Bekendtgørelse om ansvar, opgaver og tilsyn i forbindelse med behandlingen af personoplysninger indeholdt i meddelelser og opbevaringen heraf i juridiske enheders digitale postkasse § 4

Den konsoliderede version af denne bekendtgørelsen er opdateret til i dag, idet vi har implementeret eventuelle senere ændringsbekendtgørelser i det omfang, de er trådt i kraft - se mere her.

Bekendtgørelse nr. 2020 af 29. oktober 2021

Databehandleren handler efter instruks
§ 4

Digitaliseringsstyrelsen handler efter instruks fra den juridiske enhed. Digitaliseringsstyrelsen instrueres som databehandler i at modtage og sende meddelelser til offentlige afsendere og opbevare meddelelserne i den juridiske enheds digitale postkasse. Den dataansvarlige juridiske enhed kan give supplerende instruks, mens der sker behandling af personoplysninger, men instruksen skal altid være dokumenteret og opbevares skriftligt, herunder elektronisk.

Stk. 2 Databehandleren underretter omgående den dataansvarlige juridiske enhed, hvis en instruks efter vedkommendes mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret. Instruksen vil fortsat have virkning indtil lovligheden af instruksen afklares af Digitaliseringsstyrelsen, bistået af den dataansvarlige juridiske enhed. Den dataansvarlige juridiske enhed forbliver ansvarlig for databehandlerens fortsatte behandling af personoplysninger.

Stk. 3 Denne bestemmelse udgør den databeskyttelsesretlige instruks i henhold til stk. 1. Nærmere oplysninger om selve behandlingen af personoplysninger fremgår af stk. 4 og henvisningerne i stk. 5. Omfanget af instruksen fremgår af henvisningerne i stk. 6.

Stk. 4 Digitaliseringsstyrelsens behandling af personoplysninger består af:

  • 1) Transmission og levering af meddelelser med tilknyttede metadata sendt via Digital Post til de af de juridiske enheder anførte modtagere. Digitaliseringsstyrelsens behandling af personoplysninger på vegne af de juridiske enheder ophører således ved leveringen af meddelelserne til de af de juridiske enheder anførte modtageres digitale postkasser.

  • 2) Opbevaring af de juridiske enheders meddelelser i Digital Post.

Stk. 5 Oplysninger om behandlingen af personoplysninger omfatter:

  • 1) Formålet med behandlingen af personoplysninger, der fremgår af § 2, stk. 2.

  • 2) Databehandlerens behandling af personoplysninger på vegne af de dataansvarlige juridiske enheder drejer sig om transmission og levering af meddelelser sendt via Digital Post og opbevaring af de juridiske enheders meddelelser i Digital Post, der fremgår af stk. 4.

  • 3) Behandlingen omfatter følgende typer af personoplysninger om de registrerede, der fremgår af § 3, stk. 1.

  • 4) Behandlingen omfatter følgende kategorier af registrerede, der fremgår af § 3, stk. 2.

  • 5) Databehandlerens behandling af personoplysninger på vegne af de dataansvarlige juridiske enheder kan påbegyndes efter denne bekendtgørelses ikrafttræden. Behandlingen varer indtil bekendtgørelsen ophæves, jf. stk. 7.

Stk. 6 Den juridiske enhed instruerer Digitaliseringsstyrelsen som databehandler vedrørende behandlingen af personoplysninger. Instruksen omfatter:

  • 1) Behandlingens genstand/instruks, der fremgår af stk. 1 og 3.

  • 2) Behandlingssikkerhed, der fremgår af § 6.

  • 3) Bistand til den dataansvarlige, der fremgår af § 10.

  • 4) Opbevaring og sletning, der fremgår af § 12.

  • 5) Lokalitet for behandlingen, der fremgår af stk. 8.

  • 6) Instruks vedrørende overførsel af personoplysninger til tredjelande eller internationale organisationer, der fremgår af § 9.

  • 7) Procedure for den dataansvarlige juridiske enheds revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er overladt til databehandlere, der fremgår af § 13.

  • 8) Procedure for den dataansvarlige juridiske enheds revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er overladt til underdatabehandlere, der fremgår af § 8, stk. 6.

Stk. 7 Digitaliseringsstyrelsens behandling af personoplysninger i Digital Post på vegne af de juridiske enheder er ikke tidsbegrænset, men varer indtil bekendtgørelsen ophæves, eller indtil de juridiske enheder sletter meddelelser i deres egen digitale postkasse.

Stk. 8 Digital Post-løsningen er omfattet af lokationskravet i databeskyttelseslovens § 3, stk. 9, og bestemmelser udstedt i medfør heraf, hvorefter personoplysninger, der behandles i nærmere bestemte it-systemer, og som føres for den offentlige forvaltning, helt eller delvis alene må opbevares her i landet. Behandlingen og opbevaringen af personoplysninger skal ske i Danmark på baggrund af 1. pkt.