Datatilsynet konstaterar att Statens Serum Institut (SSI) inte kan underlåta att uppfylla sin skyldighet att lämna ut information med motiveringen att det skulle kräva en oproportionerligt stor ansträngning enligt dataskyddsförordningen (GDPR).
Av beslutet framgår att Datatilsynet år 2021 inledde en tillsyn på eget initiativ av Statens Serum Instituts (SSI) uppfyllande av skyldigheten att lämna ut uppgifter när SSI tar emot blodprover m.m. från regionerna för analys, och när SSI beslutar att lagra restmaterial i den danska nationella biobanken.
SSI har uppgett att även om institutet kan underrätta de registrerade via digital eller fysisk post skulle detta kräva en oproportionerligt stor insats i form av stora administrativa och ekonomiska kostnader. I detta sammanhang har SSI bland annat hänvisat till att institutet behandlar uppgifter om ett stort antal registrerade, att institutet för närvarande inte har något system som automatiskt kan underrätta de registrerade och att institutet har vidtagit vissa kompensationsåtgärder genom att tillhandahålla information om behandlingen på sin webbplats och på den danska nationella biobankens webbplats.
Datatilsynet konstaterar att SSI inte kan underlåta att uppfylla sin skyldighet att lämna ut information med motiveringen att det skulle kräva en oproportionerligt stor ansträngning. I detta sammanhang betonade Datatilsynet bland annat att skyldigheten att lämna ut uppgifter är central för att säkerställa insyn i behandlingen av personuppgifter och för att skapa ett förtroendeförhållande mellan den personuppgiftsansvarige och de registrerade.
Dessutom konstaterar Datatilsynet att det är en förutsättning för att underlåta att fullgöra sin skyldighet att tillhandahålla information på grund av att det skulle kräva en oproportionerligt stor ansträngning att den oproportionerliga ansträngningen orsakas av eller är kopplad till det faktum att informationen inte har samlats in från den registrerade. I de fall skulle den personuppgiftsansvarige enligt Datatilsynet ha sämre förutsättningar att underrätta den registrerade än en personuppgiftsansvarig som samlat in uppgifterna direkt från den registrerade.
De svårigheter som SSI stött på när det gäller att uppfylla sin informationsskyldighet beror enligt Datatilsynet inte på att SSI inte har samlat in uppgifterna direkt från de registrerade. Svårigheterna beror snarare på att SSI för närvarande inte har organiserat sitt system på ett sådant sätt att det blir lättare att uppfylla skyldigheten att lämna ut uppgifter, till exempel genom att använda automatiserade processer.
Datatilsynet har därför bett SSI om en redogörelse för vad institutionen kommer att göra för att uppfylla sin skyldighet att lämna ut uppgifter. SSI har därefter begärt att Datatilsynet ska återuppta ärendet med hänvisning till en mer detaljerad beskrivning av resursförbrukningen. Begäran gav dock inte Datatilsynet skäl att återuppta ärendet, och myndigheten väntar därför för närvarande på SSI:s redogörelse för hur institutionen kommer att uppfylla sin informationsskyldighet i framtiden.