ÚOOÚ uložil pokutu 351 mil. Kč za porušení GDPR
Společnosti Avast Software s.r.o. byla pravomocně uložena pokuta ve výši 351 milionů Kč. Tu uložil Úřad pro ochranu osobních údajů za neoprávněné zpracování osobních údajů uživatelů jejího antivirového programu Avast a jeho rozšíření internetových prohlížečů (Browser Extensions), k čemuž docházelo prokazatelně po část roku 2019.
Společnost Avast v rámci poskytování služeb antivirového software zpracovává osobní údaje uživatelů tohoto software. V prokázaném období části roku 2019 předávala část těchto údajů přibližně 100 milionů svých uživatelů společnosti Jumpshot, INC., a to zejména pseudonymizovanou historii prohlížení internetu, navázanou na jedinečný identifikátor. Společnost Jumpshot, INC. se mimo jiné prezentovala jako společnost zpřístupňující data „marketérům“, jimž poskytovala „vhled do on-line chování spotřebitelů“ a nabízela „sledování cesty uživatelů na atomární úrovni.“
Uživatelé tak byli společností Avast mylně informováni o předávání anonymních údajů za účelem analýzy trendů. Ačkoli společnost Avast uváděla, že používala robustní anonymizační techniky, bylo v řízení prokázáno, že předávané údaje z jednotlivých instalací antivirového softwaru nebyly anonymizované, jelikož i na základě předávaných dat mohlo dojít k opětovné identifikaci minimálně části subjektů údajů. Navíc účelem zpracování těchto údajů nebylo (pouze) vytváření statistických analýz, jak společnost Avast uváděla.
„Úřad v rozhodnutí zdůraznil, že společnost Avast je jedním z předních odborníků na kybernetickou bezpečnost, který nabízí veřejnosti nástroje k ochraně dat a soukromí. Její zákazníci nemohli očekávat, že právě tato společnost bude předávat jejich osobní údaje, respektive údaje, na jejichž základě by mohla být zjištěna nejen jejich totožnost, ale například i zájmy, preference, bydliště, majetkové poměry, profese a další údaje týkající se jejich soukromí,“
uvedl k rozhodnutí předseda Úřadu pro ochranu osobních údajů Jiří Kaucký.
Vzhledem k tomu, že se jednalo o případ přeshraničního zpracování osobních údajů klientů v rámci celé Evropské unie, byla věc řešena zároveň s ostatními dotčenými dozorovými úřady v Evropské unii, a to v rámci mechanismu spolupráce One Stop Shop.