Tusind tak for svaret! Jeg forholder mig primært til vejledningerne fra Datatilsynet, som jo er tilsynsmyndigheden - derfor tænker jeg at de som udgangspunkt må være den mest valide kilde.
Jeg er klar over at jeg skal lave databehandleraftaler med samtlige af mine databehandlere, samt hvad der skal stå i disse.
Når jeg skriver at jeg mener at PostNord er selvstændig dataansvarlige er det IKKE fordi de benytter sig at såkaldte underdatabehandlere, men fordi deres ydelse ikke har noget med behandling af persondata at gøre som udgangspunker (de skal blot levere en pakke), samt fordi jeg ikke er i stand til at give dem instrukser for hvordan de skal behandle de data jeg er nødsaget til at videregive til dem - de styrer selv hvilke underdatabehandlere de benytter osv., det kan jeg som udgangspunkt ikke bestemme.
Mit spørgsmål går på - i relationen mellem en dataansvarlig (min virksomhed) og en anden selvstændig dataansvarlig (f.eks. PostNord) skal der da også ligge en aftale (a la databehandleraftale) eller er det unødvendigt?
Datatilsynets eksempel 11 er ikke relevant i dette tilfælde, da det tager udgangspunkt i, at en kommune (det kunne også have været en virksomhed e.lign.) fysisk sender personfølsomme oplysninger via PostNord i forbindelse med sagsbehandling. I det tilfælde er PostNord ikke involveret i databehandlingen af de personfølsomme oplysninger, som er i pakken.
Hvordan skal jeg (som lille bitte virksomhed) kunne instruere PostNord (eksempelvis) i hvordan de skal behandle mine data, hjælpemidler og sikkerhedsforanstaltninger? Jeg er enig i at underleverandører skal fremgå af en databehandleraftale og skulle man ønske at tilføje nogen eller ændre i dette kan det kun ske ved accept fra den dataasvanrlige.
Jeg tænkte egentlig at eksempel 11 stadig er relevant fordi der står i eksemplet at ydelsen kun handler om "levering af en pakke" og ikke behandling af de følsomme data pakken indeholder - altså er pakkens indhold vel underordnet? Og hvorfor tænker du at kommunen er anderledes en min virksomhed - er der andre regler for min private virksomhed sammenlignet med en offentlige kommune?
Kommunen er ikke anderledes. Det jeg skriver er, at der i eksemplet er taget udgangspunkt i en kommune, som ligeså godt kunne have været en virksomhed.
Men på intet tidspunkt er det krævet at databehandler skal oplyse i databehandleraftalen hvad underleverandører de tager brug af,
Det er korrekt - i teoriens verden - men i praksis har jeg endnu ikke set et eksempel på en dataansvarlig der acceptere en oplysning om at der anvendes underdatabehandlere, uden de samtidig vil have oplyst hvem underdatabehandleren er.
Men du har ret, det er ikke et krav fra datatilsynet, men i praksis vil enhver ansvarlig dataansvarlig kræve at få oplyst hvem underdatabehandleren er - det er ihvertfald min erfaring :-)