Den omstridda Meta-pixeln och GDPR
Integritetsskyddsmyndigheten (IMY) har nu fattat det första av fem beslut rörande Meta-pixelns förenlighet med GDPR. Beslutet från den 25 juni 2024 innebär en sanktionsavgift på 15 miljoner kronor mot Avanza Bank. Anledningen är att banken använt funktioner i den så kallade Meta-pixeln på sin webbplats och app, vilket resulterade i att uppgifter om exempelvis kunders värdepappersinnehav och kontonummer överfördes till Meta.
IMY:s granskning visar att Avanza använde Metas analysverktyg Facebook-pixeln (numera Meta-pixeln) både på sin webbplats och i sin app för att optimera bankens marknadsföring på Facebook. Av Avanzas anmälan framgår att personuppgifter om upp till en miljon kunder felaktigt överfördes till Meta mellan den 15 november 2019 och den 2 juni 2021. Den felaktiga överföringen orsakades av att banken av misstag aktiverade nya delfunktioner i Meta-pixeln. Syftet med dessa funktioner var att spåra och profilera besökare för att göra annonser mer relevanta och effektiva. Meta kan också använda denna information för att förbättra sina egna tjänster.
IMY:s slutsats är att känsliga personuppgifter överfördes till Meta utan tillräckliga säkerhetsåtgärder. Dessutom misslyckades banken med att förhindra och upptäcka överföringen, och det finns inga förmildrande omständigheter i fallet.
Vilka lärdomar kan man dra av detta?
1. Gör alltid en konsekvensbedömning enligt GDPR när ni vill testa en ny funktion eller teknik som kan innebära risk för registrerades rättigheter. En sådan ska alltid göras om det är fråga om profilering, såsom i detta fall. Detta är också särskilt aktuellt med tanke på den ökande användningen av AI.
2. Ha koll på hela personuppgiftsflödet. Det är viktigt att förstå hur personuppgifter hanteras i olika verktyg samt att registerförteckningen är uppdaterad så att ni har koll på alla behandlingar i verksamheten och eventuella förändringar.
3. Involvera rätt kompetens från början. IT, jurister och andra relevanta avdelningar bör vara med och göra sina bedömningar. Ny teknik är spännande, men det är viktigt att den implementeras på ett säkert sätt i verksamheten.