Det norske datatilsyn varsler bøde på 25 millioner NOK

En amerikansk leverandør af online kommentarfeltløsninger til en række norske hjemmesideejere havde i perioden juli 2018 til december 2019 sporet og profileret hjemmesidebesøgende, der anvendte kommentarfeltsløsningerne, gennem placering af cookies. Leverandøren videregav efterfølgende oplysningerne til tredjeparter inden for markedsføringsbranchen via et kommentarplugin.

Sagen har nu givet det norske datatilsyn anledning til at varsle om en bøde på 25 millioner norske kroner.

En af de berørte hjemmesider tilhører det norske medie NRK, der i december 2019 omtalte sagen i en række nyhedsartikler, hvilket gav tilsynet anledning til at tage sagen op af egen drift. Behandlingen fandt sted, uden at de hjemmesidebesøgende var gjort bekendt med, at deres oplysninger var genstand for den omtalte sporing, profilering og videregivelse.

Som led i belysningen af den verserende sag har leverandøren argumenteret for, at de behandlingsaktiviteter, der knytter sig til sporing, profilering og videregivelse af personoplysninger, kan baseres på databeskyttelsesforordningens interesseafvejningsregel ‒ dette til trods for at leverandøren samtidig har tilkendegivet, at denne ikke var bekendt med, at databeskyttelsesforordningen finder anvendelse i Norge. Det norske datatilsyn er imidlertid af den opfattelse, at hverken sporing på hjemmesider, tjenester eller enheder med henblik på markedsføring kan baseres på interesseafvejningsreglen, da en sådan behandling generelt må kræve den registreredes samtykke.

Tilsynets foreløbige konklusion

Det er tilsynets foreløbige konklusion, at virksomheden ikke har haft et lovligt behandlingsgrundlag for sporing, profilering og deling af oplysninger om personer, der har brugt kommentarfeltløsningen på de berørte hjemmesider. Tilsynet har desuden konkluderet, at leverandøren ikke har iagttaget sin oplysningspligt over for de registrerede, og at leverandøren har overtrådt databeskyttelsesforordningens ansvarlighedsprincip ved fejlagtigt at antage, at denne forordning ikke gælder for fysiske personer i Norge.

Det norske tilsyn har samtidig understreget, at hjemmesideejere efter databeskyttelsesforordningen også er ansvarlige for, hvilke tredjeparter de tillader på deres websteder. I den foreliggende sag har tilsynet dog alene valgt at fokusere på undersøgelsen af leverandøren. 

Om bødestørrelsen

Tilsynet har i sin vurdering af bødestørrelsen lagt vægt på de grundlæggende overtrædelser og skærpende omstændigheder i sagen. Overtrædelserne har påvirket flere hundredetusinde personer, ligesom de berørte personoplysninger er af meget privat karakter, som kan relateres til mindreårige og/eller afsløre politiske holdninger. Desuden vurderes sporingen, profileringen og videregivelsen af oplysningerne som særligt indgribende, ligesom behandlingen generelt set ikke har haft den fornødne transparens, som skal gøre det muligt for fysiske personer at udøve deres rettigheder.

Bøde endnu ikke vedtaget

Tilsynet har udarbejdet et udkast til afgørelse, som leverandøren har mulighed for at komme med bemærkninger til inden den 2. juli 2021. Herefter vil tilsynet træffe sin endelige afgørelse.