突发新闻:2020年7月16日,欧盟法院(CJEU)裁定,在美国托管的任何云服务都无法遵守GDPR和欧盟隐私法。
2016年8月,欧盟-美国隐私盾框架生效,该框架“保护欧盟内任何人的基本权利,其个人数据被转移到美国用于商业目的。它允许将数据免费传输给在美国通过隐私盾认证的公司。”- - -欧盟委员会网站
然而,在今天的CJEU裁决之后,由于欧盟和美国隐私法之间的重大差异,这个隐私盾框架变得无效。
欧洲隐私法活动家Max Schrems总结道:“法院现在第二次澄清了欧盟隐私法和美国监视法之间的冲突。由于欧盟不会为了取悦美国国家安全局而改变其基本权利,克服这种冲突的唯一方法是美国为所有人——包括外国人——引入可靠的隐私权。因此,监控改革对硅谷的商业利益至关重要。”- - -noyb网站
今天的裁决也继续引发人们对美国隐私法合法性的担忧,美国隐私法并没有完全保护人们在美国云服务器上托管的个人数据。
这对你有什么影响?
对于任何在欧盟运营网站的企业,或者如果你的网站有来自欧盟访问者的流量,你需要知道你正在捕获什么数据以及这些数据存储在哪里。
以下是柏林数据保护和信息自由专员Maja Smoltczyk所说的:
将个人数据传输到美国的控制者,特别是在使用基于云的服务时,现在是r需要立即切换到位于欧盟或能够确保足够数据保护水平的国家的服务提供商。CJEU已经明确表示,数据出口不仅仅是财务决策,人们的基本权利也必须被视为优先事项。这项裁决将终结向美国转移个人数据的行为为了方便或降低成本。
控制器是你(不是谷歌),通过将数据传输到美国你有风险因不符合GDPR标准而被处以高达2000万欧元或全球年营业额4%的罚款。
是你必须采取行动,而不是谷歌或其他美国公司。法院的判决已经证明了这一点直接的影响.虽然我们认为会有一个宽限期,但企业应该现在就采取行动,因为寻找和实施替代解决方案可能需要一段时间。
数据不能再输出到欧盟以外吗?
如果能保证足够的数据保护,数据仍然可以输出到欧盟以外的国家。欧盟的一些贸易伙伴,如新西兰、日本、瑞士和加拿大,就是这种情况。他们已经经欧盟认证具有相当的隐私保护水平,因此在国家一级证明是适当的。
必要的数据仍然可以流向美国等国家。例如,当某人在美国预订酒店或向美国的某人发送电子邮件时,就会出现这种情况。用于灾难恢复的备份和大多数其他原因都不是必要的。
在所有其他情况下,如果你得到用户的明确和知情同意,你仍然可以向美国等国家发送数据。这意味着用户已经被告知将数据发送到美国的所有可能风险,以及谁可以访问数据(例如美国政府)。
这对谷歌分析和谷歌标签管理器用户有何影响
如果你的网站使用谷歌分析在美国,最保险的做法是放弃立即停用它.否则,你必须征求同意所有访问你网站的人告知他们,这些数据将在美国按照不太严格的隐私法进行处理,并承担所有相关风险.如果你不这样做,你可能会触犯隐私法面临罚款因为没有遵守GDPR。这也适用于谷歌标签管理器,因为它将IP地址转移到美国,根据GDPR,这被视为个人数据。
同意需要:
- 自由给予(用户必须有权选择不给予同意,并且可以随时选择退出)
- 知情(您需要披露谁在处理数据、处理什么数据、数据将存储在哪里以及如何选择退出)
- 特定(同意仅适用于特定的知情目的)
- 明确(例如,不允许预先打勾的方框或类似内容)
如果用户没有给予您同意,您不允许使用谷歌Analytics或任何其他基于美国的云解决方案跟踪他们.
2020年8月19日更新
判决后一个月,针对继续通过谷歌Analytics或Facebook向美国发送数据的网站,已有100多起投诉,由欧洲隐私保护组织noyb发起。很明显,谷歌和Facebook受FISA 702等美国监控法律的管辖,法院明确裁定这些公司不能依赖scc向美国传输数据。任何仍在使用谷歌Analytics的人现在都有面临罚款和赔偿损失的风险.