En svensk bank implementerade analysverktyget Meta-pixeln (tidigare Facebook-pixeln) för att optimera sin marknadsföring. Meta-pixeln samlade in data om användares aktivitet på bankens webbplats och app och kopplade dessa till användarnas Facebook-profiler för att möjliggöra riktad annonsering. Funktionen "Automatic Advanced Matching" (AAM) inom Meta-pixeln aktiverades av misstag, vilket ledde till att skyddsvärda personuppgifter som personnummer, lånebelopp och kontonummer överfördes till Meta.
Banken misslyckades med att implementera tillräckliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna i enlighet med artiklarna 5.1 f och 32.1 i dataskyddsförordningen. Den oavsiktliga aktiveringen av AAM resulterade i att personuppgifter om cirka 500 000 – 1 miljon användare överfördes till Meta utan tillräckligt skydd. Informationen överfördes både i klartext och i hashad form. IMY (Integritetsskyddsmyndigheten) bedömde att detta innebar en hög risk för de registrerades fri- och rättigheter och att banken brustit i sitt ansvar att upptäcka och åtgärda säkerhetsbristen.
Banken hade kunnat undvika detta genom att:
Följa sina rutiner strikt: Trots att banken hade formaliserade rutiner för personuppgiftsbehandling, följdes dessa inte korrekt vid implementeringen och uppdateringen av Meta-pixeln. En striktare efterlevnad av interna säkerhetsrutiner hade kunnat förhindra aktiveringen av de känsliga funktionerna.
Starkare tekniska skyddsåtgärder: Implementera starkare tekniska skyddsåtgärder som pseudonymisering och kryptering av personuppgifter samt övervaka tredjepartsscripts noggrant.
Beslutet understryker vikten av att ha robusta säkerhetsåtgärder och att strikt följa dem för att skydda personuppgifter. Företag bör regelbundet granska och uppdatera sina säkerhetsrutiner, genomföra kontinuerliga säkerhetskontroller och se till att hela organisationen är medveten om betydelsen av datasäkerhet. Detta beslut påminner oss också om att de tekniska och organisatoriska åtgärderna inte bara ska finnas på papper, utan aktivt tillämpas och övervakas för att skydda de registrerades rättigheter och friheter.
IMY:s beslut påförde banken en sanktionsavgift på 15 miljoner kronor för överträdelsen, vilket betonar att dataskyddsförordningens krav inte får åsidosättas och att brott mot dessa krav kan leda till betydande ekonomiska påföljder.