Článek
Společnost Avast Software s.r.o., jedna z předních firem v oblasti kybernetické bezpečnosti, aktuálně čelí významné sankci.
Vážený ústřední správní orgán - Úřad pro ochranu osobních údajů (ÚOOÚ) uložil této populární společnosti pokutu ve výši 351 milionů Kč za neoprávněné zpracování osobních údajů svých uživatelů.
Toto porušení se týkalo antivirového programu Avast a jeho rozšíření pro internetové prohlížeče, a to v období části roku 2019.
Avast Software s.r.o. zpracovává osobní údaje uživatelů svého softwaru v rámci poskytování bezpečnostních služeb. Během prokázaného období části roku 2019 však společnost předávala část těchto údajů společnosti Jumpshot, INC.
Jednalo se především o pseudonymizovanou historii prohlížení internetu spojenou s jedinečným identifikátorem. Avast Software s.r.o. předávala data přibližně o 100 milionech uživatelů své divizi Jumpshot, INC., která se prezentovala jako společnost poskytující marketérům vhled do online chování spotřebitelů a nabízející sledování cesty uživatelů na atomární úrovni.
Klíčovým problémem bylo to, že uživatelé Avastu nebyli řádně informováni o tom, že jejich údaje budou předávány třetí straně za účelem analýzy trendů.
Avast tvrdil, že používal robustní anonymizační techniky, ale ÚOOÚ prokázal, že data nebyla řádně anonymizována. Existovala možnost opětovné identifikace minimálně části uživatelů na základě předávaných dat. Navíc se ukázalo, že účelem zpracování těchto údajů nebylo pouze vytváření statistických analýz, jak tvrdila společnost Avast.
Společnost Avast byla a je jedním z renomovaných expertů na kybernetickou bezpečnost, který nabízí veřejnosti nástroje k ochraně dat a soukromí.
Oklamaní zákazníci
Její zákazníci nemohli očekávat, že právě tato společnost bude dále předávat jejich osobní údaje, respektive údaje, na jejichž základě by mohla být zjištěna nejen jejich totožnost, ale například i zájmy, preference, bydliště, majetkové poměry, profese a další údaje týkající se jejich soukromí.
Problémy i v USA
Kvůli zacházení s osobními údaji uživatelů má Avast problém nejenom v Česku, ale i ve Spojených státech. Koncem letošního února informovala americká Federální obchodní komise (FTC), že Avast musí ve Spojených státech zaplatit pokutu 16,5 milionu dolarů (přes 393 milionů Kč) a přestat prodávat data o uživatelích k reklamním účelům. Firma podle americké komise nepravdivě uváděla, jak používá data uživatelů o prohlížení internetových stránek. Takto získané informace pak firma prodávala bez odpovídajícího upozornění nebo souhlasu.
Kozel zahradníkem?
Laicky řečeno - kozel se zde stal kybernetickým zahradníkem, právě proto ÚOOÚ patrně udělil tak relativně vysokou pokutu. Je otázkou, zda nebude pro zmíněnou společnost likvidační.
Tato událost má důležité důsledky přirozeně nejen pro společnost Avast, ale i pro celý sektor kybernetické bezpečnosti a ochrany osobních údajů.
Jak říká právní teorie, sankce cílí nejen na delikventa, ale současně informačně ega omnes, tedy na všechny ostatní z daného oboru, aby věděli, že se tak příště prostě nemohou chovat.
Ukazuje, že je nezbytné, aby firmy zajišťovaly transparentnost a důvěryhodnost ve zpracování osobních údajů svých uživatelů. Nedostatečná ochrana soukromí může mít závažné právní ale i reputační následky.
Závěrem
Tato událost by měla sloužit jako ponaučení nejen pro Avast, ale i pro ostatní společnosti působící v oblasti kybernetické bezpečnosti a ochrany osobních údajů. Jejich závazek k ochraně soukromí uživatelů by měl být prioritou, která překračuje obchodní zájmy a zajišťuje důvěru uživatelů ve služby, které poskytují.
Prameny -
https://uoou.gov.cz/novinky/vse/uoou-ulozil-pokutu-351-mil-kc-za-poruseni-gdpr
https://archiv.hn.cz/c1-67314170-dalsi-pokuta-pro-avast-za-neopravnene-zpracovani-osobnich-udaju-musi-zaplatit-351-milionu-korun
https://www.lupa.cz/aktuality/avast-za-preprodej-osobnich-dat-uzivatelu-dostal-pokutu-od-uoou/