Miljoonasakot Meta-pikselin käytöstä verkkokaupoille Ruotsissa
Ruotsin tietosuojaviranomainen IMY (Integritetsskyddsmyndigheten) määräsi vuoden 2024 syksyllä merkittävät sakot kahdelle apteekkiketjulle, Apoteket AB:lle ja Apohem AB:lle, Meta Platforms -yhtiön mainonnan seurantaan tarkoitetun Meta-pikselin käytön johdosta. Meta-pikselillä mitataan muun muassa Facebook- ja Instagram-mainonnan tuloksellisuutta ja se tunnettiin aiemmin nimellä Facebook-pikseli. Se on käytössä lukuisien yritysten verkkosivuilla ja verkkokaupoissa myös Suomessa.
IMY:n antamat sakot olivat 37 miljoonaa kruunua (noin 3,2 miljoonaa euroa) Apoteketille ja 8 miljoonaa kruunua (noin 700 000 euroa) Apohemille. Sakkojen perusteena oli henkilötietojen vääränlainen käsittely.
Meta-pikseli keräsi arkaluonteista kävijätietoa mm. sukupuolitautitestien hankinnoista
IMY:n selvityksessä kävi ilmi, että molemmat yritykset olivat käyttäneet Meta-pikseliä verkkosivuillaan ja siirtäneet sen avulla käyttäjiensä arkaluonteisia tietoja Meta Platformsille. Tiedot sisälsivät tietoa asiakkaiden ostamista tuotteista, kuten itsehoitolääkkeistä, sukupuolitautitesteistä, ehkäisyvälineistä ja seksuaaliterveyteen liittyvistä tuotteista.
Terveystiedot tulkitaan GDPR:n perusteella arkaluonteiseksi henkilötiedoksi
Siirretyt tiedot olivat IMY:n mukaan siinä määrin arkaluonteisia, jotta EU:n tietosuoja-asetuksen (GDPR) rikkominen todettiin vakavaksi. Terveystiedot tulkitaan GDPR:n perusteella arkaluonteiseksi henkilötiedoksi, jonka suojaamiseen ja huolelliseen käsittelyyn yritysten tulee suhtautua erityisellä vakavuudella.
Syypääksi tulkittiin Meta-pikselin AAM-ominaisuus
Ongelmana oli, että yritykset olivat ottaneet Meta-pikselissä käyttöön ”Automatic Advanced Matching” eli AAM-ominaisuuden, joka auttaa yhdistämään verkkosivustolla tapahtuvan käyttäytymisen Metan käyttäjäprofiileihin, jolloin mainokset voidaan kohdentaa tarkemmin.
Vastaavanlainen tilanne voi tulla vastaan verkkokaupan tai verkkosivuston omistajalle myös Suomessa
AAM:n tulkittiin siirtäneet Metalle arkaluonteista terveystietoa. Tämä rikkoi GDPR-periaatetta, joka vaatii yrityksiä suojaamaan henkilötietoja ja hankkimaan selkeän suostumuksen tietojen käsittelyyn. Lisäksi yritykset eivät olleet toteuttaneet riittäviä teknisiä ja organisatorisia toimenpiteitä estääkseen tällaiset tietovuodot.
Tietosuoja ja tietoturva: Lue lisää
Mitä tämä tarkoittaa suomalaisille verkkokauppiaille ja sivustojen omistajille?
Vastaavanlainen tilanne voi tulla vastaan verkkokaupan tai verkkosivuston omistajalle myös Suomessa. Myös kotimaiset tietosuojaviranomaiset ovat langettaneet mittavia sakkoja digipalveluiden omistajille henkilödatan vääränlaiseksi tulkitusta käytöstä. Yksi näyttävimmistä ratkaisuista koski Verkkokauppa.comin tapaa käsitellä asiakastietoja. Kirjoitimme aiheesta blogissamme muutamia kuukausia sitten.
Voit ennaltaehkäistä vastaavanlaisia ongelmia
- varmistamalla, ettei verkkosivujen Meta-pikselissä hyödynnetä ”Automatic Advanced Matching” eli AAM-ominaisuutta
- selvittämällä, millaisilla välineillä ja käytännöillä verkkosivujen tai verkkokaupan kävijöistä kerätään dataa
- arvioimalla, onko Meta-pikselin ja muiden henkilödataa keräävien tekniikoiden hyödyntäminen verkkosivuilla ylipäätään välttämätöntä ja luopumalla turhista tekniikoista
- varmistamalla, että verkkosivujen kävijöiltä pyydetään lupa seurantaevästeiden käytölle Traficomin julkaiseman ohjeistuksen mukaisesti – kirjoitimme ohjeistuksesta aiemmin blogissamme
- huolehtimalla, että verkkosivuilla otetaan käyttöön seurantatekniikoita vain huolellisen arvioinnin tuloksena.
Sivuston omistaja on viime kädessä vastuussa, mutta hyvä kumppani on avuksi
Tapaus on tärkeä muistutus siitä, että markkinoinnin ja analytiikan työkaluja, kuten Meta-pikseliä, on käytettävä huolellisesti. GDPR-asetuksen rikkominen voi johtaa suuriin sakkoihin ja brändin maineen vahingoittumiseen. Terveysalan yritykset ovat asian suhteen erityisessä vaaravyöhykkeessä, mutta GDPR:n perusteella myös moni muu kuin terveystieto on arkaluontoista.
Verkkosivuston tai verkkokaupan omistaja on viime kädessä vastuussa sen varmistamisesta, että sivustolla käytetyt työkalut ja niiden hyödyntämistavat ovat GDPR-yhteensopivia. Asiantunteva verkkosivukumppani voi auttaa arvioimaan työkalut ja käytännöt sekä suositella tarvittavia muutoksia.
Tilaa uutiskirjeemme ja pysyt tietosuojauutisoinnissa ajan tasalla
Lue lisää aiheesta
Evästepalvelu Cookie Informationin artikkeli englanniksi
Ruotsalaisen juridiikkauutispalvelu Dagens Juridikin artikkeli ruotsiksi