近日,欧洲数据保护机构(DPAs)发布两项裁定认定,两个网站将两家美国公司提供的cookies(Google Analytics和Stripe)置入欧盟网站访问者设备中的行为,涉嫌非法向美国转移个人数据。
两份裁定思路如下:
欧洲数据保护主管(EDPS)认为,即使用户不可识别或cookies“未被激活”,仍应认定cookies处理个人数据,个人数据可以通过cookies标识符转移;
奥地利数据保护机构(DPA)认为cookies标识符本身就是个人数据。其次,EDPS认为个人数据是由位于美国的实体网站处理的,因此个人数据被转移到了美国;DPA也认为个人数据被转移到了美国,因此,需要满足除GDPR第46条规定的保障措施之外的“补充措施”, DPA还表示,补充措施必须“消除美国情报机构监视和获取(个人数据)的可能性”。EDPS与DPA都认为两个网站都未满足补充措施的条件。最后,EDPS与DPA根据《通用数据保护条例》(GDPR),要求网络服务商提供删除或禁止使用cookies。