Avanza delade personnummer och aktieinnehav med Facebook – får böta
Banken Avanza får en sanktionsavgift för att i över ett års tid ha skickat kunders personnummer, aktieinnehav och andra uppgifter till Facebook.
Det slår Integritetsskyddsmyndigheten (IMY) fast efter Ekots granskning av hur Avanza använt Facebooks spårningsverktyg.
”Det har varit integritetskänsliga uppgifter som inte skulle ha gått över och som omfattas av tystnadsplikt”, säger Catharina Fernquist, enhetschef på IMY.
Lyssna: Avanza sanktionsavgift APP
Banken Avanza får en sanktionsavgift för att i över ett års tid ha skickat kunders personnummer, aktieinnehav och andra uppgifter till Facebook.
Det slår Integritetsskyddsmyndigheten (IMY) fast efter Ekots granskning av hur Avanza använt Facebooks spårningsverktyg.
”Det har varit integritetskänsliga uppgifter som inte skulle ha gått över och som omfattas av tystnadsplikt”, säger Catharina Fernquist, enhetschef på IMY.
För tre år sedan avslöjade Ekot att Avanza hade delat till exempel mejladresser, personnummer och uppgifter ur kunders låneansökningar med Facebook, som numera heter Meta.
Nu visar IMY:s utredning att Avanza delat mellan en halv miljon och en miljon personers uppgifter med Facebook.
Där ingår även information om värdepappersinnehav, kontonummer, och hur mycket pengar som funnits tillgängliga för köp och uttag.
Överföringarna skedde via ett marknadsföringsverktyg, den så kallade Facebook-pixeln, under ett och ett halvt års tid. Avanza uppger för IMY att de inte haft för avsikt att använda pixeln på det sättet, och att de inte kunnat bekräfta hur det gick till när överföringarna slogs på.
– De har saknat förmåga att upptäcka vad som har hänt, och att de därmed har saknat tekniska och organisatoriska säkerhetsrutiner för att följa upp och upptäcka oavsiktliga förändringar i sina system. Det har helt enkelt inte haft tillräckliga säkerhetsåtgärder på plats som man är skyldig att ha, säger Catharina Fernquist på IMY.
IMY ger Avanza en sanktionsavgift på 15 miljoner kronor, vilket är en bit under maxgränsen på 225 miljoner kronor under EU:s dataskyddsförordning.
Avanzas vd Gustaf Unger avböjer att kommentera IMY:s beslut och banken har inte fattat beslut om en eventuell överklagan.
Ytterligare en bank, tre apotek och ett vårdföretag utreds just nu av IMY efter Ekots granskningar av hur de delat personuppgifter med Facebook.