I lyset af EU-Domstolens såkaldte Schrems II-dom den 16. juli 2020 modtager Datatilsynet et stigende antal spørgsmål vedrørende overførsel af personoplysninger til tredjelande. En række af disse spørgsmål vedrører begrebet ”dataeksportør”, og hvem – den dataansvarlige eller databehandleren – der i praksis er ansvarlig for at sikre, at overførsel af personoplysninger sker i overensstemmelse med databeskyttelsesreglerne ved større, komplekse databehandlerkonstruktioner.
Begrebet ”dataeksportør” er ikke defineret i databeskyttelsesforordningen. Begrebet er derimod defineret i bl.a. EU-Kommissionens standardkontrakt, der er blandt de mest anvendte overførselsgrundlag i forordningens kapitel V. Tilsvarende fremgår det af EU-Kommissionens beslutning[1] om standardkontrakten, at dataeksportøren er ”den dataansvarlige eller databehandleren, der overfører personoplysningerne til et tredjeland”.
EU-Kommissionens standardkontrakt kombinerer generelle bestemmelser med en modulopbygget tilgang for at tage højde for forskellige overførselsscenarier. Dermed kan standardkontrakten bl.a. også indgås af en databehandler i EU, der efter instruks fra sin dataansvarlige overfører personoplysninger til en dataansvarlig eller databehandler i tredjelandet (”dataimportøren”).
Situationen, som navnlig har givet anledning til tvivl, er den, hvor en europæisk dataansvarlig benytter sig af en eller flere databehandlere inden for EU/EØS, men hvor en eller flere af dennes underdatabehandlere befinder sig uden for EU/EØS. Spørgsmålet er herefter, hvilken part der har ansvaret for at sikre overførslens lovlighed i henhold til databeskyttelsesforordningen.
Det er, som nævnt ovenfor, med EU-Kommissionens nye standardkontrakt muligt for databehandleren at indgå standardkontrakten direkte med eventuelle underdatabehandlere i tredjelande med henblik på at tilvejebringe det fornødne overførselsgrundlag. Overførselsgrundlaget vil i givet fald bestå af, at databehandleren – i medfør af forordningens artikel 46, stk. 2, litra c – har givet fornødne garantier for de registrerede vedrørende beskyttelsesniveauet. I sådanne tilfælde er det databehandleren, der betegnes som ”dataeksportøren”, og som (sammen med underdatabehandleren, som betragtes som ”dataimportør”) er direkte forpligtet af standardkontraktbestemmelserne og deres indhold.[2]
Hovedreglen for overførsel af personoplysninger til tredjelande fremgår imidlertid af det generelle princip i databeskyttelsesforordningens artikel 44. Heraf fremgår, at:
”Enhver overførsel af personoplysninger, som underkastes behandling eller planlægges behandlet efter overførsel til et tredjeland eller en international organisation, må kun finde sted, hvis betingelserne i [kapitel V] med forbehold af de øvrige bestemmelser i denne forordning opfyldes af den dataansvarlige og databehandleren, herunder ved videreoverførsel af personoplysninger fra det pågældende tredjeland eller den pågældende internationale organisation til et andet tredjeland eller en anden international organisation. Alle bestemmelserne i dette kapitel anvendes for at sikre, at det beskyttelsesniveau, som fysiske personer garanteres i medfør af denne forordning, ikke undermineres.” (Datatilsynets fremhævning)
Datatilsynet forstår forordningens artikel 44 som en forpligtelse for såvel den dataansvarlige og databehandleren. Begge parter er derfor forpligtet til at sørge for, at der tilvejebringes et overførselsgrundlag, der er effektivt i lyset af alle omstændighederne ved overførslen. Det gælder også i de tilfælde, hvor det i praksis er databehandleren, der har indgået en standardkontrakt i henhold til forordningens artikel 46, stk. 2, litra c, med eventuelle underdatabehandlere i tredjelande. I så fald består forpligtelsen for den dataansvarlige i praksis i at sikre sig – og kunne påvise over for Datatilsynet – at databehandleren har etableret det fornødne overførselsgrundlag, og at dette overførselsgrundlag er effektivt i lyset af alle omstændighederne ved overførslen, herunder ved implementeringen af supplerende foranstaltninger om nødvendigt.
Tilsvarende forpligtelser for såvel den dataansvarlige og databehandleren findes også i andre bestemmelser i databeskyttelsesforordningen.
Det fremgår eksempelvis af forordningens artikel 32, at den dataansvarlige og databehandleren skal etablere et passende behandlingssikkerhedsniveau. Datatilsynet betragter, som en fast praksis, både den dataansvarlige og dennes eventuelle databehandlere som selvstændige pligtsubjekter for denne forpligtelse. Det betyder, at den dataansvarlige og databehandleren hver især er forpligtet til at træffe de fornødne tekniske og organisatoriske foranstaltninger for at etablere et passende behandlingssikkerhedsniveau. I tilfælde, hvor databehandleren leverer (størstedelen af) den tekniske infrastruktur, vil den dataansvarliges opgave i praksis navnlig bestå i at sikre sig – og kunne påvise over for Datatilsynet – at databehandleren har etableret et passende behandlingssikkerhedsniveau.
[1] EU-Kommissionens gennemførelsesafgørelse (EU) 2021/914 af 4. juni 2021 om standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande i henhold til Europa-Parlamentets og Rådets forordning (EU) 2016/679.
[2] Se også forordningens artikel 46, stk. 1, hvoraf fremgår, at en dataansvarlig eller en databehandler kun må overføre personoplysninger til et tredjeland, hvis vedkommende har givet de fornødne garantier for de registrerede.