Digitaliseringsstyrelsen bistår, under hensyntagen til behandlingens karakter, så vidt muligt den juridiske enhed ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den juridiske enheds forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder, som er fastlagt i databeskyttelsesforordningens kapitel III.
Stk. 2 Digitaliseringsstyrelsen skal i medfør af stk. 1, så vidt muligt skal bistå den juridiske enhed i forbindelse med, at den juridiske enhed i dens rolle som dataansvarlig skal sikre overholdelsen af nedenstående regler i databeskyttelsesforordningen:
-
1) Oplysningspligten ved indsamling af personoplysninger hos den registrerede, jf. databeskyttelsesforordningens artikel 13.
-
2) Oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede, jf. databeskyttelsesforordningens artikel 14.
-
3) Den registreredes indsigtsret, jf. databeskyttelsesforordningens artikel 15.
-
4) Retten til berigtigelse, jf. databeskyttelsesforordningens artikel 16.
-
5) Retten til sletning (»retten til at blive glemt«), jf. databeskyttelsesforordningens artikel 17.
-
6) Retten til begrænsning af behandling, jf. databeskyttelsesforordningens artikel 18.
-
7) Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling, jf. databeskyttelsesforordningens artikel 19.
-
8) Retten til indsigelse, jf. databeskyttelsesforordningens artikel 21.
Stk. 3 Digitaliseringsstyrelsen bistår den juridiske enhed med at sikre overholdelse af den dataansvarliges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Digitaliseringsstyrelsen som databehandler, jf. databeskyttelsesforordningens artikel 28, stk. 3, litra f. Dette indebærer, at Digitaliseringsstyrelsen under hensynstagen til behandlingens karakter skal bistå den enkelte juridiske enhed i forbindelse med, at denne skal sikre overholdelsen af:
-
1) Forpligtelsen til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen, jf. § 6.
-
2) Forpligtelsen til at anmelde brud på persondatasikkerheden til Datatilsynet uden unødig forsinkelse og om muligt senest 72 timer, efter at den enkelte dataansvarlige er blevet bekendt med bruddet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder, jf. § 11.
-
3) Forpligtelsen til uden unødig forsinkelse at underrette den/de registrerede om brud på persondatasikkerheden, når et sådant brud sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, jf. § 11.
-
4) Forpligtelsen til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, hvis en type behandling sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, og forpligtelsen til at høre Datatilsynet inden behandling, hvis en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den enkelte dataansvarlige for at begrænse risikoen.