| Step 1 | Kend dine overførsler |
|---|---|
|
Hvilke processorer du overføre data til og hvorfor, Optag videregivelse til sub-processorer, Tjek overførslerne er minimale, fyldestgørende og begrænset til formålet. |
|
| Step 2 | Bekræft overførslen værktøj din transfer afhængig |
|
Tilstrækkeligt beslutning, Standardkontraktbestemmelser (SCC'er), Bindende virksomhedsregler (bindende virksomhedsregler) Adfærdskodekser, Certificeringsmekanismer, Ad hoc-kontraktbestemmelser eller Undtagelser i artikel 49 i BNPR. |
|
| Step 3 | Vurdere lovgivning eller praksis i tredjelandet |
|
Kontroller du kan gendanne dine data og reagere på registreredes anmodninger om indsigt (DSARs), Udfør regimets vurderinger. |
| Step 4 | Fastlægge og vedtage supplerende foranstaltninger (tekniske, kontraktmæssige eller organisatorisk) |
|---|---|
|
Formål, hvortil oplysningerne overføres og behandles, Typer af enheder, der er involveret i behandlingen, Sektor, hvor overførslen sker, Kategorier af personoplysninger overføres, Hvorvidt data vil blive gemt i det tredjeland eller inden for EU / EØS, Formatet af de data, der skal overføres, Videre overførsel fra tredjeland til et andet tredjeland. |
|
| Step 5 | Formalisere de proceduremæssige skridt til at gennemføre dine supplerende foranstaltninger |
|
Standardkontraktbestemmelser (SCC'er), Bindende virksomhedsregler (bindende virksomhedsregler) Ad hoc kontraktbestemmelser. |
|
| Step 6 | Gennemgå dine supplerende foranstaltninger regelmæssigt |
|
Kan sælgeren holde til deres forpligtelser til dig? Er de supplerende foranstaltninger stadig effektiv? |
The European Data Protection Board (EDPB) has adopted these recommendations and most industry observers have noted that this will still entail a fair amount of legwork for affected organisations. This is where we can help. Proteus-Cyber has developed a simple standalone SaaS solution called Proteus®NextGen Schrems II which supports these six steps, providing the mechanisms for capturing and implementing the information required to follow them.
Som et første skridt, den EDPB rådgiver dig, dataeksportører, at kende dine overførsler. Kortlægning alle overførsler af personoplysninger til tredjelande kan være en vanskelig øvelse. At være bevidst om, hvor de personlige data går er imidlertid nødvendigt at sikre, at den, der ydes et væsentligt ensartet beskyttelsesniveau, uanset hvor den er behandlet. Du skal også kontrollere, at de data, du overfører, er tilstrækkelig, relevant og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil den er overført til og behandlet i tredjelandet.
Et andet skridt er at kontrollere overførslen værktøj din transfer afhængig, blandt dem der er anført i henhold til kapitel V BNPR. Hvis Europa-Kommissionen allerede har erklæret landet, region eller sektor, som du overfører data som tilstrækkelige, gennem et af sine tilstrækkelighed beslutninger i henhold til artikel 45 BNPR eller under det tidligere direktiv 95/46, så længe afgørelsen er stadig i kraft , vil du ikke nødt til at tage yderligere skridt, bortset overvåge, at beslutningen tilstrækkelighed stadig er gældende. I mangel af en beslutning tilstrækkelighed, du nødt til at stole på en af transportværktøjerne opført i henhold til artikel 46 BNPR for overførsler, der er fast og gentaget. Kun i nogle tilfælde af lejlighedsvise og ikke-repetitive overførsler kan du være i stand til at stole på en af undtagelserne i artikel 49 BNPR, hvis du opfylder betingelserne.
Et tredje skridt er at vurdere, om der er noget i loven eller praksis i tredjelandet, der kan indvirke på effektiviteten af de fornødne garantier for transportværktøjerne du stoler på, i forbindelse med dine specifikke transfer. Din vurdering bør primært fokuseret på tredjelands lovgivning, der er relevant for din overførsel og den BNPR overførsel værktøj Artikel 46 du stoler på, og som kan underminere dens beskyttelsesniveau. For at vurdere de elementer, der skal tages i betragtning ved vurderingen af lovgivningen i et tredjeland, der beskæftiger sig med adgang til data fra offentlige myndigheder med henblik på overvågning, henvises til EDPB Europæiske afgørende garantier anbefalinger. Især bør det overvejes nøje, når den lovgivning, der regulerer adgangen til data fra offentlige myndigheder er tvetydig eller ikke er offentligt tilgængelige. I mangel af lovgivningen om, under hvilke omstændigheder de offentlige myndigheder kan få adgang til personlige oplysninger, hvis du stadig ønsker at fortsætte med overførslen, skal du kigge i andre relevante og objektive forhold, og ikke stole på subjektive faktorer såsom sandsynligheden for offentlige myndigheder 'adgang til dine data på en måde, der ikke er i overensstemmelse med EU-standarderne. Du bør foretage denne vurdering med rettidig omhu og dokumentere det grundigt, da du vil blive holdt ansvarlige for den beslutning, du kan tage på dette grundlag.
Et fjerde trin er at identificere og vedtage supplerende foranstaltninger, der er nødvendige for at bringe niveauet for beskyttelse af data, der overføres op til EU standard for væsentlig ækvivalens. Dette trin er kun nødvendigt, hvis din vurdering viser, at tredjelandes lovgivning indvirker på effektiviteten af BNPR overførsel værktøj Artikel 46 er du stoler på, eller du har til hensigt at stole på i forbindelse med din overførsel. Disse anbefalinger indeholder (i bilag 2) en ikke udtømmende liste over eksempler på supplerende foranstaltninger med nogle af de forhold, de ville kræve at være effektiv. Som det er tilfældet for de passende sikkerhedsforanstaltninger, der er indeholdt i de artikel 46 transportværktøjerne, kan nogle supplerende foranstaltninger være effektive i nogle lande, men ikke nødvendigvis i andre. Du vil være ansvarlig for at vurdere deres effektivitet i forbindelse med overdragelsen, og på baggrund af det tredjeland lov og overførsel værktøj du stoler på, og du vil blive holdt ansvarlige for den beslutning, du tager. Dette kan også kræve, at du kombinere flere supplerende foranstaltninger. Du kan i sidste ende finde, at ingen supplerende foranstaltning kan sikre en i det væsentlige tilsvarende beskyttelsesniveau for din specifikke transfer. I de tilfælde, hvor der ikke supplerende foranstaltning er egnet, skal du undgå, suspendere eller opsige overdragelsen at undgå at skade beskyttelsen af de personlige data.
Et femte trin er at tage nogen formelle proceduremæssige skridt med vedtagelsen af din supplerende foranstaltning kan kræve, afhængigt af BNPR overførsel værktøj Artikel 46 du stoler på. Disse anbefalinger specificere disse formaliteter. Det kan være nødvendigt at konsultere din kompetente tilsynsmyndigheder på nogle af dem.
Den sjette og sidste trin vil være for dig at revurdere med passende mellemrum niveauet for beskyttelse af de data, du overfører til tredjelande og skærm, hvis der har været, eller der vil være nogen udvikling, der kan påvirke det. Princippet om ansvarlighed kræver løbende årvågenhed af niveauet for beskyttelse af personoplysninger.
BOOK A 10 MINUTE DEMO