Efter att ha mottagit klagomål från noyb har den franska dataskyddsmyndigheten Commission Nationale de l’Informatique et des Libertés (CNIL) i samarbete med sina europeiska motsvarigheter analyserat villkoren för överföring av uppgifter som samlas in via analysverktyget Google Analytics till USA. CNIL:s slutsats är att dessa överföringar är olagliga varför myndigheten beordrar en fransk webbplatsinnehavare att följa reglerna i dataskyddsförordningen (GDPR) och om nödvändigt, att sluta använda Google Analytics.
Google Analytics är en tjänst som kan integreras av webbplatser, till exempel för att mäta antalet besök av webbplatsanvändare. I detta sammanhang tilldelas varje besökare en unik identifierare. Denna identifierare som utgör personuppgifter, och de tillhörande uppgifterna överförs av Google till USA.
CNIL har mottagit flera klagomål från organisationen noyb om överföring av personuppgifter som samlats in vid besök på webbplatser med hjälp av Google Analytics till USA. Sammanlagt har noyb lämnat in 101 klagomål i 27 EU-medlemsstater och de tre EES-staterna personuppgiftsansvariga som påståtts ha överfört personuppgifter till USA (läs mer om detta här).
CNIL har i samarbete med sina europeiska motsvarigheter nu analyserat de villkor under vilka uppgifter som samlats in genom användning av Google Analytics överförts till USA och de risker som de berörda personerna utsatts för. Syftet med analysen är att kollektivt dra konsekvenserna av EU-domstolens dom i Schrems II-målet där domstolen ogiltigförklarat Privacy Shield (läs mer om detta här).
Enligt CNIL är överföringar till USA för närvarande inte tillräckligt reglerade. I avsaknad av ett beslut om adekvat skyddsnivå (som skulle fastställa att ett tredjeland erbjuder en tillräcklig nivå av skydd med avseende på GDPR) för överföringar till USA kan överföringen av uppgifter endast ske om lämpliga garantier ges. CNIL konstaterar dock att detta inte är fallet. Även om Google har vidtagit ytterligare åtgärder för att reglera överföringar i samband med användning av Google Analytics är dessa åtgärder inte tillräckliga för att utesluta att amerikanska underrättelsetjänster kan få tillgång till webbplatsanvändares uppgifter. Det finns därför en risk enligt CNIL att franska webbplatsanvändare som använder Google Analytics exponeras för denna övervakning.
CNIL konstaterar därför att webbplatsanvändares uppgifter överförs till USA i strid med artikel 44 GDPR och följande artiklar i dataskyddsförordningen. Den aktuella webbplatsinnehavaren ska därmed se till att behandlingen av franska webbplatsanvändares uppgifter överensstämmer med reglerna i dataskyddsförordningen, och vid behov sluta att använda Google Analytics. Webbplatsinnehavaren i fråga har en månad på sig för att uppfylla kraven.
När det gäller tjänster för mätning och analys av webbplatsers användare rekommenderar CNIL att dessa verktyg endast ska användas för att ta fram anonyma statistiska uppgifter, vilket möjliggör ett undantag från samtycke om den personuppgiftsansvarige säkerställer att det inte sker några olagliga tredjelandsöverföringar. Enligt CNIL har myndigheten inlett ett utvärderingsprogram för att fastställa vilka lösningar som är undantagna från samtycke.
CNIL har även utfärdat andra förelägganden om att webbplatsinnehavare som använder Google Analytics ska följa reglerna i GDPR. CNIL:s utredning omfattar även andra verktyg som används av webbplatser och som leder till att uppgifter om europeiska webbplatsanvändare överförs till USA. Enligt CNIL kan korrigerande åtgärder i detta avseende komma att antas inom en snar framtid.