Datatilsynet har meddelat företaget Disqus om sanktionsavgifter på 25 miljoner kronor för brott mot principen om ansvarsskyldighet, kravet på en rättslig grund och brist på information till de registrerade.
Datatilsynet informerades om ärendet genom en rapport i NRKbeta i december 2019. Här avslöjades att Disqus delade personuppgifter om internetanvändare utan att de webbplatser som använde företagets kommentarfältlösning visste om det. På grundval av NRK:s täckning har Datatilsynet undersökt om Disqus brutit mot kraven i dataskyddsförordningen (“GDPR”).
Enligt Datatilsynet har Disqus spårat, profilerat och delat personlig information om människor i Norge när de besökte sju webbplatser med Disqus lösning för kommentarfält mellan maj 2018 och december 2019. Datatilsynets preliminära slutsats är att detta har hänt i strid med GDPR:s krav på ansvarsskyldighet, rättslig grund och information till de registrerade.
Disqus är ett amerikanskt företag som bland annat erbjuder kommentarfältlösningar och riktad reklam för webbplatser. NRKbeta har i flera nyhetsartiklar beskrivit hur tester visat att Disqus spårade besökare på norska webbplatser som använde Disqus kommentarfält. Personuppgifter delades sedan med ett antal företag i marknadsföringsbranschen utan att besökarna informerats om detta.
Baserat på den information Datatilsynet har i ärendet är det främst i Norge som detta har varit ett problem. Baserat på den rapport Datatilsynet har fått har myndigheten hittills kommit fram till att de berörda webbplatserna är tv.2.no/broom, khrono.no, adressa.no, NRK.no/ytring, P3.no, rights.no och document. Nej.
Disqus har hävdat att spårning, profilering och delning av personuppgifter kan baseras på en intresseavvägning som rättslig grund, trots att Disqus inte visste att GDPR gällde personer i Norge.
Efter att ha undersökt ärendet har Datatilsynet kommit fram till att Disqus inte kunde basera spårning av olika webbplatser, webbplatser, tjänster eller enheter för marknadsföringsändamål på en intresseavvägning. Sådan spårning kräver i allmänhet samtycke enligt myndigheten.
Datatilsynets preliminära slutsats är att Disqus inte haft någon rättslig grund för att spåra, profilera och dela personlig information om personer i Norge som besökte webbplatser som använde lösningen på kommentarfältet. Datatilsynet har också kommit fram till att Disqus brutit mot informationsskyldigheten och principen om ansvarsskyldighet genom att felaktigt anta att GDPR inte gäller för fysiska personer i Norge.
Enligt Datatilsynet är webbplatsägare också ansvariga för vilka tredje parter de besöker deras webbplatser i enlighet med reglerna i GDPR. I den här omgången har Datatilsynet prioriterat tillsynen över Disqus.
Datatilsynet tar det som har hänt i ärendet på allvar. De berörda webbplatserna i ärendet är nyhetssidor och Disqus har bland annat spårat vilka nyhetssajter människor i Norge har besökt. Detta har också hänt utan att de som spårats fått information om detta.
Enligt Datatilsynet är dold spårning och profilering är ett stort intrång i integriteten. När enskilda inte får information om att någon använder deras personuppgifter förlorar de möjligheten att begära åtkomst och få information om behandlingen, och att motsätta sig att deras personuppgifter används för marknadsföringsändamål. Datatilsynet har också lagt stor vikt vid att delningen av personuppgifter för riktad marknadsföring medför höga sannolikheter för att de registrerade kan förlora kontrollen över vilka som har tillgång till deras personuppgifter.
Sanktionsavgifter måste enligt Datatilsynet vara effektiva, stå i rimlig proportion till överträdelsen och ha en avskräckande effekt. I det här fallet finns det hundratusentals berörda. Behandlingen har omfattat en stor mängd uppgifter om vilka nyhetssajter personerna besökt. Vidare har behandlingen omfattat dold spårning över tid och personuppgifter har använts i riktad reklam. Datatilsynet har därför bestämt storleken på sanktionsavgiften till 25 miljoner norska kronor.
Datatilsynet har övervakat Disqus tjänst under perioden från att GDPR trätt i kraft till december 2019, då Disqus ändrade sin widget på norska webbplatser.
Datatilsynet har gett Disqus till den 31 maj 2021 att inkomma med eventuella synpunkter. Ett slutgiltigt beslut fattas efter att Datatilsynet har övervägt eventuella synpunkter från Disqus.