Česká firma slibovala zajistit online bezpečí, chování svých uživatelů a uživatelek však sledovala a data prodávala reklamním společnostem. Úřad pro ochranu osobních údajů ji za to potrestal, tají ale detaily. Obchází při tom zákon, na který má dohlížet.

Praha 15:47 24. září 2023 Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít

Kyberbezpečnostní a antivirová společnost Avast sbírala informace o tom, na které weby její uživatelé chodí a co hledají v internetových vyhledávačích. Šlo také o informace o online nákupech nebo o návštěvách pornostránek. Využívala při tom rozšíření do webových prohlížečů a svůj populární antivirový program.

Avast po kritice, že prodává data uživatelů, uzavře divizi Jumpshot. Ta údaje zpracovávala

Číst článek

Česká nadnárodní společnost následně tyto informace prodávala reklamním firmám jako Google, Yelp, Microsoft, Pepsi a dalším.

V roce 2020 se podařilo redakcím amerických serverů Vice a PCMag získat vzorek dat a popis toho, jaké informace byly inzerentům k dispozici. Zároveň upozornily, že je údajně anonymizovaná data možné zpětně propojit s konkrétními lidmi.

Když praxe vyšla v roce 2020 najevo, Avast zrušil svou dceřinou společnost Jumpshot, která data zpracovávala a nabízela.

Jelikož šlo o značný zásah do soukromí lidí, kteří si produkty od Avastu nainstalovali, případem se začal na popud neziskové organizace Facua zabývat španělský úřad pro ochranu osobních údajů. Případ následně převzal jeho český protějšek, který měl letos na jaře společnosti vyměřit rekordní pokutu ve výši 13,7 milonu eur, tedy bezmála 335 milionů korun.

Zdržovací ping pong

Úřad se ale nyní snaží své rozhodnutí utajit. Server iROZHLAS.cz o jeho text letos v dubnu požádal, úřad ho ale neposkytl, a navíc o tom ani nevydal rozhodnutí, jak mu ukládá zákon. To v odpovědi na stížnost následně uznal i předseda úřadu Jiří Kaucký, který zároveň podřízeným přikázal žádost opět vyřídit.

Ti ale rozhodnutí opět neposkytli, přičemž o tom opět nevydali zákonem předpokládané rozhodnutí. Pouze napsali, že pokuta ještě není pravomocná a „poskytnutí jakýchkoliv dokumentů souvisejících s tímto řízení by mohlo ohrozit či zmařit účel tohoto přestupkového řízení, zejména zajištění práva na spravedlivý proces.“ 

Redakce serveru iROZHLAS.cz tedy podala druhou stížnost, které předseda, až po zákonné lhůtě a po urgenci, opět vyhověl, a opět podřízeným přikázal žádost řádně vyřídit.

Bez několikaletého čekání na soud. Nově bude právo na informace posuzovat Úřad pro ochranu osobních údajů

Číst článek

Jenže ti to znovu ani po uplynutí zákonné lhůty neudělali.

Byrokratickým přehazováním tak úřad zdržel vyřizování žádosti, které má ze zákona trvat patnáct dní, zatím o více než čtyři měsíce, přičemž rozhodnuto doposud není. Takové zdržování už v minulosti kritizoval Nejvyšší správní soud jako ping pong, který je v rozporu se smyslem a účelem zákona. Nejde přitom jen o formalitu, bez rozhodnutí není možné nechat argumenty úřadu nezávisle přezkoumat soudem.

Paradoxní je, že Úřad pro ochranu osobních údajů má na dodržování zákona o svobodném přístupu k informacím sám dohlížet.

A není to ani poprvé, kdy v této roli selhal: během pandemie covidu právníci úřadu opakovaně posvětili praxi ministerstva zdravotnictví, které odpíralo veřejnosti přístup ke statistikám o vývoji pandemie. Takovou praxi následně zkritizoval ústavní soud, jenže už pozdě. Server iROZHLAS.cz tak informace o provedených testech na covid z dubna 2020 formálně dostal po rozhodnutí soudů až letos v červenci.

Hromadná žaloba

Kvůli sběru a prodeji uživatelských informací chystá nizozemská organizace na ochranu spotřebitelů CUIC na Avast hromadnou žalobu. Připojit se k ní může každý, kdo mezi květnem 2015 a lednem 2020 používal antivirus od Avastu nebo rozšíření do prohlížeče a žil v té době v Nizozemsku.

V dceřiné společnosti Avastu, která uživatelská data zpracovávala a prodávala, působil v té době i Martin Mesršmíd. Nejdříve jako produktový manažer, následně jako ředitel produktových operací, produktový ředitel a před uzavřením Jumpshotu i jako viceprezident pro data a strategii.

Ústavní soud umožnil snazší přístup ke statistickým údajům ve zdravotnickém systému

Číst článek

Nyní Mesršmíd vede Digitální informační agenturu, která se stará o digitalizaci české státní správy. Do funkce ho vybrala komise svolaná vicepremiérem pro digitalizaci a ministrem pro místní rozvoj Ivanem Bartošem (Piráti).

Mesršmíd se ke svému působení v Jumpshotu vyjadřoval letos v lednu v rozhovoru pro technologický server Lupa.cz. Tehdy uvedl, že „Jumpshot dělal datovou analytiku. Na americkém trhu je to běžné, zabývají se tím firmy jako SimilarWeb nebo ComScore. Jumpshot bral data od Avastu, který je získával se souhlasem uživatelů a k nám posílal už anonymizovaná,“ vysvětloval.

Rozhodovali v USA

Jelikož hromadná žaloba tvrdí, že šlo mimo jiné i o data Nizozemců a tedy nejen občanů Spojených států, požádala redakce serveru iROZHLAS.cz Martina Mesršmída o vysvětlení.

„Byť si již vzhledem k časovému odstupu nevybavuji vše úplně jasně, jsem si jistý, že jsem nikdy neslyšel během svého působení v Jumpshotu o tom, že bychom zpracovávali holandská data nebo že by byl o ně vůbec zájem,“ odpověděl nynější ředitel státní digitální agentury. A doplnil, že hromadná žaloba je pro něj novinkou.

Podle svých slov působil ve středním managementu, přičemž celý top management určující směřování produktů sídlil ve Spojených státech a výsledné produkty byly určené pro americký trh.

Nizozemský zpravodajský server AD uvádí, že k žalobě se doposud připojilo deset tisíc osob z celkem asi pěti milionů, které měly v rozhodné době produkty od Avastu nainstalované.

Meta dostala v Irsku rekordně vysokou pokutu. Má zaplatit 1,2 miliardy eur za odesílání dat do USA

Číst článek

Podle Mesršmída by oněch deset tisíc uživatelů nebyl reprezentativní vzorek a s ohledem na množství informací zpracovávaných Jumpshotem by šlo o počet „pod hranicí statistické chyby.“

Jinak řečeno, Jumpshot podle něj neměl důvod taková data zpracovávat.

„Pokud tedy taková data hypoteticky existovala (což nevylučuji), jejich zpracování by nepřineslo dle mého názoru žádný užitek. Ve všech statistických úlohách by podobná data byla odfiltrována jako ‚šum‘,“ doplnil Mesršmíd s tím, že o žádném takovém zpracovávání neměl informace a že pokud k němu docházelo, tak netuší účel.

Server AD dále uvádí, že skupina žalobců požaduje odškodné 800 až 1100 eur na osobu (přibližně 20 až 27 tisíc korun), přičemž Avast takový požadavek údajně odmítl.

Samotný Avast pro server E15 uvedl, že soudní spor se týká jen činností skončených v roce 2020. „Od té doby Avast dál potvrzuje svůj závazek chránit data a soukromí svých uživatelů,“ dodala jeho mluvčí Aneta Šeráková.

Jan Cibulka Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít