GDPR postaje sinonim za velike kazne, a izostaju korektivne mjere koje bi nadzorna tijela mogla izricati umjesto puke penalizacije organizacija. Slučajevi iz naših blogova ukazuju upravo na navedenu činjenicu, ali i na činjenicu da toliko godina od stupanja GDPR-a na snagu i dalje jako veliki broj organizacija odbija prihvatiti GDPR kao obvezu. Ne čudi stoga činjenica da se nadzorna tijela odluče odmah na izricanje novčanih kazni. No krenimo redom...
O čemu se radi u ovom slučaju?
Voditelj obrade podataka Avast, proizvođač antivirusnog softvera, mora platiti kaznu od 13,9 milijuna eura zbog kršenja regulative o zaštiti osobnih podataka koji utječu na cca 100 milijuna korisnika. Ova odluka označava završetak višegodišnjeg slučaja pred češkim tijelom za zaštitu podataka.
Avast prodaje antivirusni softver i ekstenzije internetskog preglednika. Prema istrazi nadležnog tijela, između travnja i srpnja 2019., tvrtka je koristila svoje proizvode za prikupljanje podataka od korisnika, a zatim je te podatke podijelila s povezanim društvom, Jumpstartom. Međutim, kako je izvijestio Europski odbor za zaštitu podataka (EDPB), tvrtka je obrađivala podatke "bez odgovarajuće pravne osnove".
Razmjena podataka između povezanih društava može uvijek biti rizična ako nema pravne osnove i nisu ispunjeni temeljni zahtjevi iz propisa o zaštiti privatnosti i osobnih podataka.
Konkretno, otkriveno je da je Avast prenio povezanim društvima povijest pregledavanja ispitanika, a čiji su podaci bili povezani s jedinstvenim identifikatorom. Češko nadzorno tijelo došlo je do zaključka "da povijest pregledavanja interneta, čak i ako nije potpuna, može predstavljati osobne podatke, budući da bi moglo doći do ponovne identifikacije barem nekih ispitanika".
Avast je također lažno obavijestio svoje klijente (ispitanike) o prijenosu podataka, tvrdeći da prenosi anonimizirane podatke isključivo za “analizu statističkih trendova”. Zapravo, podaci nisu bili anonimizirani i ˝prodani˝ su preko podružnice.
Anonimizacija nije isto što i pseudonimizacija. Nužno je obavijestiti na transparentan način ispitanike o njihovim pravima kao i o svim obradama njihovih podataka.
Češko nadzorno tijelo utvrdilo je da je voditelj obrade prenio osobne podatke korisnika antivirusnog softvera i ekstenzija preglednika povezanom društvu bez odgovarajućeg pravnog osnova za takvu obradu. Preneseni podaci odnosili su se na otprilike 100 milijuna korisnika i sadržavali su posebno pseudonimiziranu povijest pregledavanja interneta korisnika, povezanu s jedinstvenim identifikatorom. Nadalje, utvrđeno je da je voditelj obrade dezinformirao svoje korisnike (ispitanike) o navedenim prijenosima podataka, jer je tvrdio da su preneseni podaci anonimizirani i korišteni isključivo za analizu statističkih trendova.
Da ponovimo; povijest pregledavanja interneta, čak i ako nije potpuna, može predstavljati osobne podatke, budući da bi moglo doći do ponovne identifikacije barem nekih ispitanika. Uvijek kada analiziramo obrade podataka koje ćemo vršiti moramo razmišljati o obimu podataka, osobito o definiciji osobnog podatka koja je izuzetno široka i podložna ˝različitim tumačenjima˝.
Češko nadzorno tijelo naglasilo je da je kršenje GDPR-a od strane spomenute tvrtke još "šokantnije" s obzirom na to da Avast reklamira svoju stručnost u kibernetičkoj sigurnosti i prodaje proizvode namijenjene zaštiti podataka i privatnosti korisnika. Posljedično tome kako se oni predstavljaju na tržištu i javnosti kupci, ali ni zainteresirani korisnici "nisu mogli očekivati da će ova tvrtka na takav način obrađivati i prenijeti njihove osobne podatke".
Praksa otkrivena prije mnogo godina
Češko nadzorno tijelo inače ima nadležnost nad Avastom jer je sjedište tvrtke u Pragu. Istraga je pokrenuta nakon što su mediji prvi put izvijestili o prodaji podataka krajem 2019. i početkom 2020. Postojala je i anonimna prijava.
Američka novinska stranica Motherboard izvijestila je u siječnju 2020. da preneseni podaci uključuju informacije poput Googlea pretraživanja i GPS koordinate s Google karata. Neke su tvrtke platile milijune dolara za te podatke.
Nedugo nakon objave izvješća, Avast je zatvorio svoju podružnicu Jumpstart.
Češke su vlasti prvi put donijele presudu o slučaju 2020., no Avast se žalio na odluku. Novčana kazna izrečena prošlog mjeseca predstavlja konačnu odluku kojom se potvrđuje prethodna prvostupanjska odluka kako o tome da je voditelj obrade proglašen odgovornim za kršenje čl. 6. i čl. 13. stavak 1. GDPR-a i u pogledu izricanja upravne novčane kazne od cca. 13,9 milijuna eura (351 milijun CZK). Rješenje je konačno i izvršno.
Kazna i u Sjedinjenim Državama
Ranije ove godine, u veljači, američka Savezna komisija za trgovinu (FTC) izrekla je kaznu od 16,5 milijuna dolara Avastu zbog prodaje podataka. FTC je u sličnom slučaju također optužio tvrtku da je iskoristila svoj softver za nezakonito prikupljanje i prodaju aktivnosti pregledavanja koje bi se mogle koristiti za identifikaciju korisnika. Između 2014. i 2020., FTC je optužio Avantovu podružnica Jumpshot da je prodala podatke više od 100 tvrtki.
Tvrtka je određenim klijentima omogućila identifikaciju korisnika putem podataka koje je dostavila. Neki od Jumpshot proizvoda dizajnirani su kako bi klijentima omogućili praćenje određenih korisnika ili čak povezivanje određenih korisnika - i njihove povijesti pregledavanja - s drugim informacijama koje su ti klijenti (korisnici) imali. Podaci su otkrili na primjer koje su web stranice posjećene kada i na kojem uređaju; otkrivena je i lokacija korisnika.
Prema FTC-u, prodaja podataka utjecala je na korisnike u SAD-u, Velikoj Britaniji, Meksiku, Australiji, Kanadi i Njemačkoj, između ostalih zemalja.
Na kraju, ostaje nam prosuditi je li takvo ponašanje u redu ili nije, no što god mislili osobno o navedenom iz svega što je nadzorno tijelo utvrdilo radilo se o kršenju važećih propisa i nezakonitom prijenosu i uporabi podataka. Od iznimne je važnosti da svi vode računa o razmjeni podataka i s povezanim društvima, a ne samo s trećim stranama odnosno izvršiteljima. Ne treba smetnuti s uma i obvezu jednogodišnjeg audita...
