Nationalt Genom Center indstilles til bøde for manglende høring af Datatilsynet ved høj risiko behandling

Datatilsynet behandlede en sag, hvor Nationalt Genom Center (NGC) havde foretaget behandling af personoplysninger om gensekventering. Datatilsynet modtog en konsekvensanalyse vedrørende databeskyttelse (DPIA) fra NGC, der viste, at der kunne være en høj risiko for de registreredes rettigheder.

Efter en indledende undersøgelse nedlagde Datatilsynet et midlertidigt forbud mod yderligere indsamling af personoplysninger og begrænsede behandlingen af allerede indsamlede oplysninger til opbevaring. Dette forbud gjaldt, indtil NGC opfyldte reglerne om indholdet af en DPIA, og Datatilsynet havde afgivet en udtalelse.

I perioden efter fremlagde NGC yderligere dokumentation og reviderede dele af det allerede fremsendte materiale efter rådgivning og dialog med Datatilsynet.

Manglende overholdelse af regler om høring

Datatilsynet fandt, at NGC havde påbegyndt behandling af personoplysninger, uden at høre Datatilsynet, selvom deres egen konsekvensanalyse indikerede en høj risiko for de registreredes rettigheder. Datatilsynet vurderede, at NGC’s beskrivelse af konsekvens og sandsynlighed samt beskrivelsen af produktets risiko burde have fået NGC til at konstatere, at der bestod risikoscenarier i den kategori, NGC selv benævnte ”høj”, der indeholdt en høj restrisiko, som ikke var nedbragt.

Datatilsynet lagde vægt på, at NGC’s egen beskrivelse af den eksisterende restrisiko var enslydende med definitionen af en høj risiko, som den er beskrevet i Artikel 29-Gruppens retningslinje WP248. Datatilsynet bemærkede, at ved de mest indgribende konsekvenser for de registrerede kan der kun accepteres en meget begrænset sandsynlighed for realisering, før der samlet set er tale om en høj risiko.

Indstilling til bøde og politianmeldelse

Datatilsynet har besluttet at indstille Nationalt Genom Center (NGC) til en bøde og har foretaget en politianmeldelse. Denne beslutning er truffet, fordi NGC har påbegyndt en behandling af personoplysninger, der udgjorde en høj risiko for de registrerede, uden at have konsulteret Datatilsynet forinden.

Datatilsynet har ved vurderingen lagt vægt på:

• NGC’s høje kvalitet af risikoarbejdet.
• NGC’s aktive medvirken til sagens oplysning, hvilket har nedbragt sagsbehandlingstiden væsentligt.

Datatilsynet understreger, at det er et grundlæggende princip, at organisationer skal arbejde med at nedbringe risikoen, før de behandler oplysninger, der udgør en høj risiko. Hvis risikoen ikke kan nedbringes, skal Datatilsynet høres først for at sikre, at behandlingen er lovlig, og at den dataansvarlige har identificeret og nedbragt alle nødvendige risici. Tilsidesættelse af denne procedure underminerer Datatilsynets muligheder for at kontrollere lovligheden af behandlinger, der indebærer en stor risiko for de personer, hvis oplysninger behandles.