瑞典隱私保護局(IMY)最近對兩家公司處以了約100萬歐元的罰款,原因是其使用谷歌工具向美國傳輸了個人數據。據瑞典隱私保護局官網公告,其共對四家公司使用Google Analytics的情況進行了審計調查,最后對其中兩家公司處以了行政罰款。
瑞典隱私保護局解釋稱,這些公司使用Google Analytics生成網絡統計數據,違反了歐盟的《通用數據保護條例》(GDPR)。具體而言,這些公司違反的是GDPR第46(1)條,該條禁止將個人數據傳輸至缺乏安全保障和法律補救機制的國家或國際組織。
據了解,Google Analytics是一種用于測量和分析網站流量的工具。瑞典隱私保護局在奧地利數字權利組織NOYB提出相關投訴后,對Google Analytics進行審計以確定它向美國發送的數據類型,最后得出結論其屬于個人信息。
“通過谷歌的統計工具傳輸到美國的數據是個人數據,因為這些數據可以與其他傳輸的唯一數據相關聯。” 瑞典隱私保護局還表示,這些公司采取的技術安全措施不足以確保與歐盟/歐洲經濟區內所保證的保護水平基本相當。
根據《通用數據保護條例》,如果歐洲委員會已確定某國具有與歐盟/歐洲經濟區內個人數據相當的充分保護水平,則個人數據允許轉移到該國(歐盟/歐洲經濟區以外的第三國)。然而,美國并不被視為具有此等充分保護水平的國家。
瑞典的電信和互聯網服務提供商Tele2 SA最近已自行停止使用Google Analytics,其他三家公司也被要求在決定公布后一個月內停止使用Google Analytics,并實施適當的數據保護措施。
在此之前,歐盟其他國家(如意大利、法國、奧地利)也曾對Google Analytics的使用作出限制規定,但對違規的公司處以罰款這是第一次。
負責審計這些公司的法律顧問Sandra Arvidsson表示:“通過瑞典隱私保護局對這些案件作出的決定,清楚地表明在將個人數據轉移到第三國(本例中為美國)時,對技術安全措施和其他措施的要求。” 他補充說:“本次判決不僅對這四家公司有影響,還對其他使用Google Analytics的組織具有指導意義。”
