Společnost Avast Software dostala od Úřadu pro ochranu osobních údajů (ÚOOÚ) pokutu 351 milionů korun za neoprávněné zpracování údajů o uživatelích jejího antivirového programu. Podle úřadu firma po část roku 2019 předávala společnosti Jumpshot některé údaje o přibližně sto milionech uživatelů, které nebyly anonymizované. Pokuta, která je nejvyšší od vzniku úřadu v roce 2000, je pravomocná.
Avast dostal pokutu 351 milionů za předávání údajů o uživatelích
Avast zpracovával osobní údaje uživatelů stejnojmenného antivirového programu a jeho rozšíření pro internetové prohlížeče. Část údajů ve zkoumané části roku 2019 předal své divizi Jumpshot, která se prezentovala jako firma zpřístupňující data marketérům, jimž poskytovala vhled do on-line chování spotřebitelů.
Uživatelé antiviru Avast byli společností mylně informováni o předávání anonymních údajů za účelem analýzy trendů. „Ačkoli společnost Avast uváděla, že používala robustní anonymizační techniky, bylo v řízení prokázáno, že předávané údaje z jednotlivých instalací antivirového softwaru nebyly anonymizované, jelikož i na základě předávaných dat mohlo dojít k opětovné identifikaci minimálně části subjektů údajů,“ přiblížil úřad. Účelem zpracování údajů navíc nebylo pouze vytváření statistických analýz, jak Avast uváděl.
Úřad v rozhodnutí zdůraznil, že společnost Avast je jedním z předních odborníků na kybernetickou bezpečnost, který nabízí veřejnosti nástroje k ochraně dat a soukromí. „Její zákazníci nemohli očekávat, že právě tato společnost bude předávat jejich osobní údaje, respektive údaje, na jejichž základě by mohla být zjištěna nejen jejich totožnost, ale například i zájmy, preference, bydliště, majetkové poměry, profese a další údaje týkající se jejich soukromí,“ podotkl k rozhodnutí předseda ÚOOÚ Jiří Kaucký.
Pokuta 351 milionů korun je nejvyšší, jakou kdy ÚOOÚ uložil. Dosavadní maxima byla v jednotkách milionů. V roce 2017 úřad uložil sankci 4,25 milionu korun společnosti Eurydikapol (dříve JH HOLDING s.r.o.) za šíření nevyžádaných obchodních sdělení. K nejvyšším sankcím ÚOOÚ patří také pokuta 3,6 milionu korun udělená operátorovi T-Mobile za únik osobních údajů jeho zákazníků.
Kvůli zacházení s osobními údaji uživatelů má Avast problém nejenom v Česku, ale i ve Spojených státech. Koncem letošního února informovala americká Federální obchodní komise, že Avast musí ve Spojených státech zaplatit pokutu 16,5 milionu dolarů (přes 393 milionů korun) a přestat prodávat data o uživatelích k reklamním účelům. Firma podle americké komise nepravdivě uváděla, jak používá data uživatelů o prohlížení internetových stránek. Takto získané informace pak firma prodávala bez odpovídajícího upozornění nebo souhlasu.
Značka Avast je součástí společnosti Gen Digital, která vznikla v roce 2022 spojením Avastu a americké firmy NortonLifeLock. Avast svou dceřinou firmu Jumpshot už dříve dobrovolně uzavřel a v lednu 2020 její činnost ukončil.