14 millió eurós bírság repült az Avastnak GDPR-sértésért

13,7 millió eurós büntetést kapott a Prágában székelő Avast kiberbiztonsági és antivírus cég az európai felhasználók adatainak illegális feldolgozásáért, miután több ponton is megsértette az európai unió általános adatvédelmi rendeletét (GDPR). A problémát először a fogyasztói jogokkal foglalkozó FACUA civil szervezet jelezte a spanyol adatvédelmi hatóság felé még 2020-ban, miszerint az Avast engedély nélkül gyűjt és értékesít további feleknek privát böngészési adatokat. Ebbe beletartoztak a Google Térképen belüli keresések és GPS koordináták, a YouTube-on megtekintett videók listája, LinkedIn-profilok, akár Google-keresések, és olyan információk, amelyek lehetővé tették egy teljes böngészési munkamenet rekonstrukcióját. Ebből potenciálisan következtetések vonhatók le a felhasználó politikai szimpátiájával, szexuális irányultságával, érdeklődési köreivel kapcsolatban.

Az Avast a felhasználók privát böngészési adatait a Jumpshot nevű leányvállalaton keresztül értékesítette, aminek ügyfelei közt szerepelt a Google, a Microsoft, a Yelp, a Home Depot, a Sephora, a Loreal és a McKinsey. A szolgáltatás az adatokat különböző termékek formájában értékesítette, amelyekkel azt ígérte, hogy teljesebb képet kaphatnak a vállalatok a teljes online felhasználói útról. 

Hello, itt az idei SYSADMINDAY! Szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt. Melós hónapok után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal.

Néhány nappal azután, hogy az Avast népszerű víruskereső szoftveréről kiderült, hogy böngészési adatokat gyűjt és értékesít a hirdetőknek, a cég bejelentette, hogy leállítja a leányvállalat működését. Ondrej Vlcek vezérigazgató egy blogbejegyzésben úgy fogalmazott, hogy az Avast „azonnali hatállyal” megszünteti Jumpshot leányvállalata adatgyűjtését és működését.

A spanyolok az ügyet az Európai Unió elnökségét idén januárig betöltő cseh képviselethez továbbították, ahol a cseh kormány úgy ítélte meg, hogy az Avast a személyes adatok feldolgozásának kiterjedtségével a GDPR több pontját is megsértette, és nem adott kellő mértékű tájékoztatást az érintetteknek (tehát az Avast antivírus-program és a termékhez kapcsolódó böngészőbővítmény felhasználóinak). A jogosulatlan feldolgozás a cseh kormány szerint legalább két teljes naptári hónapon keresztül zajlott 2019. április és július közti időszakban, megsértve „az adatszolgáltatási kötelezettséget”.

Az Avast a hírrel kapcsolatban annyit kívánt megosztani, hogy az elmúlt évek során több lépést is tett a felhasználói biztonság erősítése érdekében, illetve a Jumpshot bezárásával befejezte az adatokkal való kereskedést is.