Integritetsskyddsmyndigheten (IMY) har granskat Avanzas användning Meta-pixel i syfte att optimera bankens marknadsföring på Facebook. Avanza har brutit mot Dataskyddsförordningen då överföring av personuppgifter felaktigt har orsakats av att banken aktiverade nya delfunktioner i Meta-pixeln av misstag. Pixeln har gjort att uppgifter som rör bankens kunder överförts till Meta, som exempelvis uppgifter om värdepappersinnehav och värde, lånebelopp, kontonummer och personnummer.
IMY konstaterar att banken har brutit mot GDPR genom att inte ha vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå för webbplatsbesökares och app-användares personuppgifter.
Meta-pixeln är ett analysverktyg som tillhandahålls av Meta och som hjälper till att mäta effektiviteten i bankens Facebook-annonsering. Meta-pixeln överförde och kopplade samman en webbplatsbesökares aktivitet och beteende på bankens webbplats med en unik registrerad användare av någon av Metas tjänster. Syftet med att införa och använda Meta-pixeln var att optimera bankens marknadsföring.
Automatic Advanced Matching (”AAM”)
Under 2019 utvecklade Meta tjänsten Meta-pixeln genom att även tillhandahålla funktionen Automatic Advanced Matching (”AAM”). Detta är en delfunktion inom Meta-pixeln. Utöver AAM erbjuder Meta-pixeln även funktionen Automatiska Händelser (”AH”) vilken kan aktiveras manuellt och som då på egen hand försöker att detektera och fånga upp händelser och interaktioner, såsom klick, sökningar och menyval, vid besök på bolagets webbplats eller i appen.
Funktionen AAM överförde uppgifter i hashad form (med hashningsfunktionen SHA256) till Meta om användaren fyllde i något av de fem olika formulären på Avanzas webbplats eller i bankens mobilapp.
Genom att funktionen AAM oavsiktligt aktiverats av banken kunde Meta-pixeln matcha de hashade uppgifterna med besökarnas beteende på webbplatsen för profilering. Detta gjorde det möjligt att få en mer detaljerad bild av besökarna. Följande hashade uppgifter överföras till Meta:
• Personnummer
• Kontaktuppgifter, såsom telefonnummer, e-postadress, postnummer samt postort
• Lånebelopp på befintligt lån
• Arbetsgivare
• Anställningsform
• Kontonummer
Funktionen Automatiska Händelser (AH)
Funktionen AH överför uppgifter i klartext till Meta när en användare navigerade på bankens webbplats eller i mobilappen. En förutsättning för överföring var att användaren tackat ja till marknadsföringscookies hos banken samt var inloggad som kund hos banken.
Sammanfattningsvis analyserade AH vilka knappar på webbplatsen och mobilappen som användaren tryckte på för att sedan ge förslag om marknadsföring på Facebook. Via AH kunde följande kategorier av uppgifter överföras till Meta i klartext:
• Värdepappersinnehav och värde, såsom tillgängligt belopp för köp, uttag och värdeutveckling
• Information om lånebelopp
• Kontonummer och kreditlimit
• Avgifter, skatter och aktuella räntor
• Pågående ordrar och dagens avslut
• Firmatecknare och bank som pension flyttas från
• E-postadress och personnummer
IMYs bedömning
Överträdelsen har skett genom att banken behandlat personuppgifter med en otillräcklig säkerhetsnivå, vilket har medfört att bland annat ekonomiska uppgifter om cirka 500 000 - 1 000 000 personer obehörigen överförts till Meta under drygt ett och ett halvt års tid. Banken har vidare saknat förmåga att under denna tid upptäcka överföringen av personuppgifter till Meta.
IMY anser att banken borde ha haft ett sådant systematiskt säkerhetsarbete att överföringen av personuppgifter skulle ha upptäckts i samband med en regelbunden kontroll. Den obehöriga överföringen har medfört en hög risk för de registrerades fri- och rättigheter, bland annat avseende förlust av konfidentialitet för skyddsvärda uppgifter.
Mot bakgrund av överträdelsens allvar bestämmer IMY att banken ska betala en administrativ sanktionsavgift på 15 000 000 kr för de konstaterade överträdelserna.
Källa: IMY.se
Comentários