Szwedzki organ nadzorczy ds. ochrony danych osobowych (Integritetsskyddsmyndigheten) stwierdził, że bank (Avanza Bank AB) naruszył przepisy RODO w związku ze skorzystaniem z dwóch funkcjonalności narzędzia Meta Pixel. Administrator utrzymywał, że do zdarzenia doszło w wyniku pomyłki. Nie uchroniło go to jednak przed surową karą, której wysokość została określona przez regulatora na aż 15 000 000 koron (ok. 1 300 000 euro).
Administrator omyłkowo uruchamia dodatkowe funkcje Meta Pixel
Z decyzji regulatora wynika, że ukarany Bank postanowił skorzystać z narzędzia analitycznego Meta Pixel. Jego celem była analiza skuteczności reklam publikowanych na portalu Facebook i optymalizacja działań marketingowych. W założeniu, narzędzie miało jedynie zbierać poszczególne informacje na temat wizyt użytkowników na stronach internetowych Banku oraz ich adresy IP. Okazało się jednak, że – w bliżej nieokreślonym momencie – administrator uruchomił dwie dodatkowe funkcje narzędzia Meta Pixel, tj. tzw. Automatic Advanced Matching (AAM) oraz tzw. Automatic Events (AE).
Uruchomienie AAM spowodowało, że w przypadku, gdy użytkownik korzystał z jednego z formularzy dostępnych na stronie internetowej Banku lub w jego aplikacji mobilnej, jego dane (imię, nazwisko, adres e-mail) były automatycznie szyfrowane i przekazywane do Mety. Jednocześnie, w momencie zaakceptowania przez użytkownika marketingowych plików cookie, narzędzie AAM pozyskiwało dane osobowe użytkownika, w tym jego osobisty numer identyfikacyjny, dane kontaktowe, kwoty pożyczek, miejsce i rodzaj zatrudnienia oraz numer konta. Dzięki temu możliwe było dopasowanie danych użytkowników do ich zachowań na stronie internetowej Banku, tworząc w ten sposób szczegółowy profil klienta banku.
Funkcja AE pozwalała natomiast pozyskiwać dane osobowe użytkowników strony internetowej lub aplikacji mobilnej, obejmujące informacje o posiadanych papierach wartościowych, kwotach zaciągniętych pożyczek, numerach kont, czy też numerach ubezpieczenia społecznego. Dane te były automatycznie przekazywane do Meta, w celu odpowiedniego dopasowania treści marketingowych na portalu Facebook.
Dane nawet miliona osób przekazane do Meta – administrator zgłasza naruszenie
Organ nadzorczy ustalił, że ukarany Bank dowiedział się od zewnętrznego źródła, że uruchomienie dodatkowych funkcji narzędzia Meta Pixel doprowadziło do udostępnienia do Meta danych osobowych od pół do nawet miliona osób. Co więcej, dane te były przekazywane do Mety przez prawie dwa lata (od listopada 2019 r. do czerwca 2021 r.). Administrator zawiadomił o tym naruszeniu szwedzki organ nadzorczy. W zawiadomieniu wskazał on, że nie udało się ustalić, kto faktycznie włączył dodatkowe funkcje Meta Pixel. Dodatkowo, Bank wskazał, że udostępnienie danych nie spowodowało zagrożenia dla osób, których dane dotyczą, ponieważ – w jego ocenie – Meta nie wykorzystywała tych danych do własnych celów.
Brak wiedzy o dodatkowych funkcjach obciąża administratora
Organ nadzorczy wskazał w swojej decyzji, że wskutek uruchomienia dodatkowych funkcji w narzędziu Meta Pixel, doszło do bezprawnego udostępnienia danych osobowych do Meta. Przekazane dane – jak wskazał regulator – dotyczyły bardzo dużej liczby osób oraz obejmowały szczególnie wrażliwe informacje. Co więcej, większość danych była przesyłana do Mety w postaci zwykłego tekstu, co powodowało wysokie ryzyko dla osób, których dane dotyczą.
W ocenie organu nadzorczego, administratora dodatkowo obciąża fakt, że nie wykrył on, że wskazane funkcje zostały uruchomione, a informację w tym zakresie otrzymał dopiero od podmiotu zewnętrznego. Bank co prawda posiadał sformalizowane procedury zapewniające prawidłowe i zgodne z prawem przetwarzanie danych osobowych, ale najwyraźniej okazały się one nieskuteczne. Tym samym, regulator stwierdził w swojej decyzji naruszenie przez administratora art. 5 ust. 1 lit. f RODO oraz art. 32 RODO. Stwierdzone uchybienia skutkowały nałożeniem na Bank wysokiej kary finansowej.
Niezbędne regularne przeglądy
Sprawa ta pokazuje, jak ważne jest nie tylko formalne wdrożenie procedur i instrukcji w zakresie ochrony danych osobowych, ale co ważniejsze ich właściwe stosowanie, regularne przeglądy oraz działania informacyjne (m.in. szkolenia personelu). Być może administrator mógłby uchronić się przed surową karą, jeżeli systematycznie weryfikowałby funkcjonowanie wdrożonych rozwiązań w zakresie ochrony danych osobowych. Prawdopodobnie dzięki temu wcześniej dowiedziałby się o uruchomieniu dodatkowych funkcji w narzędziu Meta Pixel i mógłby tym samym szybciej zareagować.
Decyzja organu nadzorczego:
https://www.imy.se/globalassets/dokument/beslut/2024/beslut-tillsyn-avanza.pdf