Padla nejvyšší pokuta za porušení GDPR v ČR: 351 milionů Kč!

Řízení v této věci bylo zahájeno již v roce 2020 a prvostupňového rozhodnutí jsme se dočkali v březnu 2022. Následně jsme další dva roky čekali na rozhodnutí o rozkladu. O rekordní pokutě panovali jisté obecně povědomí, avšak do rozhodnutí o rozkladu nebylo jasné, zda nedojde k revizi prvostupňového rozhodnutí Úřadu. Nyní už jasno je: Úřad svůj závěr ani rekordní výši pokuty nezměnil.

Pro úplnost dodejme, že pravomocné rozhodnutí o pokutě ještě může projít soudním přezkumem. Opravdového konce této kauzy se tak možná dočkáme až za několik let. Rozhodnutí Úřadu je nicméně pravomocné a jako takové velmi důležité pro praxi řady organizací.

Jaké informace Avast protiprávně zpracovával?

Společnost Avast Software s.r.o. v souvislosti s poskytováním antivirového softwaru shromažďovala a dále zpracovávala údaje o platících i neplatících uživatelích tohoto produktu. 

Jak vyplývá z dostupných podkladů, při každé instalaci antivirového softwaru bylo uživateli přiřazeno tzv. Device ID neboli identifikátor zařízení, na které se antivirový program instaluje (stahuje). Device ID je odvozen z technických parametrů zařízení (např. typ procesoru, grafické karty nebo základní desky). Dále je instalaci přiřazen náhodně vygenerovaný alfanumerický kód, tzv. Installation ID. Installation ID je přiděleno každé jednotlivé instalaci antivirového softwaru. Pokud je např. antivirový software na témže zařízení odinstalován a znovu nainstalován, každá z těchto instalací proběhne pod shodným Device ID, ale bude mít přiřazeno jiné Installation ID. Pro instalaci antivirového softwaru rovněž Avast využíval adresu internetového protokolu (IP adresu) daného zařízení.  

Na základě těchto identifikátorů Avast Software s.r.o. určil, na jaké zařízení byl software instalován (tj. kde je dané zařízení umístěno) a v jaké jazykové verzi. Následně se uchovávala IP adresa zařízení po omezenou dobu a následně byl tento údaj pseudononymizován pomocí hašování, případně nahrazen méně specifickými informacemi o lokaci, jako například město a země.

Osobním údajem je každá informace o fyzické osobě

Jednalo se o osobní údaje? Pod tímto pojmem si obvykle představíme informace jako je jméno, příjmení, adresa nebo rodné číslo. Zejména v prostředí internetu však může v určitých případech postačovat jednoznačná individualizace uživatele na základě určitého technického prvku. Ačkoli je IP adresa jako síťový identifikátor primárně technickým údajem zařízení, je zpravidla nezbytné ji považovat za osobní údaj. To platí zejména tehdy, je-li pravděpodobné, že dané zařízení je ve vlastnictví konkrétní fyzické osoby. IP adresa tedy je osobním údajem pro každého, kdo má či může reálně předpokládat, že existuje legální a reálná možnost jejího přiřazení k individuálním fyzickým osobám, a to bez ohledu na to, kým je takové přiřazení provedeno.

Monetizace osobních údajů je vždy problém

Co bylo důvodem pro udělení tak vysoké pokuty? Avast předával shromážděné osobní údaje další firmě pro komerční využití. Předávané osobní údaje sice byly pseudonymizované, kdy specificky přidělované uživatelské číslo bylo nahrazováno jiným generovaným identifikátorem, ale pseudonymizace je pouze technicko-organizační opatření vhodné k využití například při zasílání dat ke zpracování třetí straně. Pseudonymizované údaje jsou stále údaji osobními, jak nám říká GDPR.

Antivirová společnost tvrdila, že popsaný proces pseudonymizace byl anonymizací, tedy vytvoření datových sestav neobsahující osobní údaje. Anonymizaci zjevně společnost Avast chápala pouze jako proces odstranění přímých identifikátorů (jméno, e-mailová adresa, telefonní číslo, fyzická adresa, IP adresa a národní identifikační číslo) a jejich případné nahrazení generickým identifikačním číslem či jiným (náhodně generovaným) identifikátorem.

Informace shromažďované společností však zahrnovaly také historii prohlížení, tedy unikátní soubor aktivit konkrétních uživatelů v prostředí internetu. Je třeba připomenout, že identifikace určité osoby může proběhnout i bez přímého identifikátoru, ale odkazem na jeden nebo více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Společenská, resp. sociální identita přitom představuje soubor chování daného jedince, jinými slovy historie prohlížení internetu tímto jedincem.

Údaje navíc byly předávány v rámci koncernu. I z tohoto důvodu je argument anonymizací slabý, protože uživatele bylo možné i nadále v rámci propojené obchodní skupiny zpět ztotožnit.

Údaje měly být předávány a dále využívány za účelem statistické analýzy trendů. Úřad ovšem zjistil, že údaje o historii prohlížení internetu byly dále prodávány. Riziko pro dotčené uživatele spočívá mimo jiné v tom, že pokud následně došlo k propojení těchto údajů s databázemi, které si vedly společnosti, jež data nakupovaly, mohlo v řadě případů dojít k identifikaci konkrétních osob.

Prodej údajů se týká až 100 milionů uživatelů!

Důležitým aspektem pro určení výše pokuty je i počet dotčených subjektů údajů. Z výroční zprávy společnosti Avast vyplývá, že v roce 2019 poskytovala své služby po celém světě více než 435 milionům uživatelů. Za prokázané lze tedy považovat, že počet dotčených či potenciálně dotčených subjektů osobních údajů je enormní. Sama společnost sdělila, že předávaná data se týkala 100.000.000 zařízení!

Poučení z kauzy Avast

S netrpělivostí budeme očekávat případný soudní přezkum rozhodnutí o pokutě. Důležitá zpráva pro správce údajů je ale k dispozici už nyní: Informujte své klienty i zaměstnance řádně a úplně o zpracování jejich osobních údajů, o důvodech případných předávání dat třetím stranám a zamyslete se nad rozsahem zpracovávaných dat. Budou například Vaši klienti důvodně očekávat, že jim projdete kompletní historii jejich chování na internetu? A potřebujete vůbec takovéto informace?

Článek je převzat z domény gdpr.cz.