Ytterligare personuppgiftsincidenter till följd av användning av Meta-Pixeln

Publicerat: 2 veckor sedan

Förra året tilldelades Avanza Bank AB en sanktionsavgift från Integritetsskyddsmyndigheten (IMY), en sammanfattning av beslutet kan läsas här. Avanza hade nyttjat ”Meta-Pixeln”, ett mjukvaruprogram som används för bl.a. analys, vilket resulterade i att känsliga personuppgifter oavsiktligt delades vidare till bolaget Meta. IMY slog fast att Avanza brustit i sitt arbete för säker personuppgiftshantering och utdömde en sanktionsavgift på 15 miljoner kronor. 

Ytterligare bolag har rapporterat liknande personuppgiftsincidenter till följd av användning av Meta-Pixeln, och IMY presenterade nyligen resultaten av inledda granskningar mot Kry International AB, Apotea Sverige AB samt 27 bolag inom Länsförsäkringsgruppen (de 27 bolagen har behandlats som en enhet i ett och samma beslut). IMY gör bedömningen att samtliga bolag har brustit i sitt ansvar att säkerställa tillräcklig säkerhet för personuppgifter, vilket följer av artikel 32 i dataskyddsförordningen.   

För alla tre bolag har IMY utfärdat reprimander istället för sanktionsavgifter. Huvudregeln enligt dataskyddsförordningen är att sanktionsavgifter ska påföras vid överträdelser av regleringen, men undantag kan medges vid mindre överträdelser. I sådana fall har tillsynsmyndigheten befogenhet att utfärda reprimander istället. Vid bedömningen om överträdelsen ska ses som mindre allvarlig ska hänsyn tas till både försvårande och förmildrande omständigheter i det enskilda fallet, till exempel överträdelsens karaktär och varaktighet. 

En central faktor som spelade roll vid bedömningen av de tre bolagens överträdelser var att de läckta uppgifterna var haschade, vilket innebär att de var oläsliga, medan de uppgifter som läcktes av Avanza kunde läsas i klartext. Vidare bedömdes inga av bolagens läckta personuppgifter vara av integritetskänslig karaktär. Avanzas läckta personuppgifter var sådana som omfattades av lagstadgad tystnadsplikt kopplad till bankverksamhet, vilket motiverade en strängare bedömning av överträdelsen.  

I beslutet om Länsförsäkringsgruppens hantering påpekar IMY att den otillåtna överföringen även skedde under ett kortare tidsintervall, vilket motiverade helhetsbedömningen att överträdelsen var mindre allvarlig. 

Till följd av upptäckten av incidenterna tog alla nämnda bolag bort användning av Meta-Pixeln i sina verksamheter. Som respons till detta meddelade Petter Flink, it- och informationssäkerhetsspecialist på IMY; ”Det är positivt att personuppgiftsincidenter på det här sättet kan leda till att verksamheter stärker sina tekniska och organisatoriska säkerhetsåtgärder för att skydda de personuppgifter som de hanterar.”  

 

 

Dela sida:

Relaterade nyheter

Senaste nytt​

Bli medlem

Ansök om medlemskap

Villkor
© IAB Sverige AB - All rights reserved