Frankrike: CNIL publicerar hela beslutet om Google Analytics

Den franska dataskyddsmyndigheten Commission Nationale de l’Informatique et des Libertés (CNIL) har publicerat sitt fullständiga beslut att ålägga en icke namngiven fransk webbplatsoperatör att följa kapitel V i den allmänna dataskyddsförordningen (GDPR), efter att ha funnit att överföringar av personuppgifter till USA som genomförts genom användning av Google Analytics inte var förenliga med artikel 44 i GDPR. CNIL:s beslut kommer mot bakgrund av EU-domstolens dom i Schrems II-målet där domstolen ogiltigförklarat Privacy Shield (läs mer om detta här).

Utöver de slutsatser som CNIL tillkännagett i pressmeddelandet från den 10 februari 2022 framhåller myndigheten att webbplatsoperatören och Google LLC ingått standardavtalsklausuler (SCC) varför CNIL analyserat effektiviteten av denna skyddsåtgärd för överföring av personuppgifter till USA genom användning av Google Analytics. Enligt CNIL har Google, som mottagare av uppgifterna, vidtagit avtalsmässiga, organisatoriska och tekniska åtgärder för att komplettera de gemensamma standardavtalen. CNIL drog dock slutsatsen att ingen av dessa åtgärder var effektiva för att skydda mot USA:s underrättelseverksamhet.

CNIL avvisade dessutom webbplatsoperatörens påståenden om undantag från tillämpningen av kapitel V i GDPR. Enligt webbplatsoperatören kunde överföringen grundas på artikel 49.1 (a) GDPR, som föreskriver ett undantag baserat på den registrerades uttryckliga samtycke, men CNIL beslutade att användarens samtycke till placering av spårare under användarens besök på webbplatsen inte kan anses vara likvärdigt med att den registrerade uttryckligen samtyckt till att uppgifterna får överföras, efter att först ha blivit informerad om de eventuella riskerna med sådana överföringar för den registrerade när det inte föreligger något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder.

CNIL drog därför slutsatsen att webbplatsoperatören varken kunde åberopa SCC enligt artikel 46 GDPR eller något undantag enligt artikel 49 GDPR för att rättfärdiga överföringen av personuppgifter om webbplatsbesökare till USA. CNIL fann därför att webbplatsoperatören brutit mot artikel 44 GDPR och beordrade webbplatsoperatören att göra sin behandling förenlig med reglerna i dataskyddsförordningen inom en månad efter det att beslutet meddelats, vid behov genom att upphöra med att använda Google Analytics (enligt de nuvarande villkoren) eller genom att använda ett verktyg som inte innebär överföring av personuppgifter utanför EU.

Mer information

Myndighet: Commission Nationale de l’Informatique et des Libertés (CNIL)

Land: Frankrike

Lagrum: Art. 44 GDPR, art. 46 GDPR, art. 49 GDPR. kap.V GDPR

Sanktionsavgift: N/A

Mottagare: N/A

Beslutsnummer: N/A

Beslutsdatum: N/A

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.