Datatilsynet har utfärdat en reprimand mot Disqus. Beslutet kommer som en följd av att Disqus tidigare har lämnat ut personuppgifter om registrerade i Norge utan rättslig grund.
Disqus är ett amerikanskt företag som bland annat erbjuder lösningar för kommentarsfält och programmatisk annonsering för webbplatser. Datatilsynet blev medveten om att Disqus felaktigt antagit att dataskyddsförordningen (GDPR) inte gällde i Norge genom medierapportering under 2019. Som ett resultat av detta levererade Disqus under perioden den 20 juli 2018 till den 12 december 2019 en kommentarsfältslösning till norska webbplatser avsedda för länder utanför EES där GDPR inte gäller. Under denna period delades personuppgifter om internetanvändare mellan Disqus och moderbolaget utan att de ansvariga för de webbplatser som använde bolagets kommentarsfältslösning kände till detta. Denna aktivitet stoppades i december 2019 när felet upptäcktes.
Datatilsynets beslutet har fattats på grundval av bedömningar av den information som framkommit efter att myndigheten under 2021 meddelat Disqus ett beslut om sanktionsavgifter. Datatilsynets bedömning är att Disqus inte inhämtat ett giltigt samtycke i enlighet med GDPR för att lämna ut personuppgifter till moderbolaget Zeta Global. Behandlingen av de registrerades personuppgifter stred därmed även mot principen om laglighet, som är en av de grundläggande principerna för dataskydd.
En reprimand är en administrativ reaktion som syftar till att kritisera överträdelser av de aktuella reglerna. Utifrån en samlad bedömning har Datatilsynet kommit fram till att en reprimand är den mest lämpliga reaktionsformen i detta fall.