Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Společnost Avast Software s.r.o.

Kontrola zpracování osobních údajů uživatelů antivirového softwaru

Na základě stížnosti podané nizozemskému dozorovému úřadu provedl Úřad kontrolu, jejímž předmětem bylo zpracování osobních údajů uživatelů antivirového softwaru. Vzhledem k tomu, že se v dané věci jedná o přeshraniční zpracování osobních údajů, přičemž hlavní provozovna se nachází na území České republiky, je Úřad v pozici vedoucího dozorového úřadu ve smyslu čl. 56 odst. 1 nařízení (EU) 2016/679, dotčenými dozorovými úřady jsou dozorové úřady všech členských států Evropské unie a Evropského hospodářského prostoru.

Předmětem stížnosti byla nemožnost deaktivovat přednastavené možnosti ochrany soukromí v bezplatné verzi antivirového softwaru. V průběhu kontroly bylo zjištěno, že každé jednotlivé instalaci antivirového softwaru je přirazeno jedinečné označení (Device ID a Installation ID) a dále, že pro zajištění řádné funkčnosti antivirového softwaru je nezbytné, aby kontrolovaná osoba (alespoň po určitou dobu) disponovala IP adresou zařízení, na kterém je antivirový software instalován. Údaje o zařízení a provozní údaje (například informace o vyhledávaných URL stránkách, nainstalovaných aplikacích, uložených souborech) zasílané prostřednictvím antivirového softwaru jsou tak spojeny jak s Device ID a Installation ID daného zařízení, tak po určitou dobu i s aktuální IP adresou (do doby, než je IP adresa nahrazena méně specifickými údaji).

S ohledem na tvrzení kontrolované osoby se kontrolující zejména zabývali otázkou, zda údaje zpracovávané kontrolovanou osobou představují osobní údaje. V tomto směru vycházeli kontrolující mj. z recitálu 26 nařízení (EU) 2016/679, dle kterého je pro identifikovatelnost určité osoby postačující například výběr vyčleněním („single-out“). Individualizace osoby tak může být učiněna spojením údajů s individuálními identifikátory, například s IP adresou, MAC adresou, případně jiným identifikátorem instalace či zařízení, které je zpravidla používané fyzickými osobami. V čl. 4 bodu 1) nařízení (EU) 2016/679 se dále výslovně uvádí, že fyzická osoba je identifikovatelná například odkazem na síťový identifikátor. Dalším základním východiskem bylo to, že pro posouzení charakteru informace jakožto osobního údaje není rozhodující, zda tato informace umožňuje přímé identifikování subjektu údajů (tj. že správce spojení údajů s konkrétní fyzickou osobou provede sám na základě informací, kterými disponuje nebo které může získat), nebo identifikování nepřímé (tj. že pro ztotožnění osoby je nutno využít součinnosti více subjektů). Tento závěr odpovídá i judikatuře Soudního dvora Evropské unie, například rozsudku druhého senátu Soudního dvora Evropské unie ze dne 19. října 2016 ve věci C-582/14 (Breyer v. Bundesrepublik Deutschland), v němž se tento soud přiklonil k objektivnímu pojetí pojmu osobní údaj.

Úřad proto dospěl k závěru, že kontrolovaná osoba disponuje informacemi, které ve svém souhrnu mohou vést ke zjištění identity uživatele, a na jejichž základě je fyzická osoba identifikovatelná. Kontrolovaná osoba tedy v souvislosti s poskytováním služby antivirového softwaru shromažďuje a dále zpracovává takové údaje uživatelů, které jsou osobními údaji. Tento závěr přitom platí pro všechny verze antivirového softwaru (určené pro operační systémy Windows, Apple Mac a Android), a to jak pro jejich platící, tak i neplatící uživatele, neboť proces instalace a další fungování antivirového softwaru se v podstatných parametrech neliší. Kontrolující proto dospěli k závěru, že kontrolovaná osoba je v postavení správce osobních údajů uživatelů antivirového softwaru.

V průběhu kontroly nicméně kontrolovaná osoba opakovaně uváděla, že osobní údaje (nad rámec údajů nezbytných k provedení platby u platících uživatelů antivirového softwaru) nezpracovává a že údaje neplatících uživatelů jsou anonymizované. Závěr, který učinili kontrolující ve vztahu k charakteru zpracovávaných osobních údajů, kontrolovaná osoba odmítla. Ačkoli tedy kontrolovaná osoba v průběhu kontroly poskytla podrobné informace o své činnosti, resp. o instalaci a základní funkcionalitě antivirového softwaru i o zpracování údajů pro sekundární účely (zejména statistiky, analýzy, další vývoj produktu a marketing), dospěli kontrolující k závěru, že kontrolovaná osoba nedoložila soulad svých postupů se základními zásadami ve smyslu čl. 5 odst. 2 nařízení (EU) 2016/679, tj., že porušila zásadu odpovědnosti, a současně čl. 24 odst. 1 nařízení (EU) 2016/679, tedy nedoložila, že zpracování je prováděno v souladu s nařízením (EU) 2016/679. Kontrolující proto v této fázi nemohli posoudit plnění zásad uvedených v čl. 5 odst. 1 nařízení (EU) 2016/679, a to zejména, jaký právní základ kontrolovaná osoba určila ve vztahu ke všem dílčím účelům zpracování osobních údajů a zda je za daných okolností takový právní základ použitelný.

Předsedkyně Úřadu částečně vyhověla námitkám, které proti kontrolním zjištěním kontrolovaná osoba podala, a zrušila závěr o porušení čl. 5 odst. 2 nařízení (EU) 2016/679.

Nenapraví-li kontrolovaná osoba protiprávní stav sama, Úřad ve věci zahájí řízení o uložení opatření k odstranění zjištěných nedostatků.

Kontrolu řídila inspektorka JUDr. Jiřina Rippelová.

Doporučení

Také údaje o používání určitého zařízení, je-li toto zařízení jednoznačně identifikováno a jsou li tyto údaje spojeny s jednoznačným identifikátorem, mohou ve svém souhrnu vést k identifikaci konkrétní fyzické osoby. Takové údaje jsou poté osobními údaji, a to i pokud identifikace subjektů údajů není prováděna a ani není záměrem správce.