Avanza får sanktionsavgift på 15 miljoner för dataläcka till Meta
Integritetsskyddsmyndigheten (IMY) bötfäller Avanza Bank AB med en sanktionsavgift på 15 miljoner kronor.
Anledningen är att banken har överfört känsliga personuppgifter om sina kunder till Meta (tidigare Facebook), efter att ha använt företagets analysverktyg Meta-pixeln på sin webbplats och i sin app.
Den felaktiga dataöverföringen pågick mellan november 2019 och juni 2021, vilket berörde upp till en miljon kunder. Personuppgifter som skickades till Meta inkluderade information om kunders värdepappersinnehav, kontonummer, personnummer och lånebelopp. Detta framkom i en anmälan från Avanza till IMY, som enligt dataskyddsförordningen (GDPR) kräver att personuppgiftsincidenter anmäls till myndigheten.
Pixel överförde känslig data
IMY:s granskning visar att Avanza oavsiktligt aktiverade nya funktioner i Meta-pixeln. Det ledde till att kunddata överfördes till Meta för användning i riktad marknadsföring på Facebook. Detta skedde utan att tillräckliga säkerhetsåtgärder vidtagits, vilket utgör ett brott mot GDPR. Enligt Catharina Fernquist, enhetschef på IMY, misslyckades Avanza med att säkerställa en tillräckligt hög säkerhetsnivå för sina kunders personuppgifter.
– Banken har brutit mot GDPR genom att inte ha vidtagit lämpliga tekniska och organisatoriska åtgärder för att skydda webbplatsbesökare och app-användare, säger Fernquist.
Snabb respons
Efter att Avanza upptäckte felet avaktiverades Meta-pixeln omedelbart, och banken meddelar att Meta har raderat de överförda uppgifterna. Avanza har också vidtagit åtgärder för att förbättra sina interna rutiner för att förhindra liknande händelser i framtiden.
IMY undersöker nu flera andra företag som också använt Meta-pixeln och där det kan ha skett otillåtna överföringar av personuppgifter. Dessa granskningar kommer att klargöra hur företag hanterar användarnas data och om de följer reglerna för dataskydd. •
Klicka här för att ta del av IMY:s beslut.