Amendă administrativă în valoare de 1 300 000 euro aplicată de către Autoritatea Suedeză pentru Protecția Datelor unei bănci pentru transferul datelor referitoare la clienți săi către Meta
Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 1 300 000 euro aplicată de către Autoritatea Suedeză pentru Protecția Datelor (SA) companiei Avanza Bank AB pentru încălcarea articolului 5 Principii legate de prelucrarea datelor cu caracter personal, articolul 32 Securitatea prelucrării și articolului 83 Condiții generale pentru impunerea amenzilor administrative din GDPR.
O bancă suedeză a raportat către SA Suedeză o încălcare a securității datelor cu caracter personal. Notificarea precizează că banca a utilizat pixelul Facebook (acum Meta Pixel) pe site-ul său web și în aplicația sa pentru a optimiza marketingul băncii pe Facebook. O setare incorectă a Meta Pixel a însemnat că datele cu caracter personal au fost transferate către Meta pe o perioadă mai lungă de timp. Notificarea băncii precizează că, în perioada 15 noiembrie 2019 – 2 iunie 2021, datele cu caracter personal ale până la un milion de clienți au fost transferate în mod eronat către Meta.
Atunci când banca a luat cunoștință de incident, pixelul Meta a fost dezactivat, iar datele cu caracter personal colectate prin intermediul pixelului au fost șterse de Meta. Totodată, banca și-a revizuit procedurile interne pentru a asigura prelucrarea corectă și sigură a datelor cu caracter personal.
Compania Avanza Bank AB a încălcat prevederile legale stipulate în GDPR, prin faptul că nu a implementat măsuri tehnice și organizatorice corespunzătoare pentru a asigura un nivel adecvat de securitate a datelor cu caracter personal ale vizitatorilor site-ului web și ale utilizatorilor aplicațiilor.
În acest context SA Suedeză a impus o amendă administrativă în valoare de 1 300 000 companiei Avanza Bank AB.
CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.