Irettesettelse til Disqus
Datatilsynet har vedtatt en irettesettelse til Disqus. Vedtaket kommer som følge av at selskapet tidligere har utlevert personopplysninger om registrerte i Norge uten rettslig grunnlag.
Vedtaket ble fattet med bakgrunn i vurderinger av de opplysninger som har kommet frem etter varselet vårt om overtredelsesgebyr til selskapet i 2021. Vår vurdering er at Disqus ikke hadde innhentet gyldig samtykke i tråd med personvernforordningen for å utlevere personopplysninger til morselskapet Zeta Global. Behandlingen av de registrertes personopplysninger var dermed også i strid med lovlighetsprinsippet, som er et av de grunnleggende personvernprinsippene.
Irettesettelse er en forvaltningsmessig reaksjon med formål å markere kritikk av de omtalte bruddene på reglene. På bakgrunn av en totalvurdering, har Datatilsynet kommet til at en irettesettelse er den mest hensiktsmessige reaksjonsformen i denne saken.
Bakgrunn
Disqus er et amerikansk selskap som blant annet tilbyr kommentarfeltløsninger og programmatisk annonsering til nettsider. Datatilsynet ble kjent med at Disqus feilaktig hadde lagt til grunn at personvernforordningen ikke gjaldt i Norge gjennom oppslag i media i 2019. Som følge av dette leverte selskapet i perioden 20. juli 2018 til 12. desember 2019, en kommentarfeltløsning til norske nettsteder som var beregnet for land utenfor EØS hvor personvernforordningen ikke gjelder. I denne perioden ble det delt personopplysninger om internettbrukere mellom Disqus og morselskapet uten at de ansvarlige for nettsidene som brukte selskapets kommentarfeltløsning visste om det. Denne aktiviteten ble stanset i desember 2019 når feilen ble oppdaget.