Karhulla on asiaa

Mil­joo­na­sa­kot Meta-pikselin käytöstä verk­ko­kau­poil­le Ruotsissa

Timo Salminen 1

Ruotsin tietosuojaviranomainen IMY (Integritetsskyddsmyndigheten) määräsi vuoden 2024 syksyllä merkittävät sakot kahdelle apteekkiketjulle, Apoteket AB:lle ja Apohem AB:lle, Meta Platforms -yhtiön mainonnan seurantaan tarkoitetun Meta-pikselin käytön johdosta. Meta-pikselillä mitataan muun muassa Facebook- ja Instagram-mainonnan tuloksellisuutta ja se tunnettiin aiemmin nimellä Facebook-pikseli. Se on käytössä lukuisien yritysten verkkosivuilla ja verkkokaupoissa myös Suomessa.

IMY:n antamat sakot olivat 37 miljoonaa kruunua (noin 3,2 miljoonaa euroa) Apoteketille ja 8 miljoonaa kruunua (noin 700 000 euroa) Apohemille. Sakkojen perusteena oli henkilötietojen vääränlainen käsittely.

Meta-pikseli keräsi arkaluonteista kävijätietoa mm. sukupuolitautitestien hankinnoista

IMY:n selvityksessä kävi ilmi, että molemmat yritykset olivat käyttäneet Meta-pikseliä verkkosivuillaan ja siirtäneet sen avulla käyttäjiensä arkaluonteisia tietoja Meta Platformsille. Tiedot sisälsivät tietoa asiakkaiden ostamista tuotteista, kuten itsehoitolääkkeistä, sukupuolitautitesteistä, ehkäisyvälineistä ja seksuaaliterveyteen liittyvistä tuotteista.

Terveystiedot tulkitaan GDPR:n perusteella arkaluonteiseksi henkilötiedoksi

Siirretyt tiedot olivat IMY:n mukaan siinä määrin arkaluonteisia, jotta EU:n tietosuoja-asetuksen (GDPR) rikkominen todettiin vakavaksi. Terveystiedot tulkitaan GDPR:n perusteella arkaluonteiseksi henkilötiedoksi, jonka suojaamiseen ja huolelliseen käsittelyyn yritysten tulee suhtautua erityisellä vakavuudella.

Syypääksi tulkittiin Meta-pikselin AAM-ominaisuus

Ongelmana oli, että yritykset olivat ottaneet Meta-pikselissä käyttöön ”Automatic Advanced Matching” eli AAM-ominaisuuden, joka auttaa yhdistämään verkkosivustolla tapahtuvan käyttäytymisen Metan käyttäjäprofiileihin, jolloin mainokset voidaan kohdentaa tarkemmin.

Vastaavanlainen tilanne voi tulla vastaan verkkokaupan tai verkkosivuston omistajalle myös Suomessa

AAM:n tulkittiin siirtäneet Metalle arkaluonteista terveystietoa. Tämä rikkoi GDPR-periaatetta, joka vaatii yrityksiä suojaamaan henkilötietoja ja hankkimaan selkeän suostumuksen tietojen käsittelyyn. Lisäksi yritykset eivät olleet toteuttaneet riittäviä teknisiä ja organisatorisia toimenpiteitä estääkseen tällaiset tietovuodot.

Mitä tämä tarkoittaa suomalaisille verkkokauppiaille ja sivustojen omistajille?

Vastaavanlainen tilanne voi tulla vastaan verkkokaupan tai verkkosivuston omistajalle myös Suomessa. Myös kotimaiset tietosuojaviranomaiset ovat langettaneet mittavia sakkoja digipalveluiden omistajille henkilödatan vääränlaiseksi tulkitusta käytöstä. Yksi näyttävimmistä ratkaisuista koski Verkkokauppa.comin tapaa käsitellä asiakastietoja. Kirjoitimme aiheesta blogissamme muutamia kuukausia sitten.

Voit ennaltaehkäistä vastaavanlaisia ongelmia

  1. varmistamalla, ettei verkkosivujen Meta-pikselissä hyödynnetä ”Automatic Advanced Matching” eli AAM-ominaisuutta
  2. selvittämällä, millaisilla välineillä ja käytännöillä verkkosivujen tai verkkokaupan kävijöistä kerätään dataa
  3. arvioimalla, onko Meta-pikselin ja muiden henkilödataa keräävien tekniikoiden hyödyntäminen verkkosivuilla ylipäätään välttämätöntä ja luopumalla turhista tekniikoista
  4. varmistamalla, että verkkosivujen kävijöiltä pyydetään lupa seurantaevästeiden käytölle Traficomin julkaiseman ohjeistuksen mukaisesti – kirjoitimme ohjeistuksesta aiemmin blogissamme
  5. huolehtimalla, että verkkosivuilla otetaan käyttöön seurantatekniikoita vain huolellisen arvioinnin tuloksena.

Sivuston omistaja on viime kädessä vastuussa, mutta hyvä kumppani on avuksi

Tapaus on tärkeä muistutus siitä, että markkinoinnin ja analytiikan työkaluja, kuten Meta-pikseliä, on käytettävä huolellisesti. GDPR-asetuksen rikkominen voi johtaa suuriin sakkoihin ja brändin maineen vahingoittumiseen. Terveysalan yritykset ovat asian suhteen erityisessä vaaravyöhykkeessä, mutta GDPR:n perusteella myös moni muu kuin terveystieto on arkaluontoista.

Verkkosivuston tai verkkokaupan omistaja on viime kädessä vastuussa sen varmistamisesta, että sivustolla käytetyt työkalut ja niiden hyödyntämistavat ovat GDPR-yhteensopivia. Asiantunteva verkkosivukumppani voi auttaa arvioimaan työkalut ja käytännöt sekä suositella tarvittavia muutoksia.

Tilaa uutiskirjeemme ja pysyt tietosuojauutisoinnissa ajan tasalla

Lue lisää aiheesta

Evästepalvelu Cookie Informationin artikkeli englanniksi
Ruotsalaisen juridiikkauutispalvelu Dagens Juridikin artikkeli ruotsiksi

Tykkäsitkö tästä jutusta?

0
1
0
0
Kenttä on validointitarkoituksiin ja tulee jättää koskemattomaksi.
Jaa juttu somessa
Tällä viikolla näitä luettiin eniten
  1. Matomo-analytiikka – eniten käytetyt raportit
  2. HTTP-virhekoodit – eli mitä näet silloin, jos nettisivu ei toimi kuten odotit
  3. Miljoonasakot Meta-pikselin käytöstä verkkokaupoille Ruotsissa
Viime aikoina eniten reaktioita herättivät
Ota yhteyttä
Tilaa uutiskirje