I januar i år omtalte vi Disqus-saken.
Disqus og GDPR
“NRKBeta skrev i desember en sak om at Disqus, ITavisens kommentarleverandør, ikke hadde fått med seg at Norge er en del av GDPR-systemet selv om vi ikke er 100 prosent EU-medlem. Dette forårsaket at Disqus brøt med GDPR-loven i Norge til de utbedret feilen. Det har de nå gjort”. Det meldte vi den gang.
“Disqus har argumentert for at sporingen, profileringen og delingen av personopplysningene kunne baseres på en interesseavveining som rettslig grunnlag, til tross for at Disqus ikke visste at GDPR gjaldt for personer i Norge”, melder Datatilsynet i dagens pressemelding.
Datatilsynets foreløpige konklusjon er at Disqus ikke hadde rettslig grunnlag for å spore, profilere, og dele personopplysningene til personer i Norge som besøkte nettsider som benyttet seg av kommentarfeltløsningen.
Datatilsynet
Endringen ble aktivert bak ryggen vår
ITavisen som mange andre norske nettaviser som nytter kommentar-plattformen var ikke klar over endringen Disqus gjorde:
Annonse
“Med en gang vi ble klar over feilen, deaktiverte jeg den globale innstillingen “Enable anonymous cookie targeting for your site’s visitors” som var på som standard og som vi, og mange andre, ikke var klar over var aktivert. Den andre innstillingen i samme oppsett er for Disqus-annonsesystemet som ITavisen ikke benytter seg av.”
Vår kontakt hos Disqus svarte den gang at:
“Når du har deaktivert sporingsalternativet på nettstedet ditt, vil brukerne ikke ha noen data samlet om dem mens de er på nettstedet ditt. De kan deaktivere datainnsamling på kontoen sin globalt ved å logge seg på kontoen sin og klikke på “Opt Out”-knappen her: https://disqus.com/data-sharing-settings”
Nå tar Datatilsynet affære
– Vi ser at Disqus har sporet, profilert, og delt personopplysninger om personer i Norge når disse besøkte syv nettsider med Disqus’ kommentarfeltløsning mellom mai 2018 og desember 2019. Vår foreløpige konklusjon er at dette har skjedd i strid med personvernforordningens krav til ansvarlighet, rettslig grunnlag og informasjon til de registrerte, forklarer direktør Bjørn Erik Thon i en pressemelding.
Videre forklarer tilsynet at de “ser alvorlig på det som har skjedd i saken. De berørte nettsidene i saken er nyhetssider, og Disqus har blant annet sporet hvilke nyhetssider personer i Norge har besøkt. Dette har i tillegg skjedd uten at de som ble sporet fikk informasjon om dette.”
Det høye gebyret er berettiget, mener Datatilsynet, fordi hundretusenvis av nordmenn ble rammet:
– Størrelsen på gebyret er etter en nøye vurdering satt såpass høyt fordi flere hundre tusen er berørt, fordi det dreier seg om private opplysninger om hvilke nettsider man besøker, sporingen var skjult og personopplysninger kom på avveie i annonsering, avslutter Thon.
Disqus har nå frem til 31. mai å svare for seg. “Vi fatter endelig vedtak etter at vi har vurdert eventuelle merknader fra Disqus”.
Annonse
