将欧盟数据存储在美国服务器不再符合GDPR

CJEU规定美国云服务器不符合GDPR,这对web分析意味着什么

最新消息:2020年7月16日,欧盟法院(CJEU)裁定,任何托管在美国的云服务都无法遵守GDPR和欧盟隐私法。

2016年8月,欧盟-美国隐私保护框架生效,该框架“保护欧盟境内个人数据出于商业目的传输到美国的任何人的基本权利。它允许向在美国通过隐私保护认证的公司免费传输数据。”欧盟委员会网站

然而,在今天CJEU的裁决之后,由于欧盟和美国隐私法的显著差异,隐私保护框架失效。

欧洲隐私法活动家马克斯·施雷姆斯总结道:“法院现在第二次澄清了欧盟隐私法和美国监视法之间的冲突。由于欧盟不会为了取悦美国国家安全局而改变其基本权利,美国克服这场冲突的唯一方法是为所有人——包括外国人——引入坚实的隐私权。因此,监管改革对硅谷的商业利益至关重要。”- - -noyb网站

今天的裁决还继续引发人们对美国隐私法合法性的担忧。美国隐私法在基于美国的云服务器上托管个人数据时没有充分保护人们的个人数据。

美国云服务器上的网络分析不符合GDPR

这会对你有什么影响?

对于在欧盟运营网站的任何企业,或者如果您的网站有来自欧盟访问者的流量,您需要知道您正在捕获哪些数据以及这些数据存储在何处。

以下是Maja Smolczyk(柏林数据保护和信息自由专员)的话:

将个人数据转移到美国的管制员,尤其是使用云计算服务的管制员,现在被禁止将个人数据转移到美国要求立即转向总部位于欧盟或某个国家的服务提供商,以确保足够的数据保护水平。CJEU明确表示,数据输出不仅仅是财务决策,人们的基本权利也必须作为优先事项考虑。这项裁决将结束个人资料向美国的转移为了方便或降低成本。

控制者是你(不是谷歌),通过将数据传输到美国你有风险因不遵守GDPR而被罚款2000万欧元或全球年营业额的4%。

你必须采取行动,而不是谷歌或其他美国公司。法院的判决已经生效直接的影响. 虽然我们假设会有一个宽限期,但公司现在应该采取行动,因为寻找和实施替代方案可能需要一段时间。

难道数据再也不能输出到欧盟以外了吗?

如果保证了足够的数据保护水平,数据仍然可以出口到欧盟以外。新西兰、日本、瑞士和加拿大等欧盟的一些贸易伙伴就是这样。他们已经经欧盟认证具有可比的隐私保护水平,因此在国家一级证明其充分性。

必要的数据仍然可以流向美国等国家。例如,当某人在美国预订酒店或向美国某人发送电子邮件时,就会出现这种情况。用于灾难恢复和大多数其他原因的备份不符合要求。

在所有其他情况下,如果获得用户明确和知情的同意,您仍然可以向美国等国家发送数据。这意味着用户已被告知向美国发送数据的所有可能风险,以及谁可以访问数据(例如美国政府)。

这对Google Analytics和Google Tag Manager用户的影响

如果您的网站正在使用谷歌分析,最安全的赌注是立即停用它. 否则你必须征得同意来自访问您的网站和告知他们,数据将在美国根据不太严格的隐私法和所有相关风险进行处理.如果你不这么做,你可能会触犯隐私法面临罚款不符合GDPR。这也适用于谷歌标签管理器,因为它将IP地址转移到美国,这在GDPR下被视为个人数据。

同意需要:

  • 自由给予(用户必须选择不给予同意,并且可以随时选择退出)
  • 知情(您需要披露谁在处理数据、处理了哪些数据、数据将存储在何处以及如何选择退出)
  • 特定(同意仅对特定知情目的有效)
  • 明确的(例如不允许预先打勾的框或类似的)
符合GDPR的Web分析

如果用户不同意,则不允许您使用谷歌分析或任何其他基于美国的云解决方案跟踪他们

2020年8月19日更新

在这项裁决一个月后,超过100起投诉针对网站继续通过谷歌Analytics或Facebook向美国发送数据,由欧洲隐私运动组织noyb发起。很明显,谷歌和Facebook属于美国监控法律,如FISA 702,法院明确规定这些公司不能依赖scc向美国传输数据。任何仍在使用谷歌分析的人现在都有面临罚款和赔偿损失的风险

这对Matomo用户的影响

我们的云服务器位于德国

Matomo内亚博账号每天2000元出租部用户自己选择数据的位置。如果服务器位于欧盟,则不会有任何改变。如果服务器位于欧盟以外,而网站的目标是欧盟用户并跟踪个人数据,那么你需要评估是否需要您请求跟踪同意。

如果数据存储在欧盟内部,您可以使用88亚博 您可以继续跟踪用户,即使他们拒绝同意屏幕,这将大大提高您的数据质量。

想要避免告知用户将他们的数据转移到美国和所有相关风险?

现在免费试用Matomo吧!不需要信用卡。

分享这篇文章

在facebook上分享
在twitter上分享
在linkedin上分享
打印共享
共享电子邮件