skip to Main Content

855 millió bírság hozzájárulás nélküli nyomkövetésért

A Norvég Adatvédelmi Hatóság (Datatilsynet) 2021. május 5-én jelentette be, hogy mintegy 25 millió koronányi (~855M Ft) bírságot készül kiszabni a Disqus Inc. ellen. A Disqus tulajdonosa egy amerikai cég, a Zeta Global. Az általuk nyújtott legismertebb szolgáltatás egy online kommentmegosztó felület, melynek segítségével az ezt használó weblapok látogatói írásban megoszthatják egymással véleményüket; nagyjából hasonló módon, mint egy Facebook poszt esetében.

A Disqus programozott, fogyasztáson alapuló hirdetéseket is értékesít, a platformot Norvégiában számos ismert újság online felülete használja. A Datatilsynet a norvég közmédia tájékoztatásából értesült róla, hogy a Disqus szabálytalanul, illetve jogellenesen kezeli az oldalakat látogató és a beszélgetésben résztvevő érintettek adatait.

A tájékoztatás arra is kitért, hogy a Disqus pluginja harmadik feleknek is továbbította az általa kezelt személyes adatokat, hogy azokat marketing célból felhasználják. A riport szerint ez azért történhetett meg, mert a Disqus tulajdonosa, a Zeta Global nem volt tisztában vele, hogy a GDPR Norvégiában is hatályos. Bár az ország nem tagja az EU-nak, ugyanakkor tagja az Európai Gazdasági Térségnek (EEA), melyen belül a GDPR alkalmazandó.

A Hatóság megkeresésére a Disqus közölte, hogy adatkezelésének jogalapja a cég jogos érdeke, ezt azonban a Datatilsynet nem fogadta el annak fényében, hogy a cég nem volt tisztában még azzal sem, hogy egyáltalán a GDPR-nak meg kell felelnie. A hatóság álláspontja szerint a jogos érdek nem elegendő, minden esetben az érintettek kifejezett hozzájárulására van szükség az ilyen célú (marketing) adatkezelések esetén.

A vizsgálat során más hiányosságokra is fény derült. A Hatóság megállapította, hogy a Disqus a GDPR 5. cikkének átláthatósággal és elszámoltathatósággal kapcsolatos elveit is megsértette. Előbbit, mivel nem adott az érintetteknek megfelelő tájékoztatást az általa végzett adatkezelésről, nyomkövetésről és profilalkotásról, utóbbit pedig a GDPR többszöri megsértése miatt, mint például amilyen az érdekmérlegelési teszt elmaradása volt.

Megjegyezték, hogy a weboldalak üzemeltetői sem teljesen ártatlanok, mivel a Rendelet őket teszi felelőssé azzal kapcsolatban, hogy milyen harmadik felek által létrehozott beépülő modulokat használnak oldalaikon, a hatóság azonban egyelőre a Disqus elleni vizsgálatra koncentrált, időt adva ezzel az ügyfeleiknek, hogy változtassanak gyakorlatukon, így elkerülve a jövőbeli bírságokat.

A Datatilsynet kemény szavakkal illette a Disqus gyakorlatát, az általa elkövetett jogsértéseket különösen súlyosnak nevezte. Ezt azzal indokolta, hogy a cég a platformot használó minden felhasználót nyomon követett, róluk profilokat készített, mindezt anélkül, hogy arról előzetesen tájékoztatta volna őket.

Súlyosbító körülményként vették figyelembe a személyes adatok jogalap nélküli átadását harmadik felek számára marketing céllal, mivel emiatt előfordulhat, hogy az érintettek elvesztik az irányítást az adataik felett.

A Hatóság a bírság bejelentésekor hangsúlyozta, hogy annak arányosnak és elrettentő erejűnek kell lennie. Szintén része volt a bírság összegének megállapításában annak, hogy a Disqus jogalap nélküli adatkezelése több, mint 100.000 személyt érintett, köztük kiskorúakat is, illetve, hogy a profilalkotás eredményeképp bizonyos esetekben különleges, így például politikai vagy szexuális beállítottságra vonatkozó adatok is érintettek voltak.

A döntéssel a Disqus nem értett egyet, 2021. május 31-ig volt ideje arra reagálni. A Datatilsynet a cég érveit figyelembe véve, várhatóan hamarosan meghozza a végleges döntést.

Back To Top