Avast zpracovával osobní údaje uživatelů stejnojmenného antivirového programu a jeho rozšíření pro internetové prohlížeče. Část údajů ve zkoumané části roku 2019 předal své divizi Jumpshot, která se prezentovala jako firma zpřístupňující data marketérům, jimž poskytovala vhled do on-line chování spotřebitelů.
Uživatelé antivirového programu byli společností Avast mylně informováni o předávání anonymních údajů za účelem analýzy trendů, uvedl ÚOOÚ. „Ačkoli společnost Avast uváděla, že používala robustní anonymizační techniky, bylo v řízení prokázáno, že předávané údaje z jednotlivých instalací antivirového softwaru nebyly anonymizované,“ uvedl úřad. Na základě předávaných dat podle něj mohla být opět identifikována minimálně část subjektů. Účelem zpracování údajů navíc nebylo pouze vytváření statistických analýz, jak Avast uváděl.
Úřad v rozhodnutí zdůraznil, že společnost Avast je jedním z předních odborníků na kybernetickou bezpečnost, který nabízí veřejnosti nástroje k ochraně dat a soukromí. „Její zákazníci nemohli očekávat, že právě tato společnost bude předávat jejich osobní údaje, respektive údaje, na jejichž základě by mohla být zjištěna nejen jejich totožnost, ale například i zájmy, preference, bydliště, majetkové poměry, profese a další údaje týkající se jejich soukromí,“ uvedl k rozhodnutí předseda ÚOOÚ Jiří Kaucký.
Avast musí v USA zaplatit pokutu 386 milionů korun, prodával data o uživatelích |
„Udělená pokuta mohla být teoreticky ještě podstatně vyšší. Jednou z otázek, kterým se úřad nevěnoval, bylo možné zneužití citlivých údajů zákazníků – tj. údajů o jejich sexuální orientaci, zdravotním stavu apod. Takové údaje mají dle GDPR zvláštní ochranu a jejich zneužití podstatně zvyšuje závažnost daného porušení. Osobně se domnívám, že takové údaje Avast v rámci své činnosti musel zpracovávat, resp. že zpracovával data, ze kterých bylo možné tyto údaje odvodit – jednalo se totiž o obrovské datové soubory zahrnující mimo jiné historii vyhledávání na Google, aktivity na sociálních sítích apod,“ uvedl Michal Nulíček, partner advokátní kanceláře ROWAN LEGAL.
Kvůli zacházení s osobními údaji uživatelů má Avast problém nejenom v Česku, ale i ve Spojených státech. Koncem letošního února informovala americká Federální obchodní komise (FTC), že Avast musí ve Spojených státech zaplatit pokutu 16,5 milionu dolarů (přes 393 milionů Kč) a přestat prodávat data o uživatelích k reklamním účelům. Firma podle americké komise nepravdivě uváděla, jak používá data uživatelů o prohlížení internetových stránek. Takto získané informace pak firma prodávala bez odpovídajícího upozornění nebo souhlasu.
Značka Avast je součástí společnosti Gen Digital, která vznikla v roce 2022 spojením Avastu a americké firmy NortonLifeLock. Avast svou dceřinou firmu Jumpshot už dříve dobrovolně uzavřel a v lednu 2020 její činnost ukončil.
