GDPR 为将欧洲公民的个人数据转移到欧盟以外提供了一个框架。
该框架在 GDPR 第 5 章(第 44 条及以下条款)中有规定,CNIL 已在其网站上进行了转载。 CNIL 在决定中认为以下情况均不成立:
美国和欧盟之间不再存在“充分性制度”(“隐私盾”已于 2020 年失效)。
谷歌在合同中使用标准合同条款,并采取了一系列措施来提供“适当的保障措施”,以确保对个人数据提供一定程度的保护。 CNIL 裁定,这些措施和公司规则不足以确保美国情报机构无法获取相关数据。 GA 需要访问凭证来生成一些关键解决方案指标。此外,欧洲公民不能在美国法院主张可执行的权利和有效的补救措施。
CNIL 认为,数据传输不符合规定的其他豁免情况(第 49 条),特别是
为进行该转移而可能获得的同意似乎并不适用。 CNIL 在对 GDPR 的解释中认为,向美国的转移只能基于特殊情况下的同意,这排除了使用 GA 所暗示的重复或习惯性转移。
谷歌与欧洲公民之间并没有签订提供 GA 服务的合同。
所有使用 GA 的网站是否都面临未来禁令的风险?
据我们了解,CNIL 的决定不具有法律效力:CNIL 在对特定案件作出决定时并 以色列 WhatsApp 号码数据 不是立法者,本案就是这种情况。
还应记住的是,CNIL 并不是主动发起这次审计,而是在收到NOYB 协会的投诉后采取的行动。
话虽如此,我们正面临着欧洲范围内 CNIL 明显协调一致的运动。因此,在不久的将来,投诉增加的可能性相当高。
无论如何,就目前而言,只要没有正式通知,就不存在直接风险。但由于相同的原因会产生相同的效果,CNIL 的决定可以开创先例,并适用于未来在相同条件下使用 Google Analytics 的网站。