Disqus, en kommentarplugin som brukes av en rekke nyhetsnettsteder og som kan dele brukerdata for annonsemålrettingsformål, sliter i Norge med å spore brukere uten deres samtykke.
Det lokale databeskyttelsesbyrået sa i dag at de har det varslet det USA-baserte selskapet som har til hensikt å bøtelegge det på 2,5 millioner euro (~ 3 millioner dollar) for ikke å overholde kravene i den generelle databeskyttelsesforordningen (GDPR) i Europa angående ansvar, lovlighet og åpenhet.
Disqus» forelder, Zeta Global, ble kontaktet for kommentar.
Datatilsynet sa at det iverksatte tiltak etter en undersøkelse fra 2019 av norsk nasjonal presse, som fant at standarder begravd i Disqus plug-in-nettsteder har valgt å dele brukerdata på tvers av millioner av brukere i markedene, inkludert USA.
Og mens det i det meste av Europa ble oppdaget at selskapet brukte en opt-in for å samle inn brukernes samtykke for å bli sporet, sannsynligvis for å unngå problemer med GDPR, ser det ut til at det ikke var klar over at forskriften gjelder i Norge.
Norge er ikke medlem av EU, men en del av Det europeiske økonomiske samarbeidsområdet, som vedtok GDPR i juli 2018, kort tid etter at den trådte i kraft i andre deler av EU. (Norge implementerte forordningen i nasjonal rett også i juli 2018.)
Datatilsynet skriver at ulovlig datadeling fra Disqus er «hovedsakelig et problem i Norge» og opplyser at sju nettsider er berørt: NRK.no/ytring, P3.no, tv.2.no/broom, khrono .no, adresse. nei, rights.no og document.no.
«Disqus hevdet at deres praksis kunne være basert på den legitime interesseavveiningstesten som et rettslig grunnlag, til tross for at selskapet ikke er klar over at GDPR gjelder for registrerte personer i Norge,» fortsetter DPA-direktør Bjørn Erik Thon.
«Basert på våre undersøkelser så langt, mener vi at Disqus ikke kan stole på legitim interesse som et juridisk grunnlag for sporing på nettsider, tjenester eller enheter, profilering og avsløring av personopplysninger for markedsføringsformål, og at denne typen sporing vil kreve samtykke.»
«Vår foreløpige konklusjon er at Disqus har behandlet personopplysninger ulovlig. Etterforskningen vår avdekket imidlertid også alvorlige problemer med åpenhet og ansvarlighet, la Thon til.
DPA sa at bruddene er alvorlige og har påvirket «flere hundre tusen mennesker», og la til at de berørte personopplysningene «er svært private og kan relatere seg til mindreårige eller avsløre politiske synspunkter».
«Sporingen, profileringen og avsløringen av dataene var invasiv og ugjennomsiktig,» la han til.
DPA ga Disqus frist til 31. mai med å kommentere funnene før de fattet en avgjørelse om boten.
Redaksjonen husket sitt ansvar
Datatilsynet ga også en advarsel til lokale utgivere som brukte Disqus-plattformen, og la merke til at nettstedseiere «også er ansvarlige i henhold til GDPR for tredjeparter de tillater på sine nettsider».
Så med andre ord, selv om du ikke visste om en standardinnstilling for datadeling, er det ingen unnskyldning fordi det er ditt juridiske ansvar å vite hva en kode du legger på nettstedet ditt gjør med brukerdata.
DPA legger til at «i det nåværende tilfellet» har den fokusert etterforskningen på Disqus, og gitt utgivere muligheten til å rydde opp i hjemmene sine før eventuelle fremtidige inspeksjoner.
DPA har også et beundringsverdig enkelt språk for å forklare det «alvorlige» problemet med å profilere mennesker uten deres samtykke. «Skjult sporing og profilering er veldig invasivt,» sier Thon. «Uten informasjonen om at noen bruker personopplysningene våre, mister vi muligheten til å utøve tilgangsrettighetene våre og protesterer mot bruken av personopplysningene våre til markedsføringsformål.
«En skjerpende omstendighet er at utlevering av personopplysninger for programmatisk annonsering medfører en høy risiko for at folk mister kontrollen over hvem som behandler personopplysningene deres.»
Ved å zoome ut har spørsmålet om adtech-industriovervåking og GDPR-overholdelse blitt et stort problem for databeskyttelsesmyndigheter over hele Europa, som gjentatte ganger har blitt kritisert for ikke å håndheve loven i denne bransjen siden GDPR trådte i kraft. i mai 2018.
I Storbritannia, for eksempel (som transponerte GDPR før Brexit, har så fortsatt et tilsvarende databeskyttelsesrammeverk for tiden), undersøkte ICO GDPR-klager mot bruk av personopplysninger ved sanntidstilbud (RTB) for å vise adferdsannonser for år – men har ennå ikke gitt en eneste bot eller pålegg, til tross for at de gjentatte ganger har advart bransjen om at den opptrer ulovlig.
Regulatoren blir nå saksøkt av klager for hans passivitet.
Den irske DPC har i mellomtiden, som er den primære DPA for en rekke adtech-giganter som har sitt regionale hovedkvarter i landet, en rekke åpne GDPR-undersøkelser av adtech (inkludert RTB). Men den har ikke engang gitt noen vedtak på dette området nesten tre år etter at forskriften begynte å gjelde.
Hans manglende handling på adtech-klager bidro betydelig til økende internt (og internasjonalt) press på sin GDPR-søknadspost mer generelt, inkludert av EU-kommisjonen. (Og det er bemerkelsesverdig at sistnevntes siste lovforslag på den digitale arenaen inkluderer bestemmelser som søker å unngå risikoen for slike flaskehalser i håndhevelsen.)
Historien om adtech og GDPR ser imidlertid litt annerledes ut i Belgia, hvor DPA ser ut til å være på vei mot et stort slag i møte med gjeldende adtech-praksis.
En foreløpig rapport i fjor fra dens etterforskningsavdeling stilte spørsmål ved den juridiske standarden for samtykker samlet inn via et bransjeledende rammeverk designet av IAB Europe. Dette såkalte «Transparency and consent»-rammeverket (TCF) ble funnet å ikke være i samsvar med prinsippene om åpenhet, korrekthet og ansvar i GDPR, eller lovligheten av behandlingen.
En endelig avgjørelse er ventet i den saken i år, men hvis DPA bekrefter divisjonens funn, kan det gi et alvorlig slag for atferdsreklameindustriens evne til å spore og målrette europeere.
Studier tyder på Internett-brukere i Europa ville velge overveldende Ikke spores hvis GDPR-standarden for et spesifikt, klart, informert og fritt valg faktisk ble tilbudt, det vil si uten smutthull eller mørke manipulerende modeller.
«Kaffeaholic. Livslang alkoholfanatiker. Typisk reiseekspert. Utsatt for apatianfall. Internett-banebryter.»