Varsel om overtredelsesgebyr til Disqus Inc.

Datatilsynet varsler gebyr på 25 millioner kroner til selskapet Disqus for brudd på ansvarlighetsprinsippet, kravet til rettslig grunnlag og manglende informasjon til de registrerte.

Datatilsynet ble kjent med saken gjennom omtale i NRKbeta i desember 2019. Her kom det fram at Disqus delte persondata om internettbrukere uten at nettsidene som brukte selskapets kommentarfeltløsning visste om det. På bakgrunn av NRKs omtale har Datatilsynet undersøkt hvorvidt Disqus har brutt kravene i personvernforordningen.

- Vi ser at Disqus har sporet, profilert, og delt personopplysninger om personer i Norge når disse besøkte syv nettsider med Disqus’ kommentarfeltløsning mellom mai 2018 og desember 2019. Vår foreløpige konklusjon er at dette har skjedd i strid med personvernforordningens krav til ansvarlighet, rettslig grunnlag og informasjon til de registrerte, sier direktør Bjørn Erik Thon.

Sporing av besøkende til norske nettsider

Disqus er et amerikansk selskap som blant annet tilbyr kommentarfeltløsninger og programmatisk annonsering til nettsider. NRKbeta beskrev i flere nyhetsartikler hvordan tester viste at Disqus’ sporet de besøkende til norske nettsider som brukte Disqus’ kommentarfelt. Personopplysninger ble så delt med en rekke selskaper innen markedsføringsbransjen uten at de besøkende var informert om dette.

Utfra informasjonen vi har i saken er det først og fremst i Norge dette har vært et problem. På bakgrunn av redegjørelsen vi har fått, har vi foreløpig lagt til grunn at de berørte nettsidene er tv.2.no/broom, khrono.no, adressa.no, NRK.no/ytring, P3.no, rights.no og document.no.

Manglet rettslig grunnlag, informasjon og ansvarlighet

Disqus har argumentert for at sporingen, profileringen og delingen av personopplysningene kunne baseres på en interesseavveining som rettslig grunnlag, til tross for at Disqus ikke visste at GDPR gjaldt for personer i Norge.

- Etter å ha undersøkt saken har vi konkludert med at Disqus ikke kunne basere sporing over ulike steder, nettsider, tjenester eller enheter for markedsføringsformål på en interesseavveining. Slik sporing krever som hovedregel samtykke, sier Thon.

Datatilsynets foreløpige konklusjon er at Disqus ikke hadde rettslig grunnlag for å spore, profilere, og dele personopplysningene til personer i Norge som besøkte nettsider som benyttet seg av kommentarfeltløsningen.

- I varselet har vi også konkludert med at Disqus brøt informasjonsplikten i personvernforordningen, og at selskapet har brutt ansvarlighetsprinsippet ved å feilaktig legge til grunn at personvernforordningen ikke gjelder for fysiske personer i Norge, sier Thon.

Nettstedseiere er også ansvarlig for hvilke tredjeparter de slipper til på sine nettsteder etter reglene i personvernforordningen. Datatilsynet har i denne omgang prioritert å føre tilsyn med Disqus.

Alvorlige brudd

Datatilsynet ser alvorlig på det som har skjedd i saken. De berørte nettsidene i saken er nyhetssider, og Disqus har blant annet sporet hvilke nyhetssider personer i Norge har besøkt. Dette har i tillegg skjedd uten at de som ble sporet fikk informasjon om dette.

- Skjult sporing og profilering er et stort inngrep i personvernet. Når man ikke får informasjon om at noen bruker personopplysningene våre mister vi muligheten til å be om innsyn og informasjon, og til å protestere på at personopplysningene våre brukes til markedsføringsformål som i denne saken, sier Thon.

Datatilsynet har også lagt stor vekt på at deling av personopplysninger for programmatisk markedsføring innebærer stor sannsynlighet for at de registrerte mister kontroll over hvem som har deres personopplysninger.  

Høyt gebyr

Overtredelsesgebyr skal være virkningsfull, stå i et rimelig forhold til overtredelsen og virke avskrekkende. I denne saken er det flere hundre tusen berørte, veldig private opplysninger om hvilke nyhetssider man besøker, skjult sporing over tid, personopplysninger på avveie i programmatisk annonsering.

- Størrelsen på gebyret er etter en nøye vurdering satt såpass høyt fordi flere hundre tusen er berørt, fordi det dreier seg om private opplysninger om hvilke nettsider man besøker, sporingen var skjult og personopplysninger kom på avveie i annonsering, avslutter Thon.

Vi har ført tilsyn med Disqus’ tjeneste i perioden fra personvernforordningen (GDPR) begynte å gjelde og frem til desember 2019, da Disqus endret sin widget på norske nettsider.

Ikke et endelig vedtak

Hensikten med varsel er å bidra til at de skal kunne komme med tilbakemelding om hvordan de vurderer saken. Vi fatter endelig vedtak etter at vi har vurdert eventuelle merknader fra Disqus.

Disqus har fått utsatt svarfrist til 2. juli.

Last ned