Společnosti Avast Software s.r.o. byla pravomocně uložena pokuta ve výši 351 milionů Kč. Tu uložil Úřad pro ochranu osobních údajů za neoprávněné zpracování osobních údajů uživatelů jejího antivirového programu Avast a jeho rozšíření internetových prohlížečů (Browser Extensions), k čemuž docházelo prokazatelně po část roku 2019.
Společnost Avast v rámci poskytování služeb antivirového software zpracovává osobní údaje uživatelů tohoto software. V prokázaném období části roku 2019 předávala část těchto údajů přibližně 100 milionů svých uživatelů společnosti Jumpshot, INC., a to zejména pseudonymizovanou historii prohlížení internetu, navázanou na jedinečný identifikátor. Společnost Jumpshot, INC. se mimo jiné prezentovala jako společnost zpřístupňující data „marketérům“, jimž poskytovala „vhled do on-line chování spotřebitelů“ a nabízela „sledování cesty uživatelů na atomární úrovni.“
Uživatelé tak byli společností Avast mylně informováni o předávání anonymních údajů za účelem analýzy trendů. Ačkoli společnost Avast uváděla, že používala robustní anonymizační techniky, bylo v řízení prokázáno, že předávané údaje z jednotlivých instalací antivirového softwaru nebyly anonymizované, jelikož i na základě předávaných dat mohlo dojít k opětovné identifikaci minimálně části subjektů údajů. Navíc účelem zpracování těchto údajů nebylo (pouze) vytváření statistických analýz, jak společnost Avast uváděla.
„Úřad v rozhodnutí zdůraznil, že společnost Avast je jedním z předních odborníků na kybernetickou bezpečnost, který nabízí veřejnosti nástroje k ochraně dat a soukromí. Její zákazníci nemohli očekávat, že právě tato společnost bude předávat jejich osobní údaje, respektive údaje, na jejichž základě by mohla být zjištěna nejen jejich totožnost, ale například i zájmy, preference, bydliště, majetkové poměry, profese a další údaje týkající se jejich soukromí,“
uvedl k rozhodnutí předseda Úřadu pro ochranu osobních údajů Jiří Kaucký.
Vzhledem k tomu, že se jednalo o případ přeshraničního zpracování osobních údajů klientů v rámci celé Evropské unie, byla věc řešena zároveň s ostatními dotčenými dozorovými úřady v Evropské unii, a to v rámci mechanismu spolupráce One Stop Shop.
Zdroj: Úřad pro ochranu osobních údajů, Tisková zpráva ze dne 15. dubna 2024
Dostupné online: https://uoou.gov.cz/novinky/vse/uoou-ulozil-pokutu-351-mil-kc-za-poruseni-gdpr