I medfør af § 10 c i lov om Digital Post fra offentlige afsendere, jf. lovbekendtgørelse nr. 801 af 13. juni 2016, som ændret ved lov nr. 1941 af 15. december 2020, fastsættes:
Bekendtgørelsen finder anvendelse ved flytning og opbevaring af fysiske personers og juridiske enheders digitale post fra offentlige afsendere fra den til enhver tid værende leverandør til fremtidige leverandører af Digital Post, jf. lov om Digital Post fra offentlige afsendere. Flytning af digital post omtales herefter som datamigrering.
Stk. 2. Datamigrering af fysiske personers og juridiske enheders digitale post omfatter følgende:
Indholdsdata i form af eksisterende meddelelser og vedhæftede filer, noter m.v. i modtagernes digitale postkasser sendt til og modtaget fra offentlige afsendere.
Administrationsdata, der bl.a. muliggør selve leveringen af meddelelserne, og indeholder stamdata og metadata m.v., herunder til brug for identifikation af modtagerne og ved advisering via sms og e-mail ved levering af nye meddelelser m.v. samt fremsendelse af servicebeskeder fra offentlige afsendere via NemSMS til fysiske personer og juridiske enheder.
Digitaliseringsstyrelsen er efter § 10 c i lov om Digital Post fra offentlige afsendere bemyndiget til at forpligte den til enhver tid værende leverandør til at foretage datamigrering, jf. § 1, til en eller flere fremtidige leverandører eller til Digitaliseringsstyrelsen.
Stk. 2. Den til enhver tid værende leverandør er ved Digitaliseringsstyrelsens beslutning herom forpligtet til at foretage datamigrering, jf. stk. 1.
Stk. 3. Datamigreringen indebærer, at den til enhver tid værende leverandør udleverer kopi af data til Digitaliseringsstyrelsen eller dennes leverandør, således at Digitaliseringsstyrelsen uden ophold kan sikre driften af Digital Post.
Stk. 4. Når datamigreringen er sket, giver Digitaliseringsstyrelsen den tidligere leverandør meddelelse om, hvornår leverandøren skal foretage sletning af leverandørens kopi af data i henhold til aftalen mellem denne og Digitaliseringsstyrelsen, med mindre den tidligere leverandør kan fortsætte behandlingen på privatretligt grundlag og har et databeskyttelsesretligt behandlingsgrundlag.
Datamigreringen skal sikre, at fysiske personer og juridiske enheder har adgang til al deres eksisterende digitale post fra offentlige afsendere uanset leverandørskift. Datamigreringen vedrører udelukkende den fysiske og tekniske opbevaring af den digitale post. Datamigreringen ændrer således ikke ved, at de fysiske personer og juridiske enheder er de eneste med råderet over indholdet af meddelelserne i deres egne postkasser, og de er således de eneste, der kan beslutte om en meddelelse skal slettes, videresendes, gemmes m.v.
I forbindelse med datamigreringen fastsætter Digitaliseringsstyrelsen foranstaltninger, der kræves i henhold til databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Digitaliseringsstyrelsen sikrer herved, at der under hensyn til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers og juridiske enheders rettigheder og frihedsrettigheder gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
Stk. 2. Med henblik på fastsættelsen af passende foranstaltninger, gennemfører Digitaliseringsstyrelsen en risikovurdering af behandlingen af personoplysninger forbundet med datamigreringen. Ved risikovurderingen tages der hensyn til de risici, som datamigreringen udgør, herunder ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til de personoplysninger, der behandles.
Stk. 3. Såfremt risikovurderingen medfører, at datamigreringen sandsynligvis vil indebære en høj risiko for fysiske personers og juridiske enheders rettigheder og frihedsrettigheder, foretager Digitaliseringsstyrelsen forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger, jf. artikel 35, stk. 1, i databeskyttelsesforordningen.
Stk. 4. På baggrund af resultatet af risikovurderingen, jf. stk. 1-2, og den eventuelle konsekvensanalyse, jf. stk. 3, fastsætter Digitaliseringsstyrelsen passende tekniske og organisatoriske foranstaltninger, for at sikre et sikkerhedsniveau, der passer til disse risici.
Bekendtgørelsen træder i kraft den 1. januar 2021.
/ Rikke Hougaard Zeberg
