Datatilsynet har tittat närmare på Google Analytics-verktyget, dess inställningar och villkoren under vilka verktyget levereras. På grundval av denna granskning drar Datatilsynet slutsatsen att verktyget inte kan användas lagligt utan vidare. Laglig användning kräver implementering av ett antal ytterligare åtgärder utöver de inställningar som tillhandahålls av Google.
Bakgrunden till Datatilsynets slutsats är att den österrikiska dataskyddsmyndigheten Datenschutzbehörde (DSB) i januari 2022 fattat ett beslut om användningen av Google Analytics. Sedan dess har DSB fattat ytterligare ett beslut om användningen av verktyget, precis som den franska datatillsynsmyndigheten Commission Nationale de l’Informatique et des Libertés (CNIL) också har fattat flera beslut. Även den italienska dataskyddsmyndigheten Garante per la protezione dei dati personali (Garante) fattade ett beslut om verktyget i juni 2022. I samtliga fall fann tillsynsmyndigheterna att användningen av Google Analytics inte var laglig under de givna omständigheterna.
Även om varje ärende har avgjorts individuellt av den tillsynsmyndighet som tog emot det ursprungliga klagomålet, återspeglar besluten enligt Datatilsynet en gemensam europeisk strategi bland tillsynsmyndigheterna. Enligt Datatilsynet är det avgörande för både de organisationer som behandlar personuppgifter och de medborgare vars personuppgifter står på spel att de gemensamma EU-reglerna tolkas på samma sätt i hela EU/EES. De inlämnade klagomålen har enligt Datatilsynet haft exakt samma innehåll och ärendena har därför behandlats tillsammans i en arbetsgrupp under Europeiska dataskyddsstyrelsens (EDPB) överseende. Här har man diskuterat de rättsliga frågorna och hur man reagerar på dem.
Det faktum att ärendena återspeglar ett gemensamt europeiskt tillvägagångssätt bland tillsynsmyndigheterna innebär också att Datatilsynet i ett konkret fall med liknande omständigheter kommer att nå samma resultat som våra europeiska kolleger.
Organisationer i Danmark som använder Google Analytics måste därför enligt Datatilsynet bedöma om deras fortsatta användning av verktyget ligger inom ramen för dataskyddsreglerna. Om så inte är fallet har organisationen en skyldighet att antingen legalisera sin användning av verktyget eller, om nödvändigt, sluta använda verktyget.