Český kyberbezpečnostní obr Avast čelí v zámoří novému problému. Americká Federální obchodní komise (FTC) chce po původně tuzemské firmě, aby zaplatila na pokutě více než 380 milionů korun kvůli zacházení s osobními daty. Kauza se týká divize Jumpshot, která prodávala data stovky milionů uživatelů třetím stranám. Avast kontroverzní dceřinou společnost uzavřel.
„Federální obchodní komise bude požadovat, aby poskytovatel softwaru Avast zaplatil 16,5 milionu dolarů (zhruba 380 milionů korun – pozn. red.) a zakázal společnosti prodávat nebo licencovat jakékoli údaje o prohlížení webu pro reklamní účely, aby urovnal obvinění, že společnost a její dceřiné společnosti prodávaly tyto informace třetím stranám poté, co slíbily, že jejich produkty ochrání spotřebitele před sledováním na internetu,“ uvádí americký úřad v tiskové zprávě.
Společnost Avast se v roce 2022 sloučila s americkou konkurencí NortonLifeLock a vytvořila mateřskou společnost Gen Digital, pod niž patří původní kyberbezpečnostní programy.
Kauza Jumpshot vypukla v roce 2020, kdy vyšlo najevo, že česká kybernetická firma prodávala osobní údaje uživatelů a byla následně donucena zavřít svou divizi Jumpshot. Dceřiná společnost prodávala zájemcům data o 100 milionech uživatelů a jejich vyhledávání, kliknutí a nákupech.
„Společnost Avast slibovala uživatelům, že její produkty budou chránit soukromí jejich údajů při prohlížení, ale poskytla pravý opak,“ řekl Samuel Levine, ředitel oddělení pro ochranu spotřebitelů FTC. „Sledovací taktika společnosti Avast, která je návnadou, ohrozila soukromí spotřebitelů a porušila zákon.“ Celkově měla v té době česká společnost přes 430 milionů uživatelů, drtivá část z nich využívala bezplatnou verzi antivirového programu.
Pokuta i zákazy pro Avast
Podle FTC Avast uváděl, že před prodejem dat do rukou třetích stran údaje o uživatelích anonymizoval, americký úřad nicméně toto tvrzení rozporuje. „Datové kanály například obsahovaly jedinečný identifikátor pro každý webový prohlížeč, z něhož společnost shromažďovala informace, a mohly obsahovat každou navštívenou webovou stránku, přesné časové značky, typ zařízení a prohlížeče a město, stát a zemi. Když společnost Avast popisovala svůj přístup ke sdílení dat, nepravdivě tvrdila, že osobní údaje spotřebitelů předává pouze v souhrnné a anonymní podobě,“ stojí v tiskové zprávě.
Kromě pokuty ve výši téměř 400 milionů americký úřad dále Avastu zakazuje prodávat údaje o prohlížení internetových stránek svých uživatelů třetím stranám, pokud v tom chce český společnost nadále pokračovat, musí od svých zákazníků získat výslovný souhlas. Avast také musí vymazat informace o prohlížení webu, které získala dceřiná společnosti Jumpshot, a zároveň musí zavést program ochrany osobních údajů, který bude řešit pochybení, na které upozornila FTC. „Zajistili jsme také odškodnění ve výši 16,5 milionu dolarů – nejvyšší peněžní odškodnění v případě porušení soukromí,“ napsala na sociální síť X předsedkyně úřadu Lina Khan.
„Když společnost Avast v roce 2020 dobrovolně uzavřela službu Jumpshot, s těmito praktikami přestala,“ uvedl Avast ve vyjádření pro server TechCrunch. Česká kybernetická společnost nesouhlasí s obviněními a charakteristikou událostí. „Ačkoli s tvrzeními a popisem skutečností Federální obchodní komise nesouhlasí, stojí za rozhodnutím tuto záležitost vyřešit a dál sloužit milionům svých zákazníků po celém světě,“ uvedla mluvčí společnosti Aneta Šeráková.
Není to první problém, se kterým se musí Avast kvůli divizi Jumpshot vyrovnat. Podle prozatím nepotvrzených informací pokutu 350 milionů korun vyměřil české společnosti Úřad pro ochranu osobních údajů. Na základě kauzy Avast také žalovalo deset tisíc Nizozemců, kteří se domáhají náhrady škody, což by mohlo znamenat vyplacení dalších 250 milionů korun.
