I lyset af EU-Domstolens såkaldte Schrems II-dom den 16. juli 2020 modtager Datatilsynet et stigende antal spørgsmål vedrørende overførsel af personoplysninger til tredjelande. En række af disse spørgsmål vedrører begrebet ”dataeksportør”, og hvem – den dataansvarlige eller databehandleren – der i praksis er ansvarlig for at sikre, at overførsel af personoplysninger sker i overensstemmelse med databeskyttelsesreglerne ved større, komplekse databehandlerkonstruktioner.
Datatilsynet har derfor udarbejdet en kort vejledende tekst, der gør rede for tilsynets vurdering heraf.
Kort opsummeret er det Datatilsynets vurdering, at databeskyttelsesforordningens artikel 44, som er det generelle princip for overførsel af personoplysninger til tredjelande, er en forpligtelse for såvel den dataansvarlige og databehandleren. Begge parter er derfor forpligtet til at sørge for, at der tilvejebringes et overførselsgrundlag, der er effektivt i lyset af alle omstændighederne ved overførslen. Det gælder også i de tilfælde, hvor det i praksis er databehandleren, der indgår EU-Kommissionens standardkontrakt med eventuelle underdatabehandlere i tredjelande. I så fald består forpligtelsen for den dataansvarlige i praksis i at sikre sig – og kunne påvise over for Datatilsynet – at databehandleren har etableret det fornødne overførselsgrundlag, og at dette overførselsgrundlag er effektivt i lyset af alle omstændighederne ved overførslen, herunder ved implementeringen af supplerende foranstaltninger om nødvendigt.
Teksten er primært målrettet dataansvarlige organisationer, der benytter europæiske databehandlere, men hvor en eller flere af dennes underdatabehandlere befinder sig uden for EU/EØS, samt databehandlere i EU/EØS, der leverer tjenester ved brug af underdatabehandlere uden for EU/EØS.
Teksten har derudover givet anledning til, at Datatilsynet har revideret sin vejledning om overførsel til tredjelande (juli 2021), idet fodnote 2 på vejledningen side 6 er udgået.