Η σουηδική τράπεζα είναι κατά λάθος ενεργοποιήσει λειτουργίες των pixels που επέτρεπαν τη συλλογή και διαβίβαση δεδομένων των πελατών στην αμερικανική εταιρεία
Πρόστιμο 1.318.000 ευρώ (15 εκατομμύρια κορώνες) επέβαλε η σουηδική αρχή προστασίας δεδομένων IMY στην τράπεζα Avanza Bank για την παράνομη διαβίβαση δεδομένων πελατών της στη Meta.
Πρόκειται για μια ασυνήθιστη υπόθεση, καθώς η παράβαση τελέστηκε μέσω της χρήσης Facebook (ήδη Meta) pixels στον ιστότοπο και το application της τράπεζας, χρήση η οποία επέτρεψε τη διαβίβαση πληροφοριών σχετικά με τους πελάτες της τράπεζας στην αμερικανική εταιρεία.
Η παράβαση αυτή τέθηκε σε γνώση της ΙΜΥ από την ίδια την τράπεζα, η οποία υπέβαλε στις 8 Ιουνίου 2021 γνωστοποίηση παραβίασης δεδομένων σύμφωνα με την πρόβλεψη του άρθρου 33 ΓΚΠΔ. Η τράπεζα διαπίστωσε πως η διαβίβαση των δεδομένων γινόταν εκ παραδρομής, καθώς είχε γίνει λάθος στις ρυθμίσεις, και ενημέρωσε άμεσα την εποπτική αρχή, κρίνοντας πως η διαβίβαση αυτή συνιστούσε παραβίαση δεδομένων. Σύμφωνα με τη γνωστοποίηση που υποβλήθηκε, η παραβίαση τελέστηκε από τα τέλη του 2019 μέχρι και τις 2 Ιουνίου 2021 και αφορούσε από 500.000 έως 1.000.000 πελάτες της.
Παράλληλα με την ενημέρωση της αρχής, η Avanza απενεργοποίησε άμεσα το pixel, ενώ επικοινώνησε με τη Meta, η οποία και επιβεβαίωσε τη διαγραφή των διαβιβασθέντων δεδομένων.
Από την έρευνα της σουηδικής αρχής προέκυψε πως η Avanza είχε χρησιμοποιήσει το Facebook pixel, με σκοπό να βελτιστοποιήσει τις προωθητικές της ενέργειες στο Facebook. Το 2019 η αμερικανική εταιρεία δημιούργησε νέες λειτουργίες στα pixel της, μεταξύ των οποίων το Automatic Advanced Matching (AAM) και το Automatic Events, οι οποίες απαιτούσαν τη διαβίβαση δεδομένων χρηστών προς περαιτέρω ανάλυση. Με το AAM, το pixel συνέλεγε πληροφορίες σχετικά με τις ηλεκτρονικές φόρμες που παρέχονταν στον χρήστες της σελίδας και της εφαρμογής της τράπεζας, ενώ το Automatic Events κατέγραφε τις κινήσεις του χρήστη στο περιβάλλον της σελίδας ή της εφαρμογής, καθώς και τις επιλογές που αυτός είχε πατήσει.
Η λειτουργία αυτή ενεργοποιήθηκε από λάθος των αρμοδίων, χωρίς η ενεργοποίηση αυτή να διαπιστωθεί επί 1.5 χρόνο, ενώ μάλιστα η νομική υπηρεσία της Avanza είχε υποβάλει αρνητική εισήγηση για τη χρήση τους, επισημαίνοντας πως αυτή δεν μπορεί να κριθεί νόμιμη με βάση το πλαίσιο λειτουργίας της τράπεζας.
Παρ’ όλα αυτά, οι δύο λειτουργίες είχαν ενεργοποιηθεί, με αποτέλεσμα η Meta να συλλέγει μέσω του pixel πληροφορίες σχετικά τα στοιχεία ταυτοποίησης και επικοινωνίας των πελατών, την εργασία τους, τις δανειακές τους υποχρεώσεις ή τις αιτήσεις για δάνεια, τους τραπεζικούς τους λογαριασμούς, καθώς και την εν γένει συμπεριφορά τους εντός του λογαριασμού τους στην ιστοσελίδα ή την εφαρμογή.
Η ΙΜΥ διαπίστωσε την παραβίαση των απαιτήσεων ασφάλειας των άρθρων 5 παρ.1στ και 32 παρ.1 ΓΚΠΔ και επέβαλε στην τράπεζα πρόστιμο 1.318.000 ευρώ. Σύμφωνα με την απόφασή της, η τράπεζα δεν εκπλήρωσε την υποχρέωσή της να λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την ασφάλεια των προσωπικών δεδομένων που επεξεργαζόταν.