Szwedzki organ nadzorczy (IMY) ukarał Avanza Bank AB grzywną w wysokości 15 mln SEK (ponad 1,3 mln euro) za naruszenie RODO. W okresie od 15 listopada 2019 r. do 2 czerwca 2021 r. Avanza korzystała z Meta Pixel bez wdrożenia odpowiednich środków technicznych i organizacyjnych, co doprowadziło do nieautoryzowanego transferu danych osobowych, w tym identyfikatorów osobistych i informacji finansowych, do Meta (Facebook).
Dane osobowe obejmowały numery ubezpieczenia społecznego, numery kont i kwoty pożyczek. Avanza Bank używał Meta Pixel do optymalizacji swojego marketingu. Transfer danych był spowodowany nieprawidłowymi ustawieniami, a gdy tylko bank dowiedział się o transferze danych osobowych, dezaktywował Meta pixel. Szacuje się, że incydent dotknął od 500 tys do 1 mln osób.
IMY stwierdziła, że Avanza nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych, zgodnie z wymogami art. 5 ust. 1 lit. f) i art. 32 ust. 1 RODO.
Artykuł 5 ust. 1 lit. f) stanowi, że dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
Artykuł 32.1 wymaga od administratorów danych wdrożenia środków zapewniających poziom bezpieczeństwa odpowiedni do ryzyka. W związku z tymi naruszeniami IMY nałożyła na Avanzę grzywnę w wysokości 15 mln SEK (ok. 1,34 mln EUR) za naruszenie przepisów RODO.
Informacja powstała w oparciu o komunikat, który pojawił się na stronie gdprhub.eu.
