Sverige: Avanza Bank får 15 miljoner kronor i sanktionsavgift för överföring av personuppgifter till Meta

Integritetsskyddsmyndigheten (IMY) har utfärdat en sanktionsavgift på 15 miljoner kronor mot Avanza Bank AB för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att IMY i juni 2021 tog emot en anmälan om en personuppgiftsincident från Avanza Bank. Av anmälan framgick att personuppgifter under tiden från den 15 november 2019 till och med den 2 juni 2021 felaktigt överförts till Avanza Banks samarbetspartner Facebook (numera Meta). Bland uppgifterna som överförts fanns personnummer, lånebelopp och kontonummer.

Bakgrunden till det inträffade var att Avanza Bank börjat använda Metas tjänst Facebookpixeln (numera Meta-pixeln) i syfte att optimera bankens marknadsföring. Under 2019 utvecklade Meta en ny delfunktion inom Meta-pixeln, kallad Automatic Advanced Matching (AAM). Den felaktiga överföringen av personuppgifter orsakades av att den nya AAM-funktionen aktiverades av Avanza Bank av misstag. Avanza Bank fick kännedom om överföringen via extern information. Så snart Avanza Bank fått kännedom om det inträffade avaktiverade banken Meta-pixeln i sin helhet.

Av utredningen i ärendet framgår att två funktioner i analysverktyget Meta-pixeln oavsiktligt aktiverats av Avanza Bank. Som en följd av att funktionerna aktiverats har personuppgifter om ett stort antal personer som varit inloggade på Avanza Banks webbplats eller i bankens app obehörigen överförts till Meta. I några fall har även personuppgifter avseende personer som besökt webbplatsen eller appen och använt en specifik tjänst utan att ha varit inloggade överförts. Det är i huvudsak Avanza Banks egna kunder som har berörts av överföringen. De personuppgifter som överförts har bland annat innefattat personnummer och omfattande ekonomisk information. Informationen, däribland detaljerade uppgifter om kunders ekonomi, har i flera fall överförts i klartext. Enligt Avanza Bank har det inte varit möjligt att i efterhand verifiera hur funktionerna aktiverats eller av vem.

IMY konstaterar att Avanza Bank vid användningen av Meta-pixeln inte har vidtagit tillräckliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som varit lämplig i förhållande till risken. Detta innebär att Avanza Bank under tiden från den 15 november 2019 till den 2 juni 2021 har behandlat personuppgifter i strid med artikel 32.1 GDPR.

Enligt den grundläggande säkerhetsprincipen i artikel 5.1 (f) GDPR ska personuppgifter behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder. Genom det inträffade har uppgifter om Avanza Banks kunder, till exempel uppgifter om personnummer, kontonummer, värdepappersinnehav, lånebelopp och kreditlimit, förts över till Meta i klartext.

Därutöver har vissa uppgifter förts över i hashad form vilket möjliggjort matchning med personuppgifter hos Meta. Det har varit fråga om uppgifter som omfattas av lagstadgad tystnadsplikt. Förlust av kontroll av bankinformation kan innebära en hög risk för de registrerades fri- och rättigheter. Att ärendet gäller bankinformation och att personuppgifterna dessutom till övervägande del har röjts och överförts i klartext från ett för kunderna inloggat läge medför enligt IMY att det inträffade är särskilt allvarligt. Avanza Banks underlåtenhet att följa sina formaliserade rutiner och avsaknad av förmåga att upptäcka den obehöriga överföringen av personuppgifter bedöms därför vara av så allvarligt slag att bristen även innebär en överträdelse av artikel 5.1 (f) GDPR.

Mot bakgrund av överträdelsens allvar bestämmer IMY att Avanza Bank ska betala en administrativ sanktionsavgift på 15 000 000 kr för de konstaterade överträdelserna. IMY bedömer att detta belopp är effektivt, proportionerligt och avskräckande.