Disqus在挪威面临300万美元，在未经同意的情况下跟踪用户

当地数据保护局表示，今天已通知美国公司的意图罚款250万欧元（〜300万美元），以遵守欧洲一般数据保护法规（GDPR）对问责制，合法性和透明度的要求。

DataTilsynet表示，它在2019年在2019年在挪威国民媒体调查之后采取行动 - 发现在Disqus的插件选择的默认设置中埋入了数百万用户的用户数据，包括美国的数百万用户。

揭示Disqus数据机器：@disqus分享了几以时数百万用户的个人数据，或者知道它的网站。线程 - 1/13 pic.twitter.com/blw4gl2rhf

虽然在欧洲大部分内的公司被发现应用了一个选择加入的待办事项，但是要追查的用户 - 可能是为了避免对GDPR的麻烦 - 它似乎没有意识到该监管在挪威适用。

挪威不是欧洲联盟的成员，而是在欧洲经济区 - 2018年7月通过了GDPR，在欧盟其他地方生效后略微采用了GDPR。 （挪威在2018年7月也将监管转入国家法律。）

挪威DPA认为Disqus的非法数据分享“主要是在挪威的问题” - 并说七个网站受到影响：NRK.NO/YTRING，P3.NO，TV.2.no/bro.nono/bro.no ，adressa.no，sifire.no和document.no。

“Disqus认为，他们的实践可以基于合法利益平衡测试作为合法的基础，尽管公司不知道挪威的数据主体的GDPR，”DPA的总干事BjørnikChon继续。

“基于我们的调查到目前为止，我们认为Disqus无法依赖合法利益作为追踪网站，服务或设备，个人数据的营销目的的个人数据的法律依据，并且这种类型的追踪需要同意。“

“我们的初步结论是Disqus已非法处理个人数据。然而，我们的调查还发现了关于透明度和问责制的严重问题，“Thon补充道。

DPA表示，侵权是严重的，影响了“数十万个个人”，并补充说受影响的个人数据“是高度私人的，可能与未成年人或揭示政治意见”。

“数据的跟踪，分析和披露是侵入性和非翻译，”它添加了。

DPA在5月31日之前给了Disqus，以评论发布罚款决定的调查结果。

DataTilsynet还在使用Disqus平台的本地出版商处发出警告 - 指出网站所有者“也负责他们在其网站上允许的第三方的GDPR负责”。

所以，换句话说，即使您不了解默认的数据共享设置，也不知道不是借口，因为知道您在网站上所做的任何代码都在使用用户数据是您的法律责任。

DPA补充说：“在目前的情况下”它已重点调查Disqus - 提供出版商，其中有机会在未来的任何未来检查之前获取他们的房屋。

挪威的DPA也有一些令人钦佩的语言来解释概念的貌相的“严重”问题。 “隐藏的跟踪和分析非常侵入，”Thon说。 “如果没有某人使用我们的个人数据的信息，我们将失去机会，以行使我们的权利，并反对使用我们个人数据以进行营销目的。

“加重情况是，对程序化广告的个人数据的披露需要高风险，个人将失去对谁处理其个人数据的人。”

缩小，Adtech行业追踪和GDPR合规性的问题已成为欧洲DPA的重大头痛 - 由于在2018年5月在本领域进入此领域，这一直在抨击该地区被抨击。

例如，在英国（在BREXIT之前转换了GDPR，所以现在仍然具有等效的数据保护框架），ICO一直在调查GDPR对实时竞标（RTB）使用个人数据来运行行为广告的投诉 - 然而，尽管反复警告其非法行为行为，但尚未发出单一罚款或订单。

与此同时，爱尔兰的DPC - 这是一个位于该国的地区总部的地区总部的威尼斯队的领先DPA - 在Adtech（包括RTB）中有许多开放的GDPR调查。但在申请监管后三年后，也未能在这方面发出任何决定。

它对浅滩投诉的缺乏行动促进了国内（和国际）对其GDPR执法纪录的增加，包括欧盟委员会。 （并且值得注意的是，后者最近的数字舞台的立法提案包括寻求避免类似执法瓶颈的规定。）

在Adtech的故事和GDPR在比利时看起来有点不同，DPA似乎朝着当前的露天实践的主要拍摄速度缩短。

去年通过其调查部门的初步报告呼吁质疑同意通过IAB欧洲设计的旗舰行业框架收集的法律标准。这种所谓的“透明度和同意”框架（TCF）被发现不遵守GPR的透明度，公平和问责制或加工合法性的原则。

预计今年的最终决定 - 但如果DPA坚持该司的调查结果，它可能会对行为广告行业进行大规模打击，以行为追踪和瞄准欧洲人的能力。

S Tudies建议欧洲的互联网用户在实际提供特定，清晰，知情和自由选择的GDPR标准之外，即没有任何漏洞或操纵黑暗模式，将无法跟踪。