Etter en rekke artikler i NRKbeta opprettet Datatilsynet en granskning av det amerikanske selskapet Disqus. Selskapet hevder selv at de ikke er underlagt Datatilsynets kontroll.
I fjor høst omtalte NRKbeta at det amerikanske selskapet Disqus lagret og delte data om nordmenns nettbesøk med andre selskaper. Det skjedde når en bruker besøkte nettsider med kommentarfelt levert av selskapet. Store norske nettsider som NRK P3, Khrono, TV2 Broom, og Rights delte data om sine besøkende.
Det skal ha skjedd ved at Disqus har lagt en cookie, en liten tekstfil, på de besøkendes datamaskiner. Disse tekstfilene gjør det mulig å vise personaliserte annonser basert på tidligere nettbesøk.
Som følge av NRKs artikler valgte Adresseavisen, NRK, Khrono, TV2, og ComputerWorld å fjerne Disqus fra sine nettsider.
Krever svar
Datatilsynet opprettet en granskning av Disqus som følge av medieomtalen. I et brev NRKbeta har fått innsyn i, krever tilsynet svar på 11 spørsmål om hvordan selskapet har behandlet nordmenns personopplysninger.
– Vi mener det er sannsynlig at Disqus har behandlet persondata om norske innbyggere uten å overholde de grunnleggende personvernsprinsippene som følger av GDPR, skriver tilsynet.
GDPR, også kalt personvernforordningen, er en sentral del av personopplysningsloven. Handler man i strid med denne loven kan Datatilsynet bøtelegge selskapet eller kreve stans i behandlingen av personopplysninger.
I sitt tilsvar oppgir Disqus at de har behandlet nordmenns personopplysninger i 511 dager, potensielt i strid med norske personvernlover. Det skyldes at deres California-baserte team ikke var klar over at Norge også innførte GDPR i 2018.
Opplysningene skal ha blitt brukt til å lage interesseprofiler basert på nettvaner for å vise mer personaliserte annonser, ifølge selskapet.
Vet ikke hvor mange nordmenn de sporet
Disqus slettet 12. desember data om norske nettsurfere, og hevder at de nå ikke kan gjøre rede for hvor mange profiler det var snakk om. Disqus oppgir at 10.377 nordmenn hadde brukerkonto hos dem i den aktuelle perioden. Disqus mener selv at disse har blitt informert om datadelingen ved opprettelsen av en profil og at det derfor bør regnes som tilfredstillende under GDPR.
«Disqus har ikke med overlegg samlet inn data om nordmenn og annonserer ikke i Norge», skriver de i sitt svar til Datatilsynet.
Selskapet hevder de heller ikke har delt nordmenns nettbesøk med andre enn morselskapet Zeta Global. Zeta Global beskriver seg selv som et «datadrevet markedsføringsselskap» som har informasjon om over to milliarder identiteter.
Hevder seg ikke underlagt Datatilsynet
«Verken Disqus eller morselskapet Zeta Global har noen forretningsvirksomhet i Norge. Derfor mener vi at Datatilsynet ikke har jurisdiksjon til å gjennomføre en etterforskning eller iverksette tiltak mot Disqus», skriver selskapet.
– Status er at vi har fått en redegjørelse fra Disqus. De tar opp en rekke problemstillinger som vi må vurdere nærmere. Deretter skal vi vurdere om vi er fornøyd med svaret, om vi skal ilegge noen sanksjoner, og om vi skal be om mer informasjon, sier juridisk rådgiver Ole Martin Moe i Datatilsynet.
På generelt grunnlag utdyper Moe at personvernforordningen åpner for at amerikanske selskaper uten forretningskontorer i Europa kan være underlagt Datatilsynet.