Avast v pasti GDPR: Rekordní pokuta za zneužití dat!

Úřad pro ochranu osobních údajů (ÚOOÚ) udělil společnosti Avast Software s.r.o. rekordní pokutu 351 milionů korun za porušení GDPR. Důvodem bylo nezákonné shromažďování a předávání osobních údajů uživatelů.

Avast shromažďoval data o uživatelích, včetně historie prohlížení internetu, a předával je třetím stranám pro komerční využití. I když byla data pseudonymizována, stále se jednalo o osobní údaje, jelikož umožňovaly identifikaci uživatelů. Avast navíc nezískal od uživatelů řádný souhlas s předáváním dat.

Rozhodnutí o udělení pokuty 351 milionů korun společnosti Avast Software s.r.o. kvůli porušení GDPR přineslo šokující moment v českém právním světě a vyslalo silný signál dalším firmám. Jaké poučení si z této kauzy mohou vzít podnikatelé i běžní uživatelé?

Začněme tím, co přesně Avast udělal, že to vedlo k tak vysoké pokutě. Společnost, známá svým antivirovým softwarem, zpracovávala osobní údaje uživatelů a předávala je třetím stranám, přičemž tento postup nebyl řádně schválen nebo transparentní. Výše pokuty naznačuje, že se nejednalo o běžné pochybení, ale o rozsáhlý problém, který ovlivnil miliony uživatelů.

Jaké informace Avast zpracovával?

Avast shromažďoval a zpracovával různé osobní údaje, včetně identifikátorů zařízení, IP adres a údajů o instalaci. Tyto informace byly používány nejen pro funkčnost antivirového softwaru, ale také pro komerční účely, což zahrnovalo předávání třetím stranám. Tím se Avast dostal do konfliktu s principy ochrany osobních údajů, které stanovuje GDPR. V tomto případě se ukázalo, že informace, které byly pseudonymizované, stále zůstávají osobními údaji, pokud je možné je přiřadit konkrétním osobám.

Monetizace osobních údajů a proč je to problém?

Avast prodával data o svých uživatelích třetím stranám. I když byly pseudonymizované, stále mohly být propojeny s individuálními uživateli. Například e-shopy nebo marketingové společnosti by mohly použít tyto údaje k identifikaci konkrétních lidí na základě jejich nákupních návyků nebo jiných online aktivit. Toto otevřelo dveře k zneužití údajů, které by mohlo vést k poškození soukromí uživatelů nebo ke komerčnímu využití jejich osobních údajů bez jejich vědomí.

Souhlas nebo oprávněný zájem?

Dalším problémem byla otázka právního titulu pro zpracování těchto údajů. Avast argumentoval, že jejich zpracování bylo založeno na oprávněném zájmu, což však neodpovídalo principům transparentnosti a informovaného souhlasu, jak to vyžaduje GDPR. Po roce 2019 Avast přešel na koncept souhlasu, ale mezi dubnem a červencem 2019 společnost předávala data třetím stranám bez řádného právního titulu.

Co si z toho vzít?

Pro společnosti i jednotlivce je důležité, aby jasně chápali, jaké informace shromažďují a jak je používají. Transparentnost je klíčem k budování důvěry mezi firmami a jejich zákazníky. Firmy by měly jasně informovat své klienty o tom, jaké údaje zpracovávají a proč. Navíc, pokud firma předává údaje třetím stranám, musí zajistit, že to bude v souladu s GDPR a s řádným souhlasem uživatelů.

Pokuta 351 milionů korun by měla být varováním pro všechny, kdo zpracovávají osobní údaje. Právní požadavky nelze ignorovat a ochrana soukromí musí být prioritou. Kromě možných právních důsledků má nesprávné nakládání s osobními údaji potenciál zničit důvěru zákazníků a poškodit pověst společnosti.
Doufejme, že tato historická pokuta bude mít pozitivní dopad na zlepšení praxe v oblasti ochrany osobních údajů. Pokud máte pochybnosti o zpracování osobních údajů ve vaší společnosti, vyhledejte odbornou právní pomoc, abyste se vyhnuli podobným problémům a zajistili, že vaše postupy jsou v souladu s GDPR.