A norvég adatvédelmi hatóság szerdán közölte, hogy értesítette az amerikai székhelyű vállalatot arról, hogy 2,5 millió eurós (mintegy 900 millió forintos) bírságot szándékozik kiszabni rá, mivel nem tartotta be az európai általános adatvédelmi rendelet (GDPR) elszámoltathatóságra, jogszerűségre és átláthatóságra vonatkozó követelményeit. A Datatilsynet közölte, hogy a norvég nemzeti sajtóban 2019-ben megjelent vizsgálatot követően lépett fel - amely megállapította, hogy a Disqus beépülő moduljában elrejtett alapértelmezett beállítások arra ösztönözték az oldalakat, hogy több millió felhasználó felhasználói adatait osszák meg a piacokon, köztük az Egyesült Államokban - írja a TechCrunch.
Míg Európa nagy részén a vállalatról kiderült, hogy opt-in-t alkalmazott a felhasználók hozzájárulásának összegyűjtésére a nyomon követéshez - valószínűleg azért, hogy elkerülje a GDPR-ral kapcsolatos problémákat -, úgy tűnik, nem volt tudatában annak, hogy a szabályozás Norvégiában is érvényes. A skandináv ország ugyan nem tagja az Európai Uniónak, de az Európai Gazdasági Térséghez tartozik - amely 2018 júliusában fogadta el a GDPR-t, valamivel azután, hogy az EU más részein hatályba lépett.
A norvég adatvédelmi hatóság azt írja, hogy a Disqus jogellenes adatmegosztása "túlnyomórészt Norvégiában volt probléma" - és azt mondja, hogy hét weboldal érintett: NRK.no/ytring, P3.no, tv.2.no/broom, khrono.no, adressa.no, rights.no és document.no.
"Az eddigi vizsgálataink alapján úgy véljük, hogy a Disqus nem hivatkozhatna jogos érdekre jogalapként a webhelyeken, szolgáltatásokon vagy eszközökön keresztüli nyomon követés, a profilalkotás és a személyes adatok marketingcélú közzététele tekintetében, és hogy az ilyen típusú nyomon követéshez hozzájárulás szükséges. Előzetes következtetésünk szerint a Disqus jogellenesen dolgozott fel személyes adatokat. Vizsgálatunk azonban az átláthatósággal és az elszámoltathatósággal kapcsolatos komoly kérdéseket is feltárt" - mondta el a vizsgálat a DPA főigazgatója, Bjørn Erik Thon.
Az adatvédelmi hatóság szerint a jogsértések súlyosak, és "több százezer személyt" érintettek, hozzátéve, hogy az érintett személyes adatok "rendkívül bizalmas jellegűek, és kiskorúakra vonatkozhatnak, vagy politikai véleményeket tárhatnak fel". Úgy látják, hogy az adatok nyomon követése, profilalkotása és közzététele invazív és átláthatatlan volt. A DPA május 31-ig adott határidőt a Disqusnak, hogy a bírságról szóló határozat meghozatala előtt kommentálja a megállapításokat.
"Súlyosbító körülmény, hogy a személyes adatok programozott reklámozás céljából történő nyilvánosságra hozatala nagy kockázatot jelent, hogy az egyének elveszítik az ellenőrzést afelett, hogy ki kezeli a személyes adataikat" - mondta Thon.
A mostani bírság azért érdekes EU-s szemmel, mert a reklámtechnológiai iparág nyomon követésének és a GDPR-nak való megfelelésnek a kérdése Európa-szerte komoly fejfájást okozott az adatvédelmi hatóságoknak - amelyeket többször is megróttak, hogy a GDPR 2018 májusi hatálybalépése óta nem sikerült érvényt szerezniük a jogszabályoknak ezen a területen.