Digitaliseringsstyrelsen har generel godkendelse til at anvende underdatabehandlere til Digital Post. Databehandleren vil underrette den dataansvarlige juridiske enhed på Digitaliseringsstyrelsens hjemmeside om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere med mindst en måneds varsel og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer inden brugen af de(n) omhandlede underdatabehandler(e).
Stk. 2 Ved anvendelse af underdatabehandlere er Digitaliseringsstyrelsen ansvarlig for at efterleve kravene i databeskyttelsesforordningens artikel 28. Digitaliseringsstyrelsen er herefter blandt andet forpligtet til:
-
1) Alene at anvende underdatadatabehandlere, der kan stille de fornødne garantier for, at de gennemfører de passende tekniske og organisatoriske sikkerhedsforanstaltninger på en sådan måde, at behandlingen opfylder kravene i databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.
-
2) At sikre at der foreligger en gyldig underdatabehandleraftale mellem Digitaliseringsstyrelsen og en eventuel underdatabehandler.
Stk. 3 Digitaliseringsstyrelsens underdatabehandlere for Digital Post vil fremgå af Digitaliseringsstyrelsens hjemmeside. Oplysninger om underdatabehandlere kan fremsendes til de juridiske enheder efter skriftlig anmodning herom til Digitaliseringsstyrelsen.
Stk. 4 Digitaliseringsstyrelsen sørger for at pålægge underdatabehandlere de samme databeskyttelsesforpligtelser, som dem, der er fastsat ved denne bekendtgørelse, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i databeskyttelsesforordningen.
Stk. 5 Digitaliseringsstyrelsen er således ansvarlig for – igennem indgåelsen af en underdatabehandleraftale – at pålægge en eventuel underdatabehandler mindst de forpligtelser, som Digitaliseringsstyrelsen selv er underlagt efter databeskyttelsesreglerne og denne bekendtgørelse.
Stk. 6 Digitaliseringsstyrelsen fører tilsyn med underdatabehandlerens overholdelse af underdatabehandleraftalen. De dataansvarlige har ikke mulighed for at føre tilsyn direkte med underdatabehandleren uden Digitaliseringsstyrelsens forudgående skriftlige godkendelse. De dataansvarlige får, til brug for eget tilsyn, mulighed for at modtage relevante informationer, som Digitaliseringsstyrelsen gennem tilsynet med underdatabehandleren, stiller til rådighed, jf. § 13, stk. 2. Tilsynet med underdatabehandlere udføres blandt andet ved at:
-
1) Underdatabehandleren én gang årligt skal indhente en revisorerklæring i overensstemmelse med aktuelle standarder for GDPR-revisorerklæringer fra en uafhængig revisor angående underdatabehandleren og dennes eventuelle underdatabehandleres behandling af informationssikkerhed og personoplysninger i medfør af den til enhver tid gældende underdatabehandleraftale. Digitaliseringsstyrelsen modtager revisorerklæringen fra underdatabehandleren, hvorefter den stilles til rådighed for de dataansvarlige juridiske enheder.
-
2) Digitaliseringsstyrelsen, eller en uafhængig revisor bemyndiget af Digitaliseringsstyrelsen, har ret til at foretage inspektioner af underdatabehandlerens fysiske faciliteter, hvor der behandles personoplysninger samt modtage de nødvendige informationer til udførelsen af undersøgelsen af, hvorvidt underdatabehandleren har truffet de sikkerhedsforanstaltninger, der følger af underdatabehandleraftalen samt gældende databeskyttelsesret.
-
3) Digitaliseringsstyrelsen har løbende mulighed for at indhente informationer baseret på resultaterne af enten revisorerklæringen, inspektionen af de fysiske faciliteter eller de modtagende informationer. Når der er behov for det, er Digitaliseringsstyrelsen berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og denne bekendtgørelse.
-
4) Underdatabehandleren skal give myndigheder, eller deres udpegede repræsentanter, der efter EU-retten eller lovgivningen i en medlemsstat har ret til adgang til Digitaliseringsstyrelsens og underdatabehandlerens faciliteter, adgang til underdatabehandlerens fysiske faciliteter mod forevisning af behørig legitimation.
Stk. 7 Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver Digitaliseringsstyrelsen fuldt ansvarlig over for de dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.