Nationalt Genom Center indstilles til bøde

Dato: 25-03-2022

Datatilsynet anmelder Nationalt Genom Center til politiet og indstiller til en bøde på 50.000 kr. Tilsynet vurderer, at centeret har overtrådt reglerne i GDPR ved at påbegynde behandlingen af oplysninger uden at foretage høring af Datatilsynet.

Datatilsynet modtog den 9. december 2021 en konsekvensanalyse vedrørende databeskyttelse (DPIA) fra Nationalt Genom Center (NGC), som behandler oplysninger om gensekventering. Det fremgik af konsekvensanalysen, at NGC efter at have påbegyndt behandlingen var blevet gjort opmærksom på, forhold der kan udgøre en høj risiko for de registreredes rettigheder.  

Efter en indledende undersøgelse af sagen nedlagde Datatilsynet den 13. januar 2022 et midlertidigt forbud mod yderligere indsamling af personoplysninger og en begrænsning i behandlingerne af de allerede indsamlede oplysninger til udelukkende at omfatte opbevaring. Forbuddet og behandlingsbegrænsningen skulle gælde, indtil NGC havde opfyldt reglerne om indholdet af en DPIA, og indtil der forelå en udtalelse fra Datatilsynet, hvis dette var påkrævet. Datatilsynet forbeholdt sig retten til senere at benytte alle sine beføjelser ift. en eventuel sanktion.

I perioden efter den 9. december 2021 fremlagde NGC – efter rådgivning og dialog med Datatilsynet – yderligere dokumentation og foretog revision af dele af det allerede fremsendte materiale.

Brud på reglerne om høring af Datatilsynet

Efter en gennemgang af sagen finder Datatilsynet, at NGC ikke har ageret i overensstemmelse med reglerne, da de har påbegyndt en behandling af personoplysninger uden at høre Datatilsynet, selv om deres egen konsekvensanalyse viste, at der var en høj risiko for de registreredes rettigheder.

Datatilsynet har lagt vægt på, at NGC’s beskrivelse af konsekvens og sandsynlighed samt beskrivelsen af produktets risiko burde have fået NGC til at konstatere, at der bestod risikoscenarier i den kategori, NGC selv benævnte ”høj”, der indeholdt en høj restrisiko, som ikke var nedbragt.

Datatilsynet har lagt særlig vægt på, at NGC’s egen beskrivelse af den eksisterende restrisiko i store træk var enslydende med ordlyden af, hvad der på europæisk plan betegnes som en høj risiko (se Artikel 29-Gruppens retningslinje WP248, rev. 01, fra oktober 2017). Herudover er det generelt Datatilsynets opfattelse, at der ved de allermest indgribende konsekvenser for de registrerede kun kan tåles en meget begrænset sandsynlighed for realisering, før der samlet set er tale om en høj risiko.

Hvorfor politianmeldelse?

Datatilsynet foretager altid en konkret vurdering af sagens grovhed ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den mest hensigtsmæssige.

Ved indstillingen til politiet har Datatilsynet bl.a. lagt vægt på den høje kvalitet af risikoarbejdet hos NGC og på NGC’s meget aktive medvirken til sagens oplysning, hvilket har nedbragt sagsbehandlingstiden væsentligt.

”Vi ser med stor alvor på denne sag, fordi den handler om det grundlæggende princip, at hvis en organisations behandling af personoplysninger vil udgøre en høj risiko for de personer, det handler om, så skal organisationen arbejde med risikoen og nedbringe den, før den går i gang med at behandle oplysningerne, ” forklarer Allan Frank, it-sikkerhedsspecialist og jurist i Datatilsynet, og fortsætter:

”Hvis organisationen ikke har kunnet nedbringe risikoen ved at gennemføre konsekvensanalysen, skal Datatilsynet høres først for at sikre, at behandlingen er lovlig, og at den dataansvarlige har identificeret alle nødvendige risici og nedbragt risikoen. Der er med andre ord tale om en væsentlig retssikkerhedsmæssig garanti for borgernes rettigheder. Hvis man tilsidesætter den, underminerer man Datatilsynets muligheder for at få kendskab til og kontrollere lovligheden af behandlinger, der indebærer en stor risiko for de personer, hvis oplysninger bliver behandlet.”

Vil du vide mere?

Læs mere om konsekvensanalyser.

Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83.

Fakta

Bødestraffe for brud på GDPR

Det fremgår af GDPR, at tilsynsmyndighederne skal kunne give bøder ved brud på databeskyttelsesreglerne. En bøde skal være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

I de fleste europæiske lande kan de nationale datatilsyn selv udstede administrative bøder, men reglerne er anderledes i bl.a. Danmark. Her fungerer det på den måde, at Datatilsynet efter at have belyst og vurderet sagen politianmelder den dataansvarlige. Herefter undersøger politiet, om der er grundlag for at rejse en sigtelse mv., og endelig vil en eventuel bødestraf blive afgjort ved en domstol.

Offentlige myndigheder

Det er nationalt reguleret, om det skal være muligt at give bøder til offentlige myndigheder. I Danmark har man fastsat i databeskyttelsesloven, at offentlige myndigheder skal kunne straffes på samme måde som private aktører. Bødelofterne for alle offentlige myndigheder er dog lavere end dem, der gælder private virksomheder.

Se oversigt over GDPR-bøder her.