Den franska dataskyddsmyndigheten Commission Nationale de l’Informatique et des Libertés (CNIL) har publicerat sitt fullständiga beslut att ålägga en icke namngiven fransk webbplatsoperatör att följa kapitel V i den allmänna dataskyddsförordningen (GDPR), efter att ha funnit att överföringar av personuppgifter till USA som genomförts genom användning av Google Analytics inte var förenliga med artikel 44 i GDPR. CNIL:s beslut kommer mot bakgrund av EU-domstolens dom i Schrems II-målet där domstolen ogiltigförklarat Privacy Shield (läs mer om detta här).
Utöver de slutsatser som CNIL tillkännagett i pressmeddelandet från den 10 februari 2022 framhåller myndigheten att webbplatsoperatören och Google LLC ingått standardavtalsklausuler (SCC) varför CNIL analyserat effektiviteten av denna skyddsåtgärd för överföring av personuppgifter till USA genom användning av Google Analytics. Enligt CNIL har Google, som mottagare av uppgifterna, vidtagit avtalsmässiga, organisatoriska och tekniska åtgärder för att komplettera de gemensamma standardavtalen. CNIL drog dock slutsatsen att ingen av dessa åtgärder var effektiva för att skydda mot USA:s underrättelseverksamhet.
CNIL avvisade dessutom webbplatsoperatörens påståenden om undantag från tillämpningen av kapitel V i GDPR. Enligt webbplatsoperatören kunde överföringen grundas på artikel 49.1 (a) GDPR, som föreskriver ett undantag baserat på den registrerades uttryckliga samtycke, men CNIL beslutade att användarens samtycke till placering av spårare under användarens besök på webbplatsen inte kan anses vara likvärdigt med att den registrerade uttryckligen samtyckt till att uppgifterna får överföras, efter att först ha blivit informerad om de eventuella riskerna med sådana överföringar för den registrerade när det inte föreligger något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder.
CNIL drog därför slutsatsen att webbplatsoperatören varken kunde åberopa SCC enligt artikel 46 GDPR eller något undantag enligt artikel 49 GDPR för att rättfärdiga överföringen av personuppgifter om webbplatsbesökare till USA. CNIL fann därför att webbplatsoperatören brutit mot artikel 44 GDPR och beordrade webbplatsoperatören att göra sin behandling förenlig med reglerna i dataskyddsförordningen inom en månad efter det att beslutet meddelats, vid behov genom att upphöra med att använda Google Analytics (enligt de nuvarande villkoren) eller genom att använda ett verktyg som inte innebär överföring av personuppgifter utanför EU.