Hvilket ansvar har virksomheten for opplysningene som overføres eller mottas?
Først og fremst må virksomheten sørge for at opplysningene utleveres på en sikker måte.
Virksomheten som mottar anmodningen om dataportabilitet er ikke ansvarlig for den videre behandlingen av opplysningene etter at de er utlevert.
Virksomheten som mottar opplysningene er ansvarlig for den videre behandlingen av opplysningene. Virksomheten kan ikke behandle opplysningene uten et lovlig behandlingsgrunnlag, og må behandle opplysningene i tråd med kravene i personopplysningsloven. Virksomheten kan for eksempel ikke behandle opplysningene hvis de ikke er relevante og nødvendige for det formålet tjenesten oppgir at de skal brukes til.