Sanktionsavgift för Avanza för bristande säkerhetsåtgärder vid användning av Meta-pixeln
I början av sommaren utfärdade Integritetsskyddsmyndigheten (IMY) en sanktionsavgift på 15 miljoner kronor mot Avanza Bank AB. Detta för att banken använt en så kallad Meta-pixel på sin webbplats och app och som inneburit att uppgifter om exempelvis kunders värdepappersinnehav och kontonummer överförts till Meta.
Under 2021 granskade Sveriges Radio Ekot bolags användning av Meta-pixeln. Ekot hittade i sin granskning att Avanza överfört kunduppgifter såsom personnummer, lånebelopp och kontonummer till Meta vilket bland annat strider mot regler om banksekretess. Genom granskningen uppmärksammades Avanza på läckan till Meta och valde att den 2 juni 2021 anmälde saken som en personuppgiftsincident till IMY. Av anmälan framkom att mellan 500 000 – 1 miljon personuppgifter under tiden från den 15 november 2019 till och med den 2 juni 2021 felaktigt överförts till bankens samarbetspartner Meta.
Genom användningen av Meta-pixeln hade funktioner som möjliggjorde matchning av personuppgifter varit påslagna. Exempelvis en funktion som följer hur en användare rör sig på en sajt/i mobilen (konverterar) och kan analysera beteendet för att sedan kunna ge förslag på marknadsföring på Facebook. Via funktionen kunde uppgifter om bland annat värdepappersinnehav och värde, Information om lånebelopp, kontonummer och kreditlimit, avgifter, skatter och aktuella räntor, pågående transaktioner samt e-postadress och personnummer överföras till Meta. Enligt Avanza var dessa funktioner påslagna oavsiktligt.
IMY ansåg att Avanza inte vidtagit tillräckliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå för de personuppgifter som överförts till Meta och utfärdade därför en sanktionsavgift på 15 miljoner kronor.
IMYs beslut mot Avanza är det första i en rad pågående ärenden om bolags användning av Meta-pixeln efter Ekots granskningar. Vi kan därför sannolikt vänta fler beslut från IMY med sanktionsavgifter för användning av Meta-pixeln. Beslutet mot Avanza ska inte ses som något förbud mot att använda Meta-pixeln i sig för att rikta marknadsföring i sociala medier. Dock bör bolag som vill använda Meta-pixeln först göra en juridisk riskanalys utifrån Dataskyddsförordningen innan implementering av pixeln för att kartlägga vilka uppgifter som i praktiken kommer att överföras. Därtill som IMY även påpekar krävs ett systematiskt säkerhetsarbete vilket bland annat innebär återkommande kontroller med uppföljningar av aktuell personuppgiftsbehandling.
Integritetsskyddsmyndighetens (IMYs) Beslut 25 juni 2024 Diarienummer: DI-2021-5544
https://www.imy.se/globalassets/dokument/beslut/2024/beslut-tillsyn-avanza.pdf
Katarina Ladenfors, advokat och partner – MarLaw Advokatfirma