Πρόστιμο 13.878.891 ευρώ (351 εκατομμύρια κορώνες) επέβαλε η τσεχική αρχή προστασίας δεδομένων στην Avast Software για την παράνομη επεξεργασία προσωπικών δεδομένων των χρηστών της. Η τσεχική αρχή ενήργησε ως επικεφαλής εποπτική αρχή του Γενικού Κανονισμού Προστασίας Δεδομένων, καθώς η Avast εδρεύει στην Πράγα.
Σύμφωνα με το δελτίο τύπου της αρχής, το πρόστιμο επιβλήθηκε για την παράνομη επεξεργασία δεδομένων χρηστών μέσω του antivirus λογισμικού της εταιρείας, αλλά και των browser extensions αυτής, επεξεργασία η οποία έλαβε χώρα το 2019.
Από την έρευνα της τσεχικής αρχής προέκυψε πως η Avast αντλούσε προσωπικά δεδομένα περίπου 100 εκατομμυρίων χρηστών της, ειδικά ψευδωνυμοποιημένα δεδομένα από το ιστορικό περιήγησης στο διαδίκτυο, και τα διαβίβαζε στη θυγατρική της Jumpshot Inc., η οποία με τη σειρά της τα χρησιμοποιούσε για την ανάλυση συμπεριφοράς καταναλωτών και την αξιοποίησή τους από διαφημιστές
Η πρακτική αυτή δεν ήταν γνωστή στους χρήστες, οι οποίοι είχαν ενημερωθεί από την εταιρεία πως τα δεδομένα που διαβιβάζονται είναι ανωνυμοποιημένα, η δε χρήση τους είναι η ανάλυση τάσεων και μόνο. Μολονότι η Avast ισχυρίστηκε πως είχε εφαρμόσει αυστηρές τεχνικές ανωνυμοποίησης των δεδομένων, η έρευνα κατέδειξε πως η επαναταυτοποίηση των υποκειμένων των δεδομένων ήταν δυνατή. Περαιτέρω, ο σκοπός της επεξεργασίας υπερέβαινε σαφώς τις στατιστικές αναλύσεις που ισχυριζόταν η εταιρεία πως έκανε.
Δεδομένου του διασυνοριακού χαρακτήρα της υπόθεσης, η απόφαση της τσεχικής εποπτικής αρχής εκδόθηκε μέσω της διαδικασίας του μηχανισμού μιας στάσης του ΓΚΠΔ, με τη συνεργασία και άλλων ενδιαφερομένων εποπτικών αρχών.
Επισημαίνεται ότι μόλις πριν από δύο μήνες, η Ομοσπονδιακή Επιτροπή Εμπορίου των ΗΠΑ FTC ανακοίνωσε τα αποτελέσματα των ερευνών της ως προς τις ίδιες αυτές πρακτικές της Avast.
Σύμφωνα με την ανακοίνωση της FTC, η οποία ήταν σαφώς αναλυτικότερη και πολύ πιο αυστηρή ως προς τις πρακτικές της εταιρείας σε σχέση με τη μάλλον διακριτική ενημέρωση της τσεχικής αρχής, η Avast συνέλεγε παρανόμως τα δεδομένα περιήγησης των χρηστών της, τα αποθήκευε χωρίς χρονικό περιορισμό και τα πωλούσε εν αγνοία των καταναλωτών. Παράλληλα, η Avast εξαπατούσε τους χρήστες της, ισχυριζόμενη πως το λογισμικό της προστατεύει την ιδιωτικότητά τους μπλοκάροντας το third party tracking, χωρίς να τους έχει ενημερώσει ότι θα πωλούσε τα δεδομένα περιήγησής τους. Τα δεδομένα αυτά πωλήθηκαν, μέσω της θυγατρικής της Jumpshot σε περισσότερα από 100 τρίτα μέρη.
Σύμφωνα με την ανακοίνωση της FTC, η Avast συμφώνησε να καταβάλει 16.5 εκατομμύρια δολάρια, καθώς και να διακόψει τις παράνομες πρακτικές της.