Nizozemská neziskovka shromáždila deset tisíc uživatelů Avastu a podává proti největší české kyberbezpečnostní společnosti hromadnou žalobu. Podle ní Avast, protože přeprodával podrobná data o činnosti svých uživatelů na internetu pro marketingové účely, mohl porušit nařízení o ochraně osobních údajů GDPR. Nejde jen o odškodné až 26 tisíc korun na člověka, ze soudní kauzy se má stát odstrašující případ.
Počátkem léta vyzvala nizozemská nezisková organizace Consumers United in Court (CUIC) lidi, kteří mezi lety 2015 a 2020 používali pro zabezpečení svých počítačů produkty od Avastu, aby se přihlásili a připojili k chystané žalobě proti této společnosti. Během několika dní zareagovalo deset tisíc Nizozemců. Jejich jménem se společnost CUIC na začátku července obrátila na soud.
Pokud by uspěla, Avast, který se v roce 2022 po transakci v hodnotě 211 miliard korun spojil s americkou konkurencí NortonLifeLock, by to stálo v přepočtu minimálně 250 milionů korun. CUIC požaduje pro každého uživatele, který se k žalobě připojil, odškodnění mezi 800 až 1100 eury, tedy 19 až 26 tisíc korun. CUIC přitom přes svůj web pokračuje v náboru dalších uživatelů, celkové odškodné by tak mohlo ještě narůst.
Slibovali lidem ochranu, prodali jejich data
Celá kauza začala v roce 2019, kdy američtí novináři odhalili, že Jumpshot, dceřiná společnost Avastu, přeprodává pro marketingové účely Microsoftu, IBM, Unileveru a dalším firmám soukromé informace o uživatelích programů od Avastu. Americkou společnost Jumpshot Avast koupil v roce 2013. Původně se věnovala optimalizaci výkonu počítačů, o dva roky později ale dostala za úkol pracovat jako analytický nástroj pro marketing, který umí pracovat s velkými objemy dat. Jumpshotu se dařilo, o čemž svědčí i vstup společnosti Ascential v roce 2019. Avast jí prodal 35procentní podíl za 60,8 milionů dolarů (v přepočtu asi 1,4 miliardy korun).
„Dbáme na bezpečnost našich uživatelů a nikdy jsme nesdíleli žádné údaje, které by mohly být použity k jejich identifikaci. Nikdy jsme je neposkytovali a nebudeme poskytovat,“ tvrdil ještě v roce 2015 tehdejší šéf Avastu Vince Steckler. Jak se ale ukázalo, Jumpshot prodával data o historii procházení webu, GPS pozici nebo videích sledovaných na YouTube i na pornografických stránkách, které přitom získával z programů jako Avast Online Security, AVG Secure Browser. A ty svým uživatelům v první řadě slibovaly zabezpečení počítače nebo mobilu a účinnou ochranu před viry i dalšími nástrahami kybersvěta.
Na odhalení obchodování se soukromými daty uživatelů Avastu, k němuž došlo před třemi lety, zareagoval Ondřej Vlček, tehdejší šéf společnosti, omluvou a Jumpshot byl krátce nato uzavřen. Pro neziskovou organizaci Consumers United in Court, kterou založily dvě organizace zabývající se ochranou osobních údajů, nizozemskou Privacy First a rakouskou Noyb (která už v projektu nyní nepůsobí), tím však kauza neskončila. I proto, že se dotkla soukromých dat čtvrtiny tehdejších klientů Avastu, kterých v té době bylo po celém světě 435 milionů.
Anonymní data neexistují
„Ačkoli společnost Avast veřejně přiznala své pochybení a potvrdila, že praxi dalšího prodeje zastavila, poškozeným stranám nepřiznala žádné odškodnění,“ píše společnost na svých stránkách a vysvětluje svou motivaci: získat odškodné pro tehdejší uživatele, ale také docílit toho, aby se z kauzy stal exemplární odstrašující příklad, který od podobných praktitk definitivně odradí.
Důvodem, proč se nizozemská neziskovka zajímá právě o Avast, je, že česká společnost vždy proklamovala svůj důraz na „digitální bezpečnost“ a že dokonce „apelovala na rodiče, aby své děti při surfování maximálně chránili“. CUIC nejprve zaslala v srpnu loňského roku dopis do Avastu a navrhla mimosoudní vyrovnání s tím, že Avast odškodní všechny své nizozemské oběti, tedy pět milionů uživatelů. Obě strany se dokonce setkaly, k dohodě ale nedošlo. „Toto jednání se uskutečnilo koncem loňského roku, ale nevedlo k uspokojivému řešení. Od té doby jsme připravovali další kroky, shromažďovali údaje a vypracovávali velmi solidní argumentaci,“ popsala další dění CUIC na dotaz deníku e15 a připomněla, že požádala o další schůzku, kterou Avast zamítl.
Nizozemská neziskovka proto neviděla jinou možnost než podat kolektivní žalobu. Po zveřejnění její výzvy se během pár dní přidalo deset tisíc Nizozemců. V jednu chvíli dokonce web kvůli zájmu nápor neustál. „V závislosti na síle odporu společnosti Avast očekáváme, že řízení potrvá několik let,“ deklaruje CUIC. Financování žaloby, tedy právního zastupování, má na starosti australská společnost Omni Bridgeway, jež si v případě úspěchu bere 10 až 25 procent z vysouzené sumy. CUIC proto po poškozených nechce žádné poplatky. „Jsme přesvědčeni o tom, že případ dopadne pro spotřebitele dobře. Došlo k jasnému porušení práv na ochranu osobních údajů a společnost Avast v důsledku toho vydělala stovky milionů eur,“ uvedla organizace v prohlášení pro e15.
„Spor s organizací Consumers United in Court (CUIC) se týká činností zahrnujících zpracovávání osobních údajů, které byly ukončeny v lednu 2020. Od té doby Avast dál potvrzuje svůj závazek chránit data a soukromí svých uživatelů,“ brání pro deník e15 Avast jeho mluvčí Aneta Šeráková. Podle ní rychlé ukončení činnosti dceřiné společnosti Jumpshot vypovídá o tom, jak vážně Avast celou situaci vnímá. Společnost se také dlouhodobě brání argumentem, že osobní data byla anonymizovaná, a nebylo tedy dle nich možné přiřadit je ke konkrétním lidem. Podle soudu expertů na IT ale není problém „anonymizovaná“ data propojit s konkrétními uživateli, například ve chvíli, kdy nakupují na e-shopech a v prohlížečích se jednoznačně identifikují.
Česká dohra
„Celá aféra podle mě velmi dobře ukazuje problematickou šedou zónu zpracování osobních údajů, kdy řada společností, jež disponují osobními údaji klientů, kteří si za jejich služby často platí, má jako druhý ,přivýdělek' následné obchodování s klientskými daty,“ říká právník Jan Vobořil z organizace Iuridicum Remedium, která se dlouhodobě zabývá právem na ochranu digitálního soukromí. Také Vobořil tvrdí, že nic jako spolehlivá anonymizace osobních dat neexistuje, proto je obchodování s uživatelskými daty ve většině případů problémové.
Přestože český právní řád hromadné žaloby nezná, podle právničky Lucie Smolky z advokátní kanceláře Lawado může nizozemská žaloba vyvolat další podobné soudní spory v jiných členských státech EU. Avast by pak musel nejen bojovat o reputaci, případný úspěch takových žalob by pocítil i finančně.
Celá kauza má i svoji domácí dohru. Podnět shodou okolností z Nizozemska prověřuje také Úřad pro ochranu osobních údajů a podle informací z letošního jara by Avast mohl dostat pokutu až 350 milionů korun, nejvyšší, jakou kdy český regulátor udělil. Pokud Avastu prokáže, že přeprodáváním porušil zákony o ochraně osobních údajů (GDPR), jež od roku 2018 značně omezují nakládání s osobními údaji občanů EU.
