V roce 2020 se na Avast provalilo, že skrz dceřinou společnost Jumpshot prodával data svých uživatelů Googlu, Microsoftu nebo různým marketingovým společnostem. Firma sice tvrdila, že data byla anonymizovaná, ale vyšetřování ukázalo, že ten proces nebyl důkladný a někteří uživatelé se zpětně dali identifikovat.
Krátce po vypuknutí kauzy Avast provoz Jumpshotu ukončil. Příběh tím ale nekončí. Letos v únoru za to firma schytala u americké Federální obchodní komise (FTC) schytala pokutu ve výši 16,5 milionu dolarů (přibližně 388 milionů korun). Tento týden dostala podobně velkou také na eurounijní úrovni.
Za porušení GDPR ji pokutoval český Úřad pro ochranu osobních údajů, Avast bude muset zaplatit 351 milionů korun, vůbec nejvyšší v historii ÚOOÚ. „Úřad v rozhodnutí zdůraznil, že společnost Avast je jedním z předních odborníků na kybernetickou bezpečnost, který nabízí veřejnosti nástroje k ochraně dat a soukromí. Její zákazníci nemohli očekávat, že právě tato společnost bude předávat jejich osobní údaje, respektive údaje, na jejichž základě by mohla být zjištěna nejen jejich totožnost, ale například i zájmy, preference, bydliště, majetkové poměry, profese a další údaje týkající se jejich soukromí,“ řekl předseda ÚOOÚ Jiří Kaucký.
Úřad připomíná, že Avast sbíral údaje skrz stejnojmenný bezpečnostní balík a rozšíření webových prohlížečů. Skrz Jumpshot pak během roku 2019 předával údaje přibližně 100 milionů uživatelů. A podle zjištění úřadu data nejen nedostatečně anonymizoval, ale ještě sdílené údaje nesloužily jen k vytváření statistických analýz, jak firma uváděla.
Rozhodnutí ÚOOÚ je pravomocné. Avast s ním ale nesouhlasí a zvažuje správní žalobu.