Datatilsynet modtog den 9. december 2021 en konsekvensanalyse vedrørende databeskyttelse (DPIA) fra Nationalt Genom Center (NGC), som behandler oplysninger om gensekventering. Det fremgik af konsekvensanalysen, at NGC efter at have påbegyndt behandlingen var blevet gjort opmærksom på, forhold der kan udgøre en høj risiko for de registreredes rettigheder.

Efter en indledende undersøgelse af sagen nedlagde Datatilsynet den 13. januar 2022 et midlertidigt forbud mod yderligere indsamling af personoplysninger og en begrænsning i behandlingerne af de allerede indsamlede oplysninger til udelukkende at omfatte opbevaring. Forbuddet og behandlingsbegrænsningen skulle gælde, indtil NGC havde opfyldt reglerne om indholdet af en DPIA, og indtil der forelå en udtalelse fra Datatilsynet, hvis dette var påkrævet. Datatilsynet forbeholdt sig retten til senere at benytte alle sine beføjelser i forhold til en eventuel sanktion.

I perioden efter den 9. december 2021 fremlagde NGC – efter rådgivning og dialog med Datatilsynet – yderligere dokumentation og foretog revision af dele af det allerede fremsendte materiale.

Brud på reglerne om høring af Datatilsynet

Efter en gennemgang af sagen finder Datatilsynet, at NGC ikke har ageret i overensstemmelse med reglerne, da de har påbegyndt en behandling af personoplysninger uden at høre Datatilsynet, selv om deres egen konsekvensanalyse viste, at der var en høj risiko for de registreredes rettigheder.

Datatilsynet har lagt vægt på, at NGC’s beskrivelse af konsekvens og sandsynlighed samt beskrivelsen af produktets risiko burde have fået NGC til at konstatere, at der bestod risikoscenarier i den kategori, NGC selv benævnte ”høj”, der indeholdt en høj restrisiko, som ikke var nedbragt.

Datatilsynet har lagt særlig vægt på, at NGC’s egen beskrivelse af den eksisterende restrisiko i store træk var enslydende med ordlyden af, hvad der på europæisk plan betegnes som en høj risiko (se Artikel 29-Gruppens retningslinje WP248, rev. 01, fra oktober 2017). Herudover er det generelt Datatilsynets opfattelse, at der ved de allermest indgribende konsekvenser for de registrerede kun kan tåles en meget begrænset sandsynlighed for realisering, før der samlet set er tale om en høj risiko.

Hvorfor politianmeldelse?

Datatilsynet foretager altid en konkret vurdering af sagens grovhed ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den mest hensigtsmæssige.

Ved indstillingen til politiet har Datatilsynet bl.a. lagt vægt på den høje kvalitet af risikoarbejdet hos NGC og på NGC’s meget aktive medvirken til sagens oplysning, hvilket har nedbragt sagsbehandlingstiden væsentligt.

- Vi ser med stor alvor på denne sag, fordi den handler om det grundlæggende princip, at hvis en organisations behandling af personoplysninger vil udgøre en høj risiko for de personer, det handler om, så skal organisationen arbejde med risikoen og nedbringe den, før den går i gang med at behandle oplysningerne, forklarer Allan Frank, it-sikkerhedsspecialist og jurist i Datatilsynet, og fortsætter:

- Hvis organisationen ikke har kunnet nedbringe risikoen ved at gennemføre konsekvensanalysen, skal Datatilsynet høres først for at sikre, at behandlingen er lovlig, og at den dataansvarlige har identificeret alle nødvendige risici og nedbragt risikoen. Der er med andre ord tale om en væsentlig retssikkerhedsmæssig garanti for borgernes rettigheder. Hvis man tilsidesætter den, underminerer man Datatilsynets muligheder for at få kendskab til og kontrollere lovligheden af behandlinger, der indebærer en stor risiko for de personer, hvis oplysninger bliver behandlet.