Článek
Česká technologická společnost Avast dostala od Úřadu pro ochranu osobních údajů (ÚOOÚ) pokutu ve výši 350 milionů korun (13,7 milionu eur), informuje server Global Data Review. Ten se specializuje na právo a regulaci používání dat i obchodování s nimi po celém světě.
Rekordní pokuta byla udělena za nepřímý prodej osobních údajů uživatelů softwaru, který se měl odehrávat v roce 2020 prostřednictvím dceřiné společnosti Jumpshot. Za pochybení se firma v roce 2020 omluvila a divize Jumpshot byla zrušena.
„Řízení před Úřadem pro ochranu osobních údajů stále probíhá a dosud nebylo vydáno konečné rozhodnutí. Z toho důvodu nemůžeme záležitost komentovat,“ odpověděl na dotaz zaměstnanec společnosti Gen, která je nástupnickou firmou Avastu. Firma výslovně žádala, aby citace nebyla připsána konkrétní osobě.
„Bez komentáře,“ zněla odpověď na aktuální stav šetření a jeho výsledek od tiskového mluvčího ÚOOÚ Milana Řepky. Podle všeho tak ještě existuje možnost, že se firma může proti verdiktu odvolat.
„Společnost Avast v informacích o zpracování osobních údajů uživatele informovala, že k předávání údajů nedojde, resp. pokud se tak stane, tak budou anonymizovány či bude získán jejich souhlas. Z prvostupňového rozhodnutí vyplývá, že v praxi se nejspíš chovala výrazně jinak,“ okomentoval Michal Nulíček, advokát a odborník na ochranu osobních údajů z kanceláře Rowan Legal.
Kromě ÚOOÚ řeší celou záležitost také Evropský sbor pro ochranu osobních údajů, jelikož stížnost na společnost Avast, respektive Jumpshot, byla podána v Nizozemsku. I to je pravděpodobně důvod, proč se úřad rozhodl pro rekordně vysokou sankci násobně překračující dosud udělené pokuty. Udělená pokuta je v současnosti zdaleka nejvyšší pokutou v České republice, ale také jednou z 20 nejvyšších pokut uložených za porušení GDPR na celém světě.
Dalším z pravděpodobných důvodů je i rozsah celé záležitosti. V roce 2020 měl Avast 435 milionů aktivních uživatelů a společnost Jumpshot měla nabízet k prodeji data 100 milionů z nich.
„V současnosti shromažďujeme informace k celému případu. Je zde podezření ze závažného rozsáhlého porušení ochrany osobních údajů uživatelů. Na základě našich zjištění učiníme další kroky, o kterých budeme veřejnost informovat,“ uvedl ÚOOÚ v únoru 2020.
„Z právního pohledu je udělená pokuta tak vysoká hlavně proto, že Avast je společnost, která se zabývá ochranou dat a soukromí, a její zákazníci tak nečekají, že bude s jejich daty nakládat jinak, než deklaruje. Druhým hlavním důvodem je fakt, že se společnost Avast tohoto porušení dopustila úmyslně,“ vysvětluje Nulíček z kanceláře Rowan Legal.
Uvádí, že pokuta mohla být i daleko vyšší. Za její aktuální výši tak podle něj může Avast děkovat poměrně rychlému „odstranění problému“ ve formě uzavření dceřiné společnosti Jumpshot. „Podle mého názoru měla také velké štěstí, že se úřadu nepodařilo prokázat, že by v rámci vytýkané činnosti zpracovávala tzv. zvláštní kategorii dat, jakou jsou například údaje o zdravotním stavu či sexuální orientaci,“ dodává advokát.
Data zpracovávaná a nabízená společností Jumpshot měla podle ÚOOÚ obsahovat například informace o vyhledávaných internetových stránkách, nainstalovaných aplikacích nebo uložených souborech. Údaje byly shromažďovány ze všech typů zařízení s nainstalovaným antivirovým softwarem Avast běžících na Windows, Apple Mac a Android.
„Důležité je si přitom uvědomit, že hovoříme o velkých souborech dat a poměrně citlivých údajích stovek milionů uživatelů po celém světě – šlo o kompletní vyhledávání polohy a GPS souřadnic na Mapách Google, zhlédnutí videa na YouTube, profily na LinkedIn či vyhledávání na webu Google,“ vysvětluje dále Nulíček.
Přestože data měla být podle Avastu při prodeji anonymizována, množství sebraných dat prý umožňovalo majitelům dat rozklíčovat, kdo se za těmito daty skrýval. Vzhledem k tomu, že data obsahovala například unikátní MAC adresy jednotlivých zařízení, bylo tak podle expertů teoreticky možné je propojit i s konkrétními fyzickými osobami, což potvrzuje mimo jiné i ÚOOÚ. To Avast podle zprávy úřadu opakovaně popíral a závěr úřadu odmítl.
