Nationalt Genom Center indstilles til bøde

Dato: 25-03-2022

Datatilsynet anmelder Nationalt Genom Center til politiet og indstiller til en bøde på 50.000 kr. Tilsynet vurderer, at centeret har overtrådt reglerne i GDPR ved at påbegynde behandlingen af oplysninger uden at foretage høring af Datatilsynet.

Datatilsynet modtog den 9. december 2021 en konsekvensanalyse vedrørende databeskyttelse (DPIA) fra Nationalt Genom Center (NGC), som behandler oplysninger om gensekventering. Det fremgik af konsekvensanalysen, at NGC efter at have påbegyndt behandlingen var blevet gjort opmærksom på, forhold der kan udgøre en høj risiko for de registreredes rettigheder.  

Efter en indledende undersøgelse af sagen nedlagde Datatilsynet den 13. januar 2022 et midlertidigt forbud mod yderligere indsamling af personoplysninger og en begrænsning i behandlingerne af de allerede indsamlede oplysninger til udelukkende at omfatte opbevaring. Forbuddet og behandlingsbegrænsningen skulle gælde, indtil NGC havde opfyldt reglerne om indholdet af en DPIA, og indtil der forelå en udtalelse fra Datatilsynet, hvis dette var påkrævet. Datatilsynet forbeholdt sig retten til senere at benytte alle sine beføjelser ift. en eventuel sanktion.

I perioden efter den 9. december 2021 fremlagde NGC – efter rådgivning og dialog med Datatilsynet – yderligere dokumentation og foretog revision af dele af det allerede fremsendte materiale.

Brud på reglerne om høring af Datatilsynet

Efter en gennemgang af sagen finder Datatilsynet, at NGC ikke har ageret i overensstemmelse med reglerne, da de har påbegyndt en behandling af personoplysninger uden at høre Datatilsynet, selv om deres egen konsekvensanalyse viste, at der var en høj risiko for de registreredes rettigheder.

Datatilsynet har lagt vægt på, at NGC’s beskrivelse af konsekvens og sandsynlighed samt beskrivelsen af produktets risiko burde have fået NGC til at konstatere, at der bestod risikoscenarier i den kategori, NGC selv benævnte ”høj”, der indeholdt en høj restrisiko, som ikke var nedbragt.

Datatilsynet har lagt særlig vægt på, at NGC’s egen beskrivelse af den eksisterende restrisiko i store træk var enslydende med ordlyden af, hvad der på europæisk plan betegnes som en høj risiko (se Artikel 29-Gruppens retningslinje WP248, rev. 01, fra oktober 2017). Herudover er det generelt Datatilsynets opfattelse, at der ved de allermest indgribende konsekvenser for de registrerede kun kan tåles en meget begrænset sandsynlighed for realisering, før der samlet set er tale om en høj risiko.

Hvorfor politianmeldelse?

Datatilsynet foretager altid en konkret vurdering af sagens grovhed ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den mest hensigtsmæssige.

Ved indstillingen til politiet har Datatilsynet bl.a. lagt vægt på den høje kvalitet af risikoarbejdet hos NGC og på NGC’s meget aktive medvirken til sagens oplysning, hvilket har nedbragt sagsbehandlingstiden væsentligt.

”Vi ser med stor alvor på denne sag, fordi den handler om det grundlæggende princip, at hvis en organisations behandling af personoplysninger vil udgøre en høj risiko for de personer, det handler om, så skal organisationen arbejde med risikoen og nedbringe den, før den går i gang med at behandle oplysningerne, ” forklarer Allan Frank, it-sikkerhedsspecialist og jurist i Datatilsynet, og fortsætter:

”Hvis organisationen ikke har kunnet nedbringe risikoen ved at gennemføre konsekvensanalysen, skal Datatilsynet høres først for at sikre, at behandlingen er lovlig, og at den dataansvarlige har identificeret alle nødvendige risici og nedbragt risikoen. Der er med andre ord tale om en væsentlig retssikkerhedsmæssig garanti for borgernes rettigheder. Hvis man tilsidesætter den, underminerer man Datatilsynets muligheder for at få kendskab til og kontrollere lovligheden af behandlinger, der indebærer en stor risiko for de personer, hvis oplysninger bliver behandlet.”

Vil du vide mere?

Læs mere om konsekvensanalyser.

Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83.

Kan jeg få aktindsigt i sagen?

Retten til aktindsigt omfatter ikke sager inden for strafferetsplejen. Man kan derfor som klart udgangspunkt ikke få aktindsigt i sagen eller sagens dokumenter.

Læs mere om aktindsigt i straffesager her

Opdatering

Sådan er det gået med sagen

Sagen er afgjort den 26. april 2024 med et bødeforelæg på 50.000 kr. til Nationalt Genom Center.

Fakta

Bødestraffe efter GDPR

I de fleste europæiske lande kan de nationale datatilsynsmyndigheder selv udstede administrative bøder for overtrædelse af de fælles europæiske regler i databeskyttelsesforordningen (GDPR). I Danmark skal bødestraffe efter forordningen indtil videre afgøres ved domstolene.  

Datatilsynet kan indstille både private aktører og offentlige myndigheder til bødestraf. I forbindelse med anmeldelsen af sagen til politiet vurderer Datatilsynet bødens størrelse, og det er herefter op til politi og anklagemyndighed at rejse tiltale og føre straffesagen ved domstolene.

En bøde skal efter reglerne være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Datatilsynet inddrager derfor en række hensyn og afvejninger i både skærpende og formildende retning, når tilsynet udtaler sig om bødens størrelse. Du kan læse mere om, hvad Datatilsynet lægger vægt på i de vejledninger om bødefastsættelse, som tilsynet har udarbejdet i samarbejde med Rigspolitiet og Rigsadvokaten, samt i Det Europæiske Databeskyttelsesråds vejledning om bødefastsættelse. 

Det er forudsat i reglerne, at bødeniveauet for offentlige myndigheder generelt er lavere end for private aktører.

Se en oversigt over bødeindstillinger efter GDPR