Řízení v této věci bylo zahájeno již v roce 2020 a prvostupňového rozhodnutí jsme se dočkali v březnu 2022. Následně jsme další dva roky čekali na rozhodnutí o rozkladu. O rekordní pokutě panovali jisté obecně povědomí, avšak do rozhodnutí o rozkladu nebylo jasné, zda nedojde k revizi prvostupňového rozhodnutí Úřadu. Nyní už jasno je: Úřad svůj závěr ani rekordní výši pokuty nezměnil.
Pro úplnost dodejme, že pravomocné rozhodnutí o pokutě ještě může projít soudním přezkumem. Opravdového konce této kauzy se tak možná dočkáme až za několik let. Rozhodnutí Úřadu je nicméně pravomocné a jako takové velmi důležité pro praxi řady organizací.
Jaké informace Avast protiprávně zpracovával?
Společnost Avast Software s.r.o. v souvislosti s poskytováním antivirového softwaru shromažďovala a dále zpracovávala údaje o platících i neplatících uživatelích tohoto produktu. Tyto informace odpovídaly pojmu osobní údaj, jak je definuje obecné nařízení o ochraně osobních údajů (GDPR).
Jak vyplývá z dostupných podkladů, při každé instalaci antivirového softwaru bylo uživateli přiřazeno tzv. Device ID neboli identifikátor zařízení, na které se antivirový program instaluje (stahuje). Device ID je odvozen z technických parametrů zařízení (např. typ procesoru, grafické karty nebo základní desky). Dále je instalaci přiřazen náhodně vygenerovaný alfanumerický kód, tzv. Installation ID. Installation ID je přiděleno každé jednotlivé instalaci antivirového softwaru. Pokud je např. antivirový software na témže zařízení odinstalován a znovu nainstalován, každá z těchto instalací proběhne pod shodným Device ID, ale bude mít přiřazeno jiné Installation ID. Pro instalaci antivirového softwaru rovněž Avast využíval adresu internetového protokolu (IP adresu) daného zařízení.
Na základě těchto identifikátorů Avast Software s.r.o. určil, na jaké zařízení byl software instalován (tj. kde je dané zařízení umístěno) a v jaké jazykové verzi. Následně se uchovávala IP adresa zařízení po omezenou dobu a následně byl tento údaj pseudononymizován pomocí hašování, případně nahrazen méně specifickými informacemi o lokaci, jako například město a země.
Osobním údajem je každá informace o fyzické osobě
Jednalo se o osobní údaje?
Pod tímto pojmem si obvykle představíme informace jako je jméno, příjmení, adresa nebo rodné číslo. Zejména v prostředí internetu však může v určitých případech postačovat jednoznačná individualizace uživatele na základě určitého technického prvku. Ačkoli je IP adresa jako síťový identifikátor primárně technickým údajem zařízení, je zpravidla nezbytné ji považovat za osobní údaj. To platí zejména tehdy, je-li pravděpodobné, že dané zařízení je ve vlastnictví konkrétní fyzické osoby. IP adresa tedy je osobním údajem pro každého, kdo má či může reálně předpokládat, že existuje legální a reálná možnost jejího přiřazení k individuálním fyzickým osobám, a to bez ohledu na to, kým je takové přiřazení provedeno.
Monetizace osobních údajů je vždy problém
Co bylo důvodem pro udělení tak vysoké pokuty?
Rozhodně to nebyla otázka zpracování osobních údajů při poskytování primární služby, ale další kroky antivirové společnosti. Avast totiž předával shromážděné osobní údaje další firmě pro komerční využití. Předávané osobní údaje sice byly pseudonymizované, kdy specificky přidělované uživatelské číslo bylo nahrazováno jiným generovaným identifikátorem, ale pseudonymizace je pouze technicko-organizační opatření vhodné k využití například při zasílání dat ke zpracování třetí straně. Pseudonymizované údaje jsou stále údaji osobními, jak nám říká GDPR.
Antivirová společnost tvrdila, že popsaný proces pseudonymizace byl anonymizací, tedy vytvoření datových sestav neobsahující osobní údaje. Anonymizaci zjevně společnost Avast chápala pouze jako proces odstranění přímých identifikátorů (jméno, e-mailová adresa, telefonní číslo, fyzická adresa, IP adresa a národní identifikační číslo) a jejich případné nahrazení generickým identifikačním číslem či jiným (náhodně generovaným) identifikátorem.
Informace shromažďované společností však zahrnovaly také historii prohlížení, tedy unikátní soubor aktivit konkrétních uživatelů v prostředí internetu. Je třeba připomenout, že identifikace určité osoby může proběhnout i bez přímého identifikátoru, ale odkazem na jeden nebo více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Společenská, resp. sociální identita přitom představuje soubor chování daného jedince, jinými slovy historie prohlížení internetu tímto jedincem.
Údaje navíc byly předávány v rámci koncernu. I z tohoto důvodu je argument anonymizací slabý, protože uživatele bylo možné i nadále v rámci propojené obchodní skupiny zpět ztotožnit.
Údaje měly být předávány a dále využívány za účelem statistické analýzy trendů. Úřad ovšem zjistil, že údaje o historii prohlížení internetu byly dále prodávány. Riziko pro dotčené uživatele spočívá mimo jiné v tom, že pokud následně došlo k propojení těchto údajů s databázemi, které si vedly společnosti, jež data nakupovaly, mohlo v řadě případů dojít k identifikaci konkrétních osob.
Jinými slovy, například e-shopy či společnosti zabývající se online marketingem by byly schopni na základě historie nákupů ztotožnit konkrétní zákazníky a z nakoupených dat vytěžit informace o dalších preferencích uživatelů, a to včetně nákupů u konkurentů. Opravdu byste chtěli, aby Váš oblíbený prodejce elektroniky nebo potravin věděl, jaké výrobky nebo dokonce služby preferujete při brouzdání například na stránkách sexshopů nebo při shlížení pornografie?
Souhlas nebo oprávněný zájem?
Právním titulem pro shromažďování a další využívání dotčených údajů byl podle Avastu oprávněný zájem. Až v červenci 2019 společnost přešla na koncept souhlasu. Ze získaných dokumentů však vyplývá, že zákazníci nebyli řádně informováni o předávání svých osobních údajů třetím stranám a účelu tohoto předávání. V období od dubna 2019 do července 2019 tak, podle rozhodnutí ÚOOÚ, docházelo k tomu, že osobní údaje byly třetím stranám předávány bez řádného právního titulu.
Kromě nelegálního zpracování osobních údajů, zpracování bez dostatečného právního titulu, tedy Avast nesplnil ani své povinnosti týkající se transparentnosti zpracování.
Prodej údajů se týká až 100 milionů uživatelů!
Důležitým aspektem pro určení výše pokuty je i počet dotčených subjektů údajů. Z výroční zprávy společnosti Avast vyplývá, že v roce 2019 poskytovala své služby po celém světě více než 435 milionům uživatelům. Za prokázané lze tedy považovat, že počet dotčených či potenciálně dotčených subjektů osobních údajů je enormní. Sama společnost sdělila, že předávaná data se týkala 100.000.000 zařízení!
Poučení z kauzy Avast
S netrpělivostí budeme očekávat případný soudní přezkum rozhodnutí o pokutě. Důležitá zpráva pro správce údajů je ale k dispozici už nyní: Informujte své klienty i zaměstnance řádně a úplně o zpracování jejich osobních údajů, o důvodech případných předávání dat třetím stranám a zamyslete se nad rozsahem zpracovávaných dat. Budou například Vaši klienti důvodně očekávat, že jim projdete kompletní historii jejich chování na internetu? A potřebujete vůbec takovéto informace?
