Datatilsynet har beslutat att polisanmäla National Genome Center (NGC) då myndigheten bedömer att centret brutit mot reglerna i dataskyddsförordningen (GDPR) genom att påbörja behandlingen av information utan att ha rådfrågat Datatilsynet. Datatilsynet rekommenderar böter på 50 000 danska kronor.
Den 9 december 2021 fick Datatilsynet en konsekvensbedömning avseende dataskydd (DPIA) från NGC som behandlar information om gensekvensering. Konsekvensbedömningen visade att NGC, efter att behandlingen inletts, fått kännedom om förhållanden som kunde utgöra en hög risk för de registrerades rättigheter.
Efter en inledande utredning av ärendet införde Datatilsynet den 13 januari 2022 ett tillfälligt förbud mot ytterligare insamling av personuppgifter och en begränsning av behandlingen av den information som redan samlats in till att endast omfatta lagring. Förbudet och behandlingsbegränsningen skulle gälla tills NGC följt reglerna om innehållet i en DPIA, och tills ett yttrande från Datatilsynet förelåg, om detta krävdes. Datatilsynet förbehöll sig rätten att senare använda alla sina befogenheter i samband med en eventuell sanktion.
Under tiden efter den 9 december 2021 har NGC, efter samråd och dialog med Datatilsynet, lämnat in ytterligare dokumentation och granskat delar av det redan inlämnade materialet. Efter en genomgång av ärendet konstaterar Datatilsynet att NGC inte har agerat i enlighet med reglerna, då de har börjat behandla personuppgifter utan att ha rådfrågat Datatilsynet, trots att deras egen konsekvensbedömning visade att det fanns en hög risk för registrerades rättigheter. Enligt Datatilsynet borde NGC:s beskrivning av bland annat konsekvenser produktens risk ha fått NGC att dra slutsatsen att det fanns riskscenarier i den kategori som NGC själv kallade ”hög”, som innehöll risker som inte minskats.
Datatilsynet har lagt särskild vikt vid att NGC:s egna beskrivning av den befintliga kvarstående risken i stort sett var identisk med formuleringen av vad som beskrivs som en hög risk på europeisk nivå. Dessutom anser Datatilsynet generellt att vid de mest långtgående konsekvenserna för de registrerade kan endast en mycket begränsad sannolikhet för realisering tolereras innan det föreligger en totalt sett hög risk.
Datatilsynet har i sin rekommendation till polisen bland annat framhållit den höga kvaliteten på riskarbetet vid NGC och NGC:s mycket aktiva bidrag till ärendets information, vilket avsevärt minskat ärendets handläggningstid.