Den danska dataskyddsmyndigheten Datatilsynet har fått ett antal frågor om vem som i praktiken ansvarar för att överföringen av personuppgifter till tredje land är laglig när överföringen sker utifrån EU-kommissionens standardavtalsklausuler (SCC). Datatilsynet har därför utarbetat en kort vägledande text som förklarar myndighetens bedömning av detta.
Mot bakgrund av EU-domstolens dom i Schrems II-målet har Datatilsynet fått ett antal frågor angående överföring av personuppgifter till tredjeländer. Ett antal av dessa frågor rör begreppet dataexportör och vem, den personuppgiftsansvarige eller personuppgiftsbiträdet, som i praktiken ansvarar för att överföringen av personuppgifter sker i enlighet med dataskyddsreglerna för större komplexa mönster.
I korthet är Datatilsynets bedömning att artikel 44 i dataskyddsförordningen (GDPR), som är den allmänna principen för överföring av personuppgifter till tredjeland, är en skyldighet för både den personuppgiftsansvarige och personuppgiftsbiträdet. Båda parter är därför skyldiga att se till att det tillhandahålls ett överlåtelseunderlag som är effektivt med hänsyn till samtliga omständigheter vid överlåtelsen. Detta gäller även i de fall det i praktiken är personuppgiftsbiträdet som ingår EU-kommissionens standardavtalsklausuler med eventuella underbiträden i tredjeland. Skyldigheten för den personuppgiftsansvarige består i så fall i praktiken av att säkerställa, och kunna visa för Datatilsynet, att personuppgiftsbiträdet har upprättat det nödvändiga överföringsunderlaget och att detta överföringsunderlag är effektivt mot bakgrund av alla omständigheterna kring överföringen.
Datatilsynets text riktar sig i första hand till personuppgiftsansvariga organisationer som använder europeiska personuppgiftsbiträden, men där en eller flera av dess underbiträden finns utanför EU/EES, samt personuppgiftsbiträden inom EU/EES som tillhandahåller tjänster med hjälp av underbiträden utanför EU/EES.