ニュース

CJEUは、米国のクラウドサーバーがGDPRに準拠していないこと、およびこれがWeb分析にとって意味することを規定しています

2020年07月27日 トピックス ニュース

速報:2020年7月16日、欧州連合司法裁判所(CJEU)は、米国でホストされているクラウドサービスは、GDPRおよびEUのプライバシー法に準拠できないと判決を下しました。

2016年8月、EU-USプライバシーシールドフレームワークが施行されました。これは、個人データが商用目的で米国に転送されるEU内のすべての人の基本的な権利を保護します。これにより、プライバシーシールドの下で米国で認定された企業にデータを自由に転送できます。」 –欧州委員会のウェブサイト

ただし、本日のCJEU判決後、EUと米国のプライバシー法が大きく異なるため、このプライバシーシールドフレームワークは無効になりました。

欧州のプライバシー法の活動家であるマックスシュレムスは、次のようにまとめています。「裁判所は、EUのプライバシー法と米国の監視法との間に衝突があることを2度目に明らかにしました。EUはNSAを満たす基本的な権利を変更しないため、この衝突を克服する唯一の方法は、米国が外国人を含むすべての人々に堅固なプライバシー権を導入することです。そのため、監視の改革はシリコンバレーのビジネス上の利益にとって重要になります。」 – noybウェブサイト

今日の判決はまた、米国に拠点を置くクラウドサーバーでホストされている場合、人々の個人データを完全に保護しない米国のプライバシー法の正当性に対する懸念を引き起こし続けています。

これはあなたにどのように影響するのか?

EUでWebサイトを運営している企業の場合、またはEUの訪問者からWebサイトにアクセスするトラフィックがある場合は、キャプチャしているデータと、このデータが保存されている場所を知る必要があります。

ソース: noyb ウェブサイト

CJEUがプライバシーシールドフレームワークを無効にすることで、世界中に顧客を引き付けながら米国にサーバーを配置しているGoogleやMicrosoftなどの大規模なソフトウェア企業のプライバシー基準にさらに挑戦しています。

私たちの理解から、これらの企業は、これらの米国のクラウドサーバーでEUデータを処理し続けると、継続的で重い罰金に直面することになります。

これがGoogle Analyticsユーザーに与える影響

ウェブサイトでGoogleアナリティクスなどのツールを使用して個人データを追跡している場合は、ウェブサイトにアクセスするすべての人に同意を求める必要があります。そうしないと、プライバシー法の違反につながる可能性があり、GDPRに準拠しなかった場合は罰金を科される可能性があります。

同意する必要があります:

  • 自由に与えられる(ユーザーは同意を与えず、いつでもオプトアウトできる選択肢を持っている必要があります)
  • 通知済み(誰がデータを処理しているか、どのデータが処理されているか、どのようにオプトアウトするかを開示する必要があります)
  • 特定(同意は特定の情報に基づく目的に対してのみ有効です)
  • 明確(たとえば、事前にチェックされたボックスなどは許可されていません)

ユーザーが同意しない場合、Googleアナリティクスやその他の米国ベースのクラウドソリューションを使用してユーザーを追跡することはできません。

Matomoユーザー向け

我々のクラウドサーバーはドイツを拠点としているため、これらの決定は影響しません。 Matomoオンプレミスユーザーは、自分でデータの場所を選択します。サーバーがEU内にある場合、何も変わりません。サーバーがEU圏外にあり、ウェブサイトがEUユーザーをターゲットにして個人データを追跡している場合は、追跡の同意を求める必要があるかどうかを評価する必要があります。

データがEU内に保存されている場合は、同意を求めずにMatomoを使用でき、ユーザーが同意画面を拒否してデータの品質を大幅に向上させても、ユーザーを追跡し続けることができます。