Apoteket har skickat information om vad webbkunden lägger i sin korg samt mejladress och telefonnummer.
Uppgifterna har bara skickats till Facebook om kunderna har godkänt så kallade cookies för marknadsföring på sajten. För att slippa detta måste kunden antingen välja bort marknadsföringskakor, eller låta cookierutan ligga kvar.
Enligt Apoteket har syftet varit att följa upp företagets egen reklam på Facebook. Men bolaget har nu upphört att dela med sig av uppgifterna och anmält sig själva till Integritetsskyddsmyndigheten. Enligt anmälan kan mellan 500 000 och en miljon kunder och besökare ha drabbats, uppger radion.
Apoteket har också inlett en intern översyn, men innan den är klar vill bolaget inte kommentera om det var rätt eller fel.
Enligt Mariann Rinse, läkemedelsinspektör på enheten för apotek och receptfri detaljhandel på Läkemedelsverket, är detta i alla fall inte tillåtet på ett fysiskt apotek:
– Man får inte ens berätta att någon har varit inne på apoteket. Det är ju helt annan åtkomst till uppgifter på nätet, än vad det är i verkliga livet, säger hon till Ekot.