Норвежкият орган за защита на данните наложи санкцията „предупреждение“
Норвежкият орган за защита на данните според мен не аргументира сериозно замяната на значителна по размер глоба с абстрактното „предупреждение“ в случая Disqus.
На 4 ноември Datatilsynet публикува решението по случая, за който писах на 05.05.2021 г. Норвежкият надзорен орган за защита на данните издаде известие за втора огромна глоба. Тогава компанията беше заплашена от санкция в размер на 25 милиона норвежки крони.
Решението се основава на оценки на информацията, която се появи след предварително уведомление до компанията за административна глоба през 2021 г., пише сега в сайта на надзорния орган. Заключението ни е, че Disqus не е получила валидно съгласие в съответствие с Общия регламент относно защитата на данните (GDPR) за разкриване на лични данни към компанията майка Zeta Global. По този начин обработването на личните данни на субектите на данни противоречи и на принципа на законност, който е един от основните принципи на защита на данните.
Предупреждението е административна санкция, предназначена да подчертае критиката към цитираното нарушение на разпоредбите. Въз основа на цялостна оценка, Datatilsynet заключава, че порицанието е най-подходящата форма на отговор в този случай, пише в сайта. А ето няколко цитата от решението:
Disqus е американска компания, която предоставя публични решения за споделяне на коментари и програмна реклама на уебсайтове. Органът за защита на данните разбра, че Disqus неправилно е приел, че GDPR не се прилага в Норвегия чрез медийно отразяване през 2019 г. В резултат на това през периода 20 юли 2018 г. до 12 декември 2019 г. компанията предостави платформа за споделяне на публични коментари на норвежки уебсайтове, предназначени за страни извън ЕИП, където GDPR не се прилага. През този период личните данни за интернет потребителите бяха споделени между Disqus и компанията майка, без това да е известно на отговорните за уебсайтовете, използващи платформата на компанията. Тази дейност беше спряна през декември 2019 г., когато бе открито несъответствието.
В периода от 20 юли 2018 г. до 12 декември 2019 г. Disqus достави версия на услугата за поле за коментари (Disqus widget), предназначена за страни извън ЕИП, на следните норвежки уебсайтове: p3.no, tv2.no/broom, khrono .no, adressa.no, rights.no и document.no.
Следователно услугата за поле за коментари, която беше предоставена на норвежките уебсайтове, не беше адаптирана към правилата в регламента за поверителност и имаше проследяване и споделяне на данни с Disqus като настройка по подразбиране. Това означава, че се събират данни чрез бисквитки (Disqus бисквитки) за всички посетители на въпросните уебсайтове, които не са активирали настройки в браузъра да не позволяват бисквитки.
А ето няколко цитата от текста ми през 2021 година, който се позовава на журналистическото разследване, от което започва всичко, и на изявление на тогавашния ръководител на надзорния орган Бьорн Ерик Тон:
Според Тон има естествена причина именно чуждестранните компании да получават най-строги санкции:
Много от големите нарушения на поверителността, които сме наблюдавали в Европа, са извършени от чуждестранни компании, особено американски компании.
Като основания за санкцията в размер на 25 милиона норвежки крони се посочват нарушението на принципа на отговорност, изискването за правно основание и липсата на информация за субектите на данни.
Disqus е проследявал, профилирал и споделял лична информация за хората в Норвегия, когато са посетили седем уебсайта с полето за коментари на Disqus между май 2018 г. и декември 2019 г.
NRKbeta описва в няколко статии как тестове показват, че Disqus проследява посетителите на норвежки уебсайтове, които използват полето за коментари на Disqus. След това лична информация е споделена с редица компании в маркетинговата индустрия, без посетителите да бъдат информирани за това.
Disqus твърди, че проследяването, профилирането и споделянето на лични данни може да се основава на баланс на интересите като правно основание, въпреки факта, че Disqus не е знаел, че GDPR се прилага в Норвегия.
След разследването се стига до заключението, че Disqus не може да основава проследяването на различни сайтове, уебсайтове, услуги или устройства за маркетингови цели на баланс на интересите. Подобно проследяване обикновено изисква съгласие, казва Тон.
Предварителното заключение на надзорния орган е, че Disqus не е имал правно основание за проследяване, профилиране и споделяне на лична информация на лица в Норвегия, посетили уебсайтове, които са използвали това приложение за полетата за коментари.
Disqus е нарушил и задължението за предоставяне на информация и компанията е нарушила принципа на отговорност, като погрешно е приела, че GDPR не се прилага в Норвегия.
Скритото проследяване и профилиране е основна намеса в поверителността. Когато не получите информация, че някой използва лична информация, се губи възможността да се поиска достъп и информация и да се протестира срещу това, че лична информация се използва за маркетингови цели, както в този случай, казва Тон.