικά τα ζητήματα ασφάλειας και να παρακολουθείς διαρκώς τις πραγματοποιούμενες πράξεις επεξεργασίας.
«Η έρευνα της ΙΜΥ κατέδειξε πως οι εταιρείες δεν είχαν θεσπίσει τις αναγκαίες διαδικασίες προκειμένου να εντοπίσουν οι ίδιες το πρόβλημα. Αποτέλεσμα αυτού ήταν η διαβίβαση δεδομένων να πραγματοποιείται για μεγάλο χρονικό διάστημα και να διακοπεί μόνο μετά την ενημέρωση των εταιρειών από τρίτα πρόσωπα», δήλωσε δικηγόρος της ΙΜΥ.
Οι εταιρείες παραβίασαν τον Γενικό Κανονισμό Προστασίας Δεδομένων με το να μη λάβουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση του κατάλληλου επιπέδου ασφάλειας των δεδομένων των πελατών τους.
Μετά την ανακάλυψη του συμβάντος, οι εταιρείες ανέπτυξαν εσωτερικές διαδικασίες, προκειμένου να διασφαλίσουν εφεξής την προστασία των προσωπικών δεδομένων. Τα περιστατικά παραβίασης δεδομένων γνωστοποιήθηκαν στην ΙΜΥ το 2022.
Από το δελτίο τύπου της σουηδικής αρχής προστασίας δεδομένων.