Disqus, plugin komentar yang digunakan oleh sejumlah situs web berita dan yang dapat membagikan data pengguna untuk tujuan penargetan iklan, sedang dalam kesulitan di Norwegia untuk melacak pengguna tanpa persetujuan mereka.
Badan perlindungan data lokal mengatakan hari ini telah memberi tahu perusahaan yang berbasis di AS tentang niat untuk mendenda €2,5 juta (~$3 juta) karena kegagalan untuk mematuhi persyaratan dalam Peraturan Perlindungan Data Umum (GDPR) Eropa tentang akuntabilitas, keabsahan dan transparansi .
Orang tua Disqus, Zeta Global, telah dihubungi untuk memberikan komentar.
Datatilsynet mengatakan itu bertindak setelah penyelidikan 2019 di pers nasional Norwegia – yang menemukan bahwa pengaturan default terkubur di plug-in Disqus memilih situs untuk berbagi data pengguna pada jutaan pengguna di pasar, termasuk AS
Dan sementara di sebagian besar Eropa perusahaan ditemukan telah menerapkan keikutsertaan untuk mengumpulkan persetujuan dari pengguna untuk dilacak — kemungkinan untuk menghindari masalah dengan GDPR — tampaknya tidak menyadari bahwa peraturan tersebut berlaku di Norwegia.
Norwegia bukan anggota Uni Eropa tetapi berada di Wilayah Ekonomi Eropa — yang mengadopsi GDPR pada Juli 2018, tidak lama setelah berlaku di tempat lain di UE. (Norwegia juga mengubah peraturan tersebut menjadi undang-undang nasional pada Juli 2018.)
DPA Norwegia menulis bahwa berbagi data yang melanggar hukum Disqus “sebagian besar menjadi masalah di Norwegia” — dan mengatakan bahwa tujuh situs web terpengaruh: NRK.no/ytring, P3.no, tv.2.no/broom, khrono.no , alamat.no, hak.no dan dokumen.no.
“Disqus berpendapat bahwa praktik mereka dapat didasarkan pada uji penyeimbangan kepentingan yang sah sebagai dasar yang sah, meskipun perusahaan tidak mengetahui bahwa GDPR diterapkan pada subjek data di Norwegia,” lanjut direktur jenderal DPA, Bjørn Erik Thon.
“Berdasarkan penyelidikan kami sejauh ini, kami percaya bahwa Disqus tidak dapat mengandalkan kepentingan yang sah sebagai dasar hukum untuk pelacakan di seluruh situs web, layanan atau perangkat, pembuatan profil dan pengungkapan data pribadi untuk tujuan pemasaran, dan bahwa jenis pelacakan ini memerlukan persetujuan. .”
“Kesimpulan awal kami adalah Disqus telah memproses data pribadi secara tidak sah. Namun, investigasi kami juga menemukan masalah serius terkait transparansi dan akuntabilitas,” tambah Thon.
DPA mengatakan pelanggaran itu serius dan telah memengaruhi “beberapa ratus ribu orang”, menambahkan bahwa data pribadi yang terpengaruh “sangat pribadi dan mungkin terkait dengan anak di bawah umur atau mengungkapkan opini politik”.
“Pelacakan, pembuatan profil, dan pengungkapan data bersifat invasif dan tidak transparan,” tambahnya.
DPA telah memberikan waktu kepada Disqus hingga 31 Mei untuk mengomentari temuan tersebut sebelum mengeluarkan keputusan denda.
Penerbit mengingatkan tanggung jawab mereka
Datatilsynet juga telah memberikan peringatan kepada penerbit lokal yang menggunakan platform Disqus — menunjukkan bahwa pemilik situs web “juga bertanggung jawab berdasarkan GDPR untuk pihak ketiga mana yang mereka izinkan di situs web mereka”.
Jadi, dengan kata lain, meskipun Anda tidak mengetahui tentang setelan berbagi data default, itu bukan alasan karena merupakan tanggung jawab hukum Anda untuk mengetahui apa yang dilakukan kode apa pun yang Anda tempatkan di situs web dengan data pengguna.
DPA menambahkan bahwa “dalam kasus ini” telah memfokuskan penyelidikan pada Disqus – memberikan kesempatan kepada penerbit untuk mendapatkan rumah mereka sebelum pemeriksaan di masa mendatang yang mungkin dilakukan.
DPA Norwegia juga memiliki bahasa sederhana yang mengagumkan untuk menjelaskan masalah “serius” membuat profil orang tanpa persetujuan mereka. “Pelacakan dan pembuatan profil tersembunyi sangat invasif,” kata Thon. “Tanpa informasi bahwa seseorang menggunakan data pribadi kami, kami kehilangan kesempatan untuk menggunakan hak kami untuk mengakses, dan menolak penggunaan data pribadi kami untuk tujuan pemasaran.
“Keadaan yang memberatkan adalah bahwa pengungkapan data pribadi untuk iklan terprogram mengandung risiko tinggi bahwa individu akan kehilangan kendali atas siapa yang memproses data pribadi mereka.”
Memperkecil, masalah pelacakan industri adtech dan kepatuhan GDPR telah menjadi masalah besar bagi DPA di seluruh Eropa — yang telah berulang kali dikecam karena gagal menegakkan hukum di bidang ini sejak GDPR mulai diterapkan pada Mei 2018.
Di Inggris, misalnya (yang mengubah GDPR sebelum Brexit sehingga masih memiliki kerangka perlindungan data yang setara untuk saat ini), ICO telah menyelidiki keluhan GDPR terhadap penggunaan data pribadi oleh penawaran real-time (RTB) untuk menjalankan iklan perilaku untuk bertahun-tahun – belum mengeluarkan satu pun denda atau perintah, meskipun berulang kali memperingatkan industri bahwa itu bertindak melanggar hukum.
Regulator sekarang dituntut oleh pengadu atas kelambanannya.
DPC Irlandia, sementara itu — yang merupakan DPA utama untuk sejumlah raksasa adtech yang menempatkan kantor pusat regional mereka di negara tersebut — memiliki sejumlah investigasi GDPR terbuka terhadap adtech (termasuk RTB). Namun juga gagal mengeluarkan keputusan di bidang ini hampir tiga tahun setelah peraturan tersebut mulai diterapkan.
Kurangnya tindakan terhadap keluhan adtech telah berkontribusi secara signifikan terhadap meningkatnya tekanan domestik (dan internasional) pada catatan penegakan GDPR secara lebih umum, termasuk dari Komisi Eropa. (Dan perlu dicatat bahwa proposal legislatif terbaru yang terakhir di arena digital mencakup ketentuan yang berupaya menghindari risiko kemacetan penegakan serupa.)
Namun, cerita tentang adtech dan GDPR terlihat sedikit berbeda di Belgia, di mana DPA tampaknya beringsut menuju tamparan besar dari praktik adtech saat ini.
Sebuah laporan awal tahun lalu oleh divisi investigasi mempertanyakan standar hukum dari persetujuan yang dikumpulkan melalui kerangka kerja industri unggulan, yang dirancang oleh IAB Eropa. Apa yang disebut kerangka kerja “Transparansi dan Persetujuan” (TCF) ini ternyata tidak mematuhi prinsip transparansi, keadilan, dan akuntabilitas GDPR, atau keabsahan pemrosesan.
Keputusan akhir diharapkan pada kasus itu tahun ini – tetapi jika DPA menjunjung tinggi temuan divisi itu, itu bisa memberikan pukulan besar bagi kemampuan industri periklanan perilaku untuk melacak dan menargetkan orang Eropa.
Studi menyarankan pengguna internet di Eropa akan sangat memilih bukan untuk dilacak jika mereka benar-benar ditawarkan standar GDPR dari pilihan yang spesifik, jelas, berdasarkan informasi dan bebas, yaitu tanpa celah atau pola gelap manipulatif.
