Avast nielegalne sprzedawał dane swoich klientów

Międzynarodowa firma zajmująca się oprogramowaniem antywirusowym, Avast, została ukarana grzywną w wysokości 13,7 miliona euro przez czeski organ ochrony danych za nielegalne przetwarzanie danych swoich klientów, co zostało ujawnione przez hiszpańskie stowarzyszenie konsumenckie FACUA w 2020 roku. FACUA zgłosiła sprawę do hiszpańskiej Agencji Ochrony Danych (AEPD), która skierowała ją do czeskiego organu ochrony danych. Grzywna została nałożona przez organ czeski, ponieważ firma ma swoją siedzibę w tym kraju, który jest członkiem Unii Europejskiej.

  • Monika Świetlińska
  • /
  • 6 kwietnia 2023

Co zrobił Avast? Śledztwo FACUA

Avast zebrał i sprzedał szczegółowe dane przeglądania, które umożliwiły identyfikację jego klientów. Chociaż informacje te nie były powiązane z imionami, adresami e-mail ani adresami IP, mogły być analizowane w połączeniu z innymi danymi, takimi jak odwiedzane adresy URL, aby ujawnić tożsamość użytkownika.

FACUA twierdzi, że działanie Avastu mogło naruszać ogólne rozporządzenie o ochronie danych (RODO) poprzez nieuzyskanie jasnej i jednoznacznej zgody użytkowników na gromadzenie i przesyłanie ich danych.

Antywirus płatny czy bezpłatny. Wady i zaletyAntywirus płatny czy bezpłatny. Wady i zaletyMartyna Kowalska

Sprawa wyszła na jaw, kiedy amerykańskie media technologiczne PCMag i Motherboard o niej doniosły. Avast sprzedawał prywatne dane przeglądania swoich użytkowników za pośrednictwem spółki zależnej o nazwie Jumpshot. Klienci Jumpshot to duże firmy z całego świata, takie jak Google, Microsoft, Yelp, Home Depot, Sephora, Loreal, McKinsey, Condé Nast i wiele innych. Dane te zostały spakowane w różne produkty, w których Jumpshot obiecywał "zapewnić firmom pełniejszy obraz całej podróży użytkownika online".

Sprzedane dane obejmowały wyszukiwania lokalizacji i współrzędnych GPS w Mapach Google, filmy odwiedzane na YouTube, profile na LinkedIn, wyszukiwania w Google i wiele innych. Dane były wystarczające do identyfikacji właścicieli, nawet jeśli byli anonimowi. Pozwalało to na odtworzenie całej sesji przeglądania użytkownika, co mogło ujawnić jego polityczne przekonania, orientację seksualną, ulubione lektury, projekty, nad którymi pracował i wiele innych informacji.

AEPD skierowała sprawę do właściwych organów regulacyjnych w Czechach, gdzie mieści się główna siedziba operacyjna Avast w UE. Czeski organ ochrony danych stwierdził, że Avast naruszył kilka ustaw prawnych.

Transparentność jest podstawą

Ten przypadek podkreśla wagę transparentności firm wobec swoich klientów w zakresie zbierania i wykorzystywania danych. Zgodnie z RODO, firmy muszą uzyskać wyraźną zgodę użytkowników przed zbieraniem i wykorzystaniem ich danych oraz dostarczyć jasne informacje na temat sposobu, w jaki dane będą wykorzystywane. Nieprzestrzeganie tych wymogów może skutkować karą pieniężną i działaniami prawnymi, jak to miało miejsce w przypadku Avast.

Darmowy antywirus w firmie — czy to możliwe?Darmowy antywirus w firmie — czy to możliwe?Mikołaj Frączak

Dlatego ważne jest, aby firmy zrozumiały swoje obowiązki wynikające z RODO i innych przepisów o ochronie danych oraz podjęły kroki w celu zapewnienia zgodności z nimi.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Transparentność jest kluczowa w zakresie zbierania i wykorzystywania danych. Firmy muszą być jasne i zwięzłe w informowaniu użytkowników, jakie dane zbierają, dlaczego je zbierają i jak będą je wykorzystywać. Ta informacja musi być łatwo dostępna dla użytkowników, którzy muszą mieć możliwość wycofania się z udzielonej zgody na zbieranie i wykorzystywanie danych.

Ryzyka związane z przetwarzaniem danych przez strony trzecie

Przypadek Avast podkreśla również ryzyka związane z przetwarzaniem danych przez strony trzecie. Firmy muszą zapewnić, że mają niezbędne kontrole i zabezpieczenia przy udostępnianiu danych z dostawcami zewnętrznymi. Muszą upewnić się, że te firmy posiadają odpowiednie środki ochrony danych i przestrzegają odpowiednich przepisów o ochronie danych.

Ochrona danych to nie tylko obowiązek prawny, ale także obowiązek moralny. Firmy muszą działać odpowiedzialnie i etycznie w zakresie zbierania i wykorzystywania danych. Muszą rozważać potencjalny wpływ na jednostki i społeczeństwo jako całość i podejmować kroki w celu ograniczenia jakichkolwiek ryzyk.

Sprawa ta przypomina o ważności ochrony danych i konieczności poważnego traktowania odpowiedzialności przez firmy. Transparentność, odpowiedzialność i kwestie etyczne muszą być na pierwszym planie w każdej praktyce zbierania i wykorzystywania danych.

Firmy muszą ściśle współpracować z regulatorami i użytkownikami, aby zapewnić zgodność i budować zaufanie do swoich marek. Nieprzestrzeganie tych wymogów może skutkować poważnymi szkodami reputacyjnymi i finansowymi karą pieniężną.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!