Datatilsynet varsler milliongebyr til amerikansk selskap

Datatilsynet vil gi det amerikanske selskapet Disqus et gebyr på 25 millioner kroner etter at informasjon fra norske nettbrukere ble delt med andre selskaper.

Direktør i Datatilsynet, Bjørn Erik Thon, har varslet det amerikanske selskapet Disqus om et gebyr på 25 millioner kroner etter at opplysninger om norske nettbrukere ble delt med andre i 2018.
Publisert: Publisert:
icon
Denne artikkelen er over ett år gammel

Det skriver Datatilsynet i en pressemelding, som opplyser at saken blant annet dreier seg om brudd på ansvarlighetsprinsippet og manglende informasjon til de registrerte.

Disqus har rett til å komme med et motsvar, og har frist til å komme med sine merknader til 31. mai.

Gebyrets størrelse tilsvarer 15 prosent av selskapets omsetning i 2018.

– De berørte er først og fremst forbrukerne som har brukt Disqus. Det er flere hundre tusen som har fått data registrert og sporet, som igjen kan ha blitt brukt til markedsføringsformål, og derfor er gebyret satt såpass høyt, forteller Bjørn Erik Thon, direktør i Datatilsynet til E24.

Skal ha sporet i det skjulte

Tilsynet startet sine egne undersøkelser etter at NRK i 2019 avdekket at kommentarfeltsystemet Disqus delte informasjon om nettbrukerne med markedsføringsselskaper.

– Vi har sett at Disqus har registrert, sporet, profilert og delt personopplysninger om personer i Norge som har besøkt deres nettside og kommentarfeltløsning, sier Thon.

Perioden det gjelder er mellom mai 2018 og desember 2019. Flere medier brukte diskusjonsplattformen.

– Kan forbrukere ha merket noe til dette?

– Sannsynligvis har ikke brukerne lagt merke til dette, med mindre man har sjekket hvilke cookies som er plassert hos seg. Det er denne skjulte sporingen, profileringen og spredningen som gjør denne saken så alvorlig. Generelt er det vanskelig å si om brukerne har merket noe til dette siden universet innen markedsføring, registreringer og cookies er fryktelig uoversiktlig, forklarer han.

Thon forteller at Datatilsynet ikke følger opp de berørte i saken, ettersom dette er «en sak mellom Datatilsynet og Disqus», men at brukerne «har rett til innsyn og informasjon fra selskapet om hvordan opplysningene deres har blitt brukt».

Disqus har blant annet sporet hvilke nyhetssider personer i Norge har besøkt. Dette har i tillegg skjedd uten at de som ble sporet fikk informasjon om dette, opplyser Datatilsynet i pressemeldingen.

– Disqus skal nå ha gjort endringer som gjør at de overholder personvernforordningen, så derfor kan det være slik at brukerne ikke lenger er berørte. Selskapet oppgir å ha slettet opplysningene de har samlet inn om norske borgere i perioden, men dette betyr lite for brukerne når opplysningene allerede er spredt til tredjeparter, sier Thon.

Får neppe kompensasjon

– Budskapet er at vi ser på dette som en alvorlig sak, fortsetter direktøren.

Han legger til at skjult sporing og profilering er «et stort inngrep i personvernet», men at det neppe er tilstrekkelig for kompensasjon.

Det skal nok større personvernbrudd til for å få kompensasjon, det blir i så fall en sivilrettslig sak.

Sporingen skal ha skjedd fordi Disqus ikke kjente til at Norge innførte den felleseuropeiske personvernreguleringen GDPR i 2018. Det tok 511 dager før også Norge ble tatt inn i selskapets systemer for dette og tidligere innsamlet informasjon ble slettet.

NRK omtalte saken først.

Morselskapet Zeta Global har ikke svart på NRKs henvendelser.

Publisert: