I dataskyddsförordningen, GDPR, finns en skyldighet att anmäla vissa personuppgiftsincidenter till IMY. Myndigheten har tagit emot en sådan anmälan från Avanza om att personuppgifter på grund av felaktiga inställningar under en längre tid förts över till Meta.

Av Avanzas anmälan framgår att personuppgifter om upp till en miljon från den 15 november 2019 till och med den 2 juni 2021 felaktigt överförts till Meta.

IMY:s granskning av incidenten visar att Avanza har använt sig av Metas analysverktyg Facebook-pixeln (numera Meta-pixeln) både på sin webbplats och i sin app i syfte att optimera bankens marknadsföring på Facebook. Den felaktiga överföringen av personuppgifter orsakades av att banken aktiverade nya delfunktioner i Meta-pixeln av misstag.

Pixeln har gjort att uppgifter som rör bankens kunder överförts till Meta, som exempelvis uppgifter om värdepappersinnehav och värde, lånebelopp, kontonummer och personnummer.

– Banken har brutit mot dataskyddsförordningen, GDPR, genom att inte ha vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå för webbplatsbesökares och app-användares personuppgifter, säger Catharina Fernquist, enhetschef på IMY.

Bristerna gör att IMY utfärdar en administrativ sanktionsavgift på 15 miljoner kronor mot Avanza Bank AB.

När Avanza fick kännedom om det inträffade avaktiverade banken pixeln. Banken uppger att Meta har bekräftat att de personuppgifter som samlats in via pixeln har raderats hos Meta.

Avanza har efter att de upptäckte den felaktiga överföringen av uppgifter till Meta utvecklat sina interna rutiner för att säkerställa en korrekt och säker behandling av personuppgifter.