Datatilsynets afgørelse om SSI’s opfyldelse af Oplysningspligten

Blyant og udfyldning med bekræftelse eller forkastelse (grønt v og rødt eks)

Checklist and pencil. Checking off tasks. White background. Red pencil. Green check mark. Green tick icon

 

Statens Serum Instituts opfyldelse af oplysningspligten1https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/feb/statens-serum-instituts-opfyldelse-af-oplysningspligten

Dato: 02-02-2023

 

 

Billede af bygningerne på Gl. Torv i København, hvor Folketingets Ombudsmandens kontorer er beliggende

Ombudsmandens Bygninger Gl.Torv
Ombudsmandens foto

Artiklen her er en næsten uredigeret (ingen sletninger, ændringer eller udeladelser, men kommentarer, fremhævelser) , og der er indsat overskrifter. Mikael Hertig maj 2023

Statens Serum Institut kan ikke undlade at opfylde sin oplysningspligt med henvisning til, at opfyldelse vil kræve en uforholdsmæssigt stor indsats.

Journalnummer: 2021-432-0070

Resumé

Datatilsynet indledte i 2021 på baggrund af en borgerhenvendelse en undersøgelse af egen drift af Statens Serum Instituts (SSI) opfyldelse af oplysningspligten i følgende tilfælde:

  • når SSI modtager blodprøver mv. fra regionerne med henblik på analyse, og
  • når SSI beslutter at gemme restmateriale i Danmarks Nationale Biobank.

SSI har til sagen oplyst, at selv om instituttet kan underrette registrerede ved brug af digital eller fysisk post, vil dette kræve en uforholdsmæssigt stor indsats i form af store administrative og økonomiske omkostninger. I den forbindelse har SSI henvist til bl.a., at instituttet behandler oplysninger om et stort antal registrerede, at instituttet på nuværende tidspunkt ikke har et system, som kan foretage automatisk underretning af de registrerede, og at instituttet har etableret visse kompensatoriske foranstaltninger ved at oplyse om behandlingen på sin hjemmeside og på Danmarks Nationale Biobanks hjemmeside.

Datatilsynet fandt – efter behandling af sagen i Datarådet – at SSI ikke kan undlade at opfylde sin oplysningspligt med henvisning til, at det vil kræve en uforholdsmæssigt stor indsats.

I den forbindelse lagde Datatilsynet vægt på bl.a., at oplysningspligten er central for at sikre gennemsigtighed ved behandling af personoplysninger og for skabe et tillidsforhold mellem den dataansvarlige og de registrerede.

SSI indsamlede oplysningerne hos de registrerede selv

Derudover bemærkede Datatilsynet, at det er en forudsætning for at undlade at opfylde sin oplysningspligt med henvisning til, at det vil kræve en uforholdsmæssigt stor indsats, at den uforholdsmæssigt store indsats er foranlediget af eller forbundet med den omstændighed, at oplysningerne ikke er indsamlet hos den registrerede. I så fald vil den dataansvarlige være i en anden og – efter omstændighederne – mindre velegnet position til at underrette en registreret end en dataansvarlig, som har indsamlet oplysningerne direkte fra den registrerede.

SSI’s vanskeligheder med at opfylde oplysningspligten er imidlertid ikke foranlediget af den omstændighed, at SSI ikke har indsamlet oplysningerne direkte fra de registrerede. Vanskelighederne skyldes derimod, at instituttet på nuværende tidspunkt ikke har indrettet sit system på en sådan måde, at processen i forbindelse med opfyldelse af oplysningspligten lettes, eksempelvis ved brug af automatiserede processer.

Datatilsynet har derfor anmodet SSI om en redegørelse for, hvad instituttet vil foretage sig med henblik på at opfylde sin oplysningspligt.

SSI har efterfølgende anmodet Datatilsynet om genoptagelse af sagen med henvisning til en nærmere beskrivelse af ressourceforbruget. Henvendelsen gav ikke Datatilsynet grundlag for at genoptage sagen, og tilsynet afventer derfor på nuværende tidspunkt SSI’s redegørelse for, hvordan instituttet fremadrettet vil opfylde sin oplysningspligt.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor tilsynet den 12. oktober 2021 på baggrund af en borgerhenvendelse indledte en undersøgelse af egen drift af Statens Serum Instituts (herefter ”SSI”) opfyldelse af oplysningspligten efter databeskyttelsesforordningens[1] artikel 14, stk. 1-4, i følgende tilfælde:

  • når SSI modtager blodprøver mv. fra regionerne med henblik på analyse, og
  • når SSI beslutter at gemme restmateriale i Danmarks Nationale Biobank.

Det bemærkes, at denne afgørelse ikke angår SSI’s opfyldelse af oplysningspligten i ekstraordinære situationer som eksempelvis under covid-19-pandemien.

1. Afgørelse

Datatilsynet finder – efter at sagen har været behandlet i Datarådet – at SSI ikke kan undlade at opfylde sin oplysningspligt efter databeskyttelsesforordningens artikel 14, stk. 1-3, med henvisning til artikel 14, stk. 5, litra b, i tilfælde, hvor SSI modtager prøver til analyse.

Endvidere finder Datatilsynet, at SSI ikke kan undlade at opfylde sin oplysningspligt efter artikel 14, stk. 4, med henvisning til artikel 14, stk. 5, litra b, i tilfælde, hvor SSI opbevarer restmateriale i Danmarks Nationale Biobank.

På baggrund heraf skal Datatilsynet anmode SSI om en redegørelse for, hvad instituttet vil foretage sig med henblik på at opfylde bestemmelserne i artikel 14. Datatilsynet skal anmode om denne redegørelse inden 3 måneder fra dags dato.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

SSI har oplyst, at SSI fungerer som landets centrallaboratorium for så vidt angår diagnostiske analyser. Det betyder, at SSI udfører artsidentifikation og karakterisering af forskellige biologiske prøver udtaget fra patienter, hvilket sker som led i instituttets myndighedsudøvelse i medfør af sundhedslovens § 222 og er nærmere bestemt i et kommissorium. Kommissoriet udgør rammen for det faglige råd vedrørende organisering af mikrobiologisk diagnostik.

Når SSI får tilsendt en biologisk prøve udtaget fra en borger, sker dette med henblik på at undersøge for mikroorganismer (virus, svampe, bakterier og pesticider). Herudover behandler SSI oplysninger om borgerens navn, CPR-nummer, læge mv., og prøven kan indeholde oplysninger om borgerens helbredsmæssige tilstand. Hvis prøven indeholder humant væv, vil den endvidere indeholde oplysninger om borgerens arvemateriale og genetiske tilstand. Sådanne oplysninger vil dog kræve en særlig analyse, som SSI ikke foretager, når prøven alene analyseres med henblik på diagnosticering. Såfremt den sundhedsperson, som har rekvireret analysen, indsender relevante oplysninger om borgerens helbredstilstand, vil også disse oplysninger behandles af SSI.

SSI har endvidere oplyst, at når en diagnostisk analyse er blevet udført, vil der ofte være biologisk materiale i overskud, som bliver opbevaret i Danmarks Nationale Biobank med henblik på fremtidig forskning. Opbevaringen af restmaterialet sker i medfør af databeskyttelseslovens[2] § 10. SSI har oplyst, at formålene med opbevaringen af restmaterialet er (i) at undgå, at en uvurderlig ressource til fremtidig forskning bliver smidt ud og (ii) at muliggøre og understøtte statistisk og videnskabelig forskning af væsentlig samfundsmæssig betydning. Danmarks Nationale Biobank vil kunne videregive biologisk materiale fra biobanken til andre forskere for at muliggøre forskning af væsentlig samfundsmæssig betydning. Videregivelse til eksterne forskere sker på baggrund af en tilladelse fra Datatilsynet og en godkendelse af forskningsprojektet fra Videnskabsetisk Komité.

Restmaterialet i biobanken bliver gemt indtil det tidspunkt, hvor materialet ikke længere har statistisk eller videnskabelig værdi. Er en borger ikke interesseret i, at dennes biologiske materiale anvendes til forskning, kan borgeren registrere sig i Vævsanvendelsesregisteret. Danmarks Nationale Biobank tjekker, om borgeren fremgår af Vævsanvendelsesregisteret, før biobanken afgør, om restmaterialet kan udleveres til forskningsprojekter. Det biologiske materiale udleveres således alene, hvis vedkommende ikke er registreret i Vævsanvendelsesregisteret.

Ved sin redegørelse om, hvorledes artikel 14 opfyldes, har SSI sondret mellem de tilfælde, hvor prøver modtages til analyse, og de tilfælde, hvor restmateriale opbevares i Danmarks Nationale Biobank.

2.1. Prøver til diagnostisk analyse

SSI har anført, at undtagelsesbestemmelsen i databeskyttelsesforordningens artikel 14, stk. 5, litra b, finder anvendelse, når biologiske prøver modtages til analyse, idet en opfyldelse af oplysningspligten vil kræve en uforholdsmæssigt stor indsats.

I den forbindelse har SSI lagt vægt på, at instituttet analyserer mere end 500.000 prøver årligt (hvilket under covid-19-pandemien steg til mere end 50.000.000 prøver årligt). Individuel meddelelse til hver enkelt borger vil medføre en uforholdsmæssigt stor administrativ byrde, idet nogle af underretningerne vil kunne sendes via e-Boks, mens andre vil skulle sendes med fysisk post, da visse borgere ikke kan modtage digital post.

SSI’s laboratorieinformationssystem blev etableret i 1999/2000 og understøtter på nuværende tidspunkt ikke automatisk underretning til den registrerede. Ifølge SSI vil udvikling af en automatiseret løsning til underretning kræve en ny it-løsning. SSI ønsker at udskifte det nuværende laboratorieinformationssystem og er i færd med at afklare bl.a. finansieringen af projektet, herunder om SSI selv skal udvikle systemet, eller om det skal leveres af en ekstern leverandør. Uanset hvordan systemet leveres, vil der være en proces, som skal sikre databeskyttelse gennem design og standardindstillinger.

Endvidere har SSI anført, at en mere eller mindre manuel underretning af de registrerede vil medføre en ikke ubetydelig økonomisk byrde for instituttet. SSI er imidlertid opmærksom på, at økonomiske hensyn, herunder sædvanlige udgifter til breve, porto mv., ikke i sig selv indebærer, at meddelelse til de registrerede kan anses for umulig eller for at ville kræve en uforholdsmæssigt stor indsats.

I forbindelse med vurderingen af anvendeligheden af forordningens artikel 14, stk. 5, litra b, har SSI i øvrigt lagt vægt på, at omfanget af oplysninger om den enkelte borger ikke er stort kvantitativt og består af CPR-nummer, den biologiske prøve, rekvirent og analyseresultat.

Yderligere har SSI lagt vægt på, at instituttet informerer generelt på sin hjemmeside om sin behandling af personoplysninger i forskellige situationer, herunder når en prøve analyseres hos SSI, jf. nærmere nedenfor afsnit 2.2. Det er herudover muligt for borgeren at tilgå oplysninger om det udførende laboratorium for hver enkelt prøve via selvbetjeningen på sundhed.dk. Den sundhedsperson, der har rekvireret analysen eller udtaget prøven, vil derudover kunne oplyse, hvor prøven analyseres, herunder i overensstemmelse med databeskyttelsesforordningens artikel 13.

Endelig har SSI oplyst, at der i visse tilfælde kan være en lovbestemt pligt til at sende prøver til instituttet. I så fald vil undtagelsen i forordningens artikel 14, stk. 5, litra c, finde anvendelse.

2.2. Opbevaring af restmateriale i Danmarks Nationale Biobank

For så vidt angår oplysning til de registrerede om opbevaringen af restmateriale fra diagnostiske prøver i Danmarks Nationale Biobank har SSI anført, at undtagelsen i databeskyttelsesforordningens artikel 14, stk. 5, litra b, finder anvendelse, da det vil kræve en uforholdsmæssigt stor indsats at give meddelelse til hver enkelt borger i overensstemmelse med forordningens artikel 14, stk. 4.

I den forbindelse har SSI lagt vægt på, at behandlingen sker til videnskabelige formål, og at der er tale om et meget omfattende antal prøver, der opbevares i biobanken. Individuel underretning af hver enkelt borger vil derfor udgøre en betydelig arbejdsindsats for SSI. Endvidere har SSI lagt vægt på, at der tages hensyn til borgernes rettigheder på en anden måde, herunder ved at tilgængeliggøre generel information om indsamlingen på både SSI’s hjemmeside og på Danmarks Nationale Biobanks hjemmeside. SSI har desuden bemærket, at viderebehandlingen sker til et andet formål end det oprindelige, som dog ikke er uforeneligt med det oprindelige formål, jf. databeskyttelsesforordningens artikel 5, stk. 1, litra b.

Information om SSI’s behandling af personoplysninger i forbindelse med analyse af prøver og opbevaring af restmateriale fremgår af instituttets hjemmeside https://www.ssi.dk/om-ssi/persondatapolitik. Særligt punkterne ”har du fået en prøve analyseret på SSI” og ”hvis restmateriale fra din diagnostiske prøve opbevares i Danmarks Nationale Biobank” angives af SSI at være relevante. SSI har anført, at instituttet generelt har et øget fokus på gennemsigtighed og hele tiden søger at forbedre persondatapolitikken på sin hjemmeside. SSI overvejer således løbende, hvordan persondatapolitikken kan gøres mere synlig for borgerne.

Yderligere information om opbevaring af biologisk materiale findes på https://www.ssi.dk/om-ssi/juridisk-information/information-om-biologisk-materiale. Endvidere har SSI henvist til Danmarks Nationale Biobanks hjemmeside https://www.nationalbiobank.dk/for-borgere, hvoraf det bl.a. fremgår, hvordan man kan frabede sig opbevaring af biologisk materiale.

I de tilfælde, hvor SSI er i dialog med borgerne, eksempelvis i forbindelse med invitation og booking til covid-19-test, orienterer SSI på dette tidspunkt borgeren om instituttets behandling af personoplysninger i denne sammenhæng, herunder at overskydende positivt restmateriale overføres til Danmarks Nationale Biobank til fremtidig forskning.

Det er herefter SSI’s vurdering, at instituttet passende har sikret, at de registrerede i videst muligt omfang orienteres om instituttets behandling af personoplysninger inden for rammerne af undtagelsesbestemmelsen i databeskyttelsesforordningens artikel 14, stk. 5, litra b.

3. Retsgrundlag

3.1.

Det følger af databeskyttelsesforordningens artikel 14, stk. 1-3, at hvis personoplysninger om en registreret ikke indsamles hos den registrerede, giver den dataansvarlige inden for en rimelig frist efter indsamlingen en række oplysninger til den registrerede om behandlingen.

Endvidere fremgår det af forordningens artikel 14, stk. 4, at hvis den dataansvarlige agter at viderebehandle personoplysninger til et andet formål end det, hvortil de er indsamlet, giver den dataansvarlige forud for denne viderebehandling den registrerede oplysninger om dette andet formål samt andre relevante oplysninger.

Databeskyttelsesforordningens artikel 14, stk. 1-4, finder imidlertid ikke anvendelse, bl.a. hvis og i det omfang meddelelse af sådanne oplysninger viser sig umulig eller vil kræve en uforholdsmæssigt stor indsats, navnlig i forbindelse med behandling til bl.a. videnskabelige forskningsformål. I sådanne tilfælde træffer den dataansvarlige passende foranstaltninger for at beskytte de registreredes rettigheder og frihedsrettigheder samt legitime interesser, herunder ved at gøre oplysningerne offentligt tilgængelige, jf. artikel 14, stk. 5, litra b.

3.2.

Af databeskyttelsesforordningens præambelbetragtning nr. 62 fremgår om bl.a. artikel 14, stk. 5, litra b:

”Det er imidlertid ikke nødvendigt at pålægge forpligtelsen til at give information, hvis den registrerede allerede er bekendt med oplysningerne, hvis registrering eller videregivelse af personoplysningerne udtrykkelig er fastsat ved lov, eller hvis det viser sig at være umuligt eller vil kræve en uforholdsmæssigt stor indsats at underrette den registrerede. Sidstnævnte kan navnlig være tilfældet i forbindelse med behandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål. I denne forbindelse bør der tages hensyn til antallet af registrerede, oplysningernes alder og eventuelle fornødne garantier, der er stillet.”

3.3.

Hvad der nærmere skal forstås ved uforholdsmæssigt stor indsats, jf. artikel 14, stk. 5, litra b, er endvidere omtalt i Justitsministeriets betænkning nr. 1565/2017. Følgende fremgår af betænkningens side 301-303 om den tidligere og næsten tilsvarende bestemmelse i persondatalovens § 29, stk. 3:

”Af bemærkninger til persondataloven fremgår det, at der med uforholdsmæssig vanskelig fastsættes et proportionalitetsprincip ved vurderingen af, om meddelelse, som foreskrevet i stk. 1, skal gives. Der skal ske en afvejning af på den ene side betydningen af en sådan underretning for den registrerede og på den anden side den arbejdsindsats hos den dataansvarlige, der vil være forbundet med en sådan underretning. I hvilket omfang, underretning af registrerede personer er uforholdsmæssig vanskelig eller endog umulig, skal afgøres i den enkelte situation. Der skal i den forbindelse bl.a. lægges vægt på antallet af registrerede, oplysningernes alder samt de kompensatoriske foranstaltninger, f.eks. offentlige oplysningskampagner, der eventuelt måtte blive truffet af den dataansvarlige. Endvidere må det tillægges betydning, hvor betydelige de interesser er, af hensyn til hvilke oplysningerne behandles, og hvor indgribende det er for den enkelte, at der foretages behandling af oplysninger om vedkommende.

[…]

Det vil være af betydning, om behandling af oplysninger foretages som led i enkeltsagsbehandling, eller om behandlingen foretages i en række identiske sager, eventuelt som led i massesagsbehandling.  Såfremt der er tale om enkeltsagsbehandling, vil der være en formodning for, at det ikke vil være uforholdsmæssigt vanskeligt at opfylde oplysningspligten, navnlig ikke hvis opfyldelsen heraf kan ske i forbindelse med iværksættelsen af andre sagsbehandlingsskridt mv. over for den registrerede. Er der tale om et større antal identiske sager, vil det ofte kunne være uforholdsmæssigt vanskeligt at opfylde oplysningspligten.”

Om databeskyttelsesforordningens artikel 14, stk. 5, litra b, fremgår endvidere på side 308-309:

”Det følger bl.a. af forordningens præambelbetragtning nr. 62, at der i forbindelse med vurderingen af, om der kan undtages fra underretningspligten, bør tages hensyn til antallet af registrerede, oplysningernes alder og eventuelle fornødne garantier, der er stillet.

Betragtningen ses umiddelbart at udgøre en sproglig ændring i forhold til præambelbetragtning nr. 40 i databeskyttelsesdirektivet, hvor det fremgår, at hvis det viser sig umuligt eller uforholdsmæssigt vanskeligt at underrette den pågældende, hvilket kan være tilfældet i forbindelse med behandlinger i historisk, statistisk eller videnskabeligt øjemed, kan der i den forbindelse tages hensyn til antallet af registrerede, oplysningernes alder samt de kompensatoriske foranstaltninger, der kan træffes.

For så vidt angår vurderingen af, om underretningen ”vil kræve en uforholdsmæssigt stor indsats”, er der imidlertid tale om en sproglig ændring i forhold til direktivets artikel 11, stk. 2, hvor underretning kan undtages, såfremt det ”er uforholdsmæssigt vanskelig”.

Disse ændringer i ordlyden i forordningens artikel 14, stk. 5, litra b, og præambelbetragtning nr. 62, kan umiddelbart tale i retning af, at der kan være en indholdsmæssig ændring i undtagelsesmuligheden efter databeskyttelsesdirektivet og forordningen.

Det, at der ikke skal ske underretning, såfremt ”det vil kræve en uforholdsmæssig stor indsats”, taler i retning af, at der er tale om et subjektivt frem for et objektivt begreb, når det skal vurderes, om oplysningspligten skal efterleves i et givet tilfælde som følge af, at det viser sig, at det vil kræve en uforholdsmæssig stor indsats. Denne umiddelbare antydning af en ændring i begrebets karakter kan betyde, at en dataansvarlig formentlig potentielt vil kunne undlade at foretage underretning, selv hvor en efterlevelse i realiteten godt kan lade sig gøre, men hvor det vil kræve en uforholdsmæssig stor indsats fra den dataansvarlige.

Der kan således med ordlyden af forordningens artikel 14, stk. 5, litra b, fortolkes en antydning af, at undtagelsesmuligheden udvides i forhold til databeskyttelsesdirektivet og persondataloven.”

3.4. Om undtagelsesbestemmelsen i forordningens artikel 14, stk. 5, litra b, har Artikel 29-gruppen (nu Det Europæiske Databeskyttelsesråd) i sine retningslinjer om gennemsigtighed anført[3]:

“In determining what may constitute either impossibility or disproportionate effort under Article 14.5(b), it is relevant that there are no comparable exemptions under Article 13 (where personal data is collected from a data subject). The only difference between an Article 13 and an Article 14 situation is that in the latter, the personal data is not collected from the data subject. It therefore follows that impossibility or disproportionate effort typically arises by virtue of circumstances which do not apply if the personal data is collected from the data subject. In other words, the impossibility or disproportionate effort must be directly connected to the fact that the personal data was obtained other than from the data subject.

[…]

One appropriate measure, as specified in Article 14.5(b), that controllers must always take is to make the information publicly available. A controller can do this in a number of ways, for instance by putting the information on its website, or by proactively advertising the information in a newspaper or on posters on its premises. Other appropriate measures, in addition to making the information publicly available, will depend on the circumstances of the processing, but may include: undertaking a data protection impact assessment; applying pseudonymisation techniques to the data; minimising the data collected and the storage period; and implementing technical and organisational measures to ensure a high level of security. Furthermore, there may be situations where a data controller is processing personal data which does not require the identification of a data subject (for example with pseudonymised data). In such cases, Article 11.1 may also be relevant as it states that a data controller shall not be obliged to maintain, acquire or process additional information in order to identify the data subject for the sole purposes of complying with the GDPR.”

Den uforholdsmæssigt store indsats, som opfyldelse af oplysningspligten efter databeskyttelsesforordningens artikel 14 vil indebære, skal således være foranlediget af eller forbundet med den omstændighed, at oplysningerne ikke er indsamlet hos den registrerede, og at den dataansvarlige derfor er i en anden og – efter omstændighederne – mindre velegnet position til at underrette en registreret, end det ville være tilfældet for en dataansvarlig, som har indsamlet oplysningerne direkte fra den registrerede.

3.5.

I sine retningslinjer om databeskyttelse gennem design og standardindstillinger har Det Europæiske Databeskyttelsesråd udtalt[4]:

”De valgte foranstaltninger skal således sikre, at den databehandling, der påtænkes af den dataansvarlige, ikke behandler personoplysninger i strid med principperne, uanset omkostningerne. Dataansvarlige bør være i stand til at styre de samlede omkostninger for effektivt at implementere alle principperne og dermed beskytte rettighederne.”

4. Begrundelse for Datatilsynets afgørelse

Datatilsynet lægger på baggrund af sagens oplysninger til grund, at SSI i realiteten kan opfylde oplysningspligten efter databeskyttelsesforordningens artikel 14, stk. 1-4, idet SSI har de fornødne oplysninger om de registrerede for at kunne kontakte dem og har mulighed for at meddele de registrerede de oplysninger, der kræves, ved brug af digital eller fysisk post.

Spørgsmålet er derfor, om SSI kan undlade at opfylde oplysningspligten på baggrund af en af undtagelsesmulighederne i databeskyttelsesforordningens artikel 14, stk. 5.

Ved vurderingen af, om iagttagelsen af oplysningspligten kan anses for at kræve en uforholdsmæssigt stor indsats, jf. databeskyttelsesforordningens artikel 14, stk. 5, litra b, skal der foretages en afvejning af på den ene side betydningen af en sådan underretning for den registrerede og på den anden side den arbejdsindsats hos den dataansvarlige, der vil være forbundet med en sådan underretning. Der er således tale om en proportionalitetsafvejning, hvor flere forhold må holdes op mod hinanden.

4.1. Oplysningspligt ved modtagelse af prøver til diagnostisk analyse

SSI har anført, at instituttet behandler oplysninger om et stort antal registrerede, og at opfyldelse af oplysningspligten derfor vil kræve en uforholdsmæssig stor indsats. Endvidere har SSI påpeget, at som følge af instituttets nuværende laboratorieinformationssystems manglende mulighed for automatisk at underrette de registrerede, vil opfyldelse af oplysningspligten skulle ske manuelt. En manuel opfyldelse af oplysningspligten ved brug af digital eller fysisk post vil ifølge SSI medføre store administrative og økonomiske omkostninger. Datatilsynet skal hertil bemærke, at SSI ikke nærmere har specificeret, hvad instituttets indsats for at opfylde oplysningspligten nærmere vil bestå i – eksempelvis hvad tidsforbruget eller omkostningerne forventeligt vil være.

Endvidere har SSI til støtte for sin anvendelse af undtagelsesbestemmelsen i artikel 14, stk. 5, litra b, anført, at instituttet har etableret visse kompensatoriske foranstaltninger ved på sin hjemmeside at oplyse om sin behandling af personoplysninger, formålet hermed, hjemmelsgrundlaget, adgang til oplysningerne mv.

Artikel 14, stk. 5, litra b, bør imidlertid som undtagelsesbestemmelse fortolkes indskrænkende. Hertil kommer, at formålet med oplysningspligten i artikel 14 er at sikre gennemsigtighed med behandling af personoplysninger. Den dataansvarlige bør derfor som udgangspunkt sikre den registreredes berettigede interesse i at blive oplyst om den behandling, som den pågældendes personoplysninger er genstand for. Dette gælder ikke mindst, når der behandles følsomme personoplysninger, eksempelvis helbredsoplysninger og genetiske data.

Endvidere har Datatilsynet ved sin vurdering lagt vægt på, at de administrative og økonomiske vanskeligheder, som SSI oplyser at ville opleve ved en opfyldelse af oplysningspligten efter artikel 14, ikke er foranlediget af den omstændighed, at SSI ikke har indsamlet oplysningerne hos den registrerede. Vanskelighederne består således ikke af eksempelvis manglende eller forældede kontaktoplysninger eller øvrige udfordringer med at identificere de registrerede. Derimod skyldes vanskelighederne, at SSI på nuværende tidspunkt ikke har indrettet sit system på en sådan måde, at processen i forbindelse med at opfylde oplysningspligten lettes, f.eks. gennem automatiserede processer, idet det bemærkes, at oplysningspligten må antages at kunne opfyldes med en standardtekst.

På baggrund af en samlet afvejning af ovenstående finder Datatilsynet, at SSI ikke kan undlade at opfylde sin oplysningspligt efter artikel 14, stk. 1-3, med henvisning til artikel 14, stk. 5, litra b, når instituttet modtager prøver med henblik på diagnostisk analyse.

Datatilsynet skal hertil bemærke, at hvis og i det omfang den registrerede allerede er bekendt med oplysningerne, finder oplysningspligten i artikel 14, stk. 1-4, ikke anvendelse, jf. forordningens artikel 14, stk. 5, litra a. Det indebærer, at SSI vil kunne undlade at give den registrerede meddelelse i overensstemmelse med forordningens artikel 14, stk. 1-4, hvis regionerne mv. allerede har givet de fornødne oplysninger – herunder har oplyst, at prøven sendes til SSI med henblik på diagnosticering – til den registrerede i forbindelse med deres opfyldelse af oplysningspligten efter artikel 13, jf. forordningens artikel 14, stk. 5, litra a.

Anvendeligheden af undtagelsen i databeskyttelsesforordningens artikel 14, stk. 5, litra a, må bero på en konkret vurdering af omstændighederne omkring indsamlingen af oplysningerne. Bestemmelsen bygger endvidere på en forudsætning om, at den dataansvarlige skal give den registrerede meddelelse i overensstemmelse med forordningens artikel 14, stk. 1-2, hvis den dataansvarlige er i tvivl om, hvorvidt den registrerede allerede er bekendt med oplysningerne.[5]

4.2. Oplysningspligt ved opbevaring af materiale i Danmarks Nationale Biobank

Til støtte for anvendeligheden af undtagelsesbestemmelsen i artikel 14, stk. 5, litra b, har SSI gjort gældende, at opbevaring af restmateriale i Danmarks Nationale Biobank har til formål at muliggøre fremtidig forskning, hvilket udgør en særlig og beskyttelsesværdig samfundsinteresse. Desuden vil oplysningerne ikke kunne anvendes til andet end videnskabelige eller statistiske undersøgelser af væsentlig samfundsmæssig betydning, jf. databeskyttelseslovens § 10.

Ikke desto mindre har den registrerede efter Datatilsynets opfattelse en berettiget interesse i at vide, at oplysningerne bliver opbevaret i biobanken i et ikke nærmere bestemt tidsrum, og at oplysningerne kan blive videregivet til en række ikke nærmere angivne forskere.

SSI har desuden henvist til muligheden for at blive registreret i Vævsanvendelsesregisteret som et hensyn, der kan tale for anvendelsen af artikel 14, stk. 5, litra b. Datatilsynet skal i den forbindelse bemærke, at muligheden for at registrere sig i Vævsanvendelsesregisteret alt andet lige forudsætter, at den registrerede er blevet gjort opmærksom på, at der opbevares oplysninger om – og materiale fra – vedkommende i biobanken. Den registrerede vil imidlertid ofte ikke være bekendt med opbevaringen, når SSI ikke har underrettet vedkommende herom.

Derudover skal Datatilsynet bemærke, at selv om undtagelsesbestemmelsen i forordningens artikel 14, stk. 5, litra b, udtrykkeligt nævner behandling af personoplysninger til forskningsformål som en situation, hvor undtagelse fra oplysningspligten kan være særlig aktuel, tilsiger formålet med artikel 14 – rimelighed og gennemsigtighed[6] – at anvendeligheden af undtagelsen i artikel 14, stk. 5, litra b, ikke anses for en selvfølge i alle tilfælde, hvor der viderebehandles med henblik på forskning. Der henvises i øvrigt til det i afsnit 4.1. anførte om anvendeligheden af databeskyttelsesforordningens artikel 14, stk. 5, litra b.

Gennemsigtighed bidrager til at sikre en rimelig behandling af personoplysninger og muliggør et tillidsforhold mellem den dataansvarlige og de registrerede. Dette formål bør som hovedregel søges forfulgt ved opfyldelse af oplysningspligten efter forordningens artikel 14. En bred fortolkning af anvendeligheden af artikel 14, stk. 5, litra b, kan risikere at svække beskyttelsen af de registrerede for så vidt angår respekten for disses legitime interesser og forventninger.

Endelig skal Datatilsynet bemærke, at spørgsmålet om viderebehandlingens forenelighed med det oprindelige formål – hvilket SSI har henvist til som et moment, der taler for anvendeligheden af artikel 14, stk. 5, litra b – er adskilt fra spørgsmålet om opfyldelsen af oplysningspligten. Viderebehandling til et nyt formål, der er foreneligt med det oprindelige, udgør således ikke en undtagelse til den dataansvarliges oplysningspligt, hvilket følger af forordningens artikel 13, stk. 3, og artikel 14, stk. 4, som netop regulerer den dataansvarliges opfyldelse af oplysningspligten, hvor der viderebehandles til et nyt og foreneligt formål.

Artikel 14, stk. 4 – og artikel 13, stk. 3 – er således udtryk for, at den registrerede på det tidspunkt og i den kontekst, hvor dennes oplysninger blev indsamlet, med rimelighed har en forventning om, at oplysningerne bliver behandlet til et bestemt formål. Med andre ord skal det ikke senere komme bag på den registrerede, til hvilket formål dennes personoplysninger bliver brugt.[7]

Det er på den baggrund Datatilsynets vurdering, at SSI ikke med henvisning til databeskyttelsesforordningens artikel 14, stk. 5, litra b, kan undlade at opfylde sin oplysningspligt efter artikel 14, stk. 4, i tilfælde, hvor der opbevares restmateriale i Danmarks Nationale Biobank.

Datatilsynet skal i øvrigt henvise til det i afsnit 4.1. anførte.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

[3]   Article 29 Working Party, Guidelines on transparency under Regulation 2016/679 (wp260rev.01), betragtning 62 og 64.

[4]   Det Europæiske Databeskyttelsesråd, Retningslinjer 4/2019 om artikel 25, Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger, betragtning 25.

[5]   Databeskyttelsesforordningen og databeskyttelsesloven med kommentarer af Kristian Korfits Nielsen og Anders Lotterup, 1. udgave 2020, side 502.

[6]   Se således databeskyttelsesforordningens præambelbetragtning 39.

[7]   Article 29 Working Party, Guidelines on transparency under Regulation 2016/679 (wp260rev.01), betragtning 10 og 45

Forfatter

  • Mikael Hertig

    Cand. scient. pol. 1982 Gæsteforsker ved SDU, Juridisk Institut fra september 2024 Med speciale i forvaltningsret, kommunale forhold, offentlig økonomi, itsikkerhed, persondataret Diverse ansættelser i kommuner Nogle år i bankvirksomhed Grønlands Selvstyre Underviser, ledelsesakademiet, Grønlands Universitet

    Vis alle indlæg

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *