Schrems II in Proteus® NextGen Data Privacy™ 6 practical steps to Schrems II compliance

 

Step 1 Kennen Sie Ihre Transfers
  Welche Prozessoren Sie übertragen Daten und warum,
Nehmen Weiterübermittlung an Unterprozessoren,
Überprüfen Sie die Transfers sind minimal, angemessen und nur für den Zweck.
Step 2 Überprüfen Sie die Transfer-Tool Ihre Übertragung beruht auf
  Angemessenheitsentscheidung,
Standardvertragsklauseln (SVB),
Binding Corporate Rules (BCR),
Verhaltensregeln,
Zertifizierungsmechanismen,
Ad-hoc-Vertragsklauseln oder
Ausnahmen in Artikel 49 des BIPR.
Step 3 Beurteilen Sie das Gesetz oder Praxis des Drittlandes
  Stellen Sie sicher, Sie können Ihre Daten und reagieren auf Datensubjekt Zugriffsanfragen (DSARs) erholen,
Führen Regime Einschätzungen.
Step 4 Identifizierung und Einführung ergänzende Maßnahmen (technische, vertragliche oder organisatorische)
  Zwecke, für die die Daten übertragen und verarbeitet werden,
Arten von Unternehmen in der Verarbeitung beteiligt sind,
Sektor, in dem die Übertragung stattfindet,
Kategorien personenbezogener Daten übertragen,
Ob die Daten werden in dem Drittland oder in der EU / EWR gespeichert werden,
Format der Daten übertragen werden,
Onward Transfers vom Drittland in ein anderes Drittland.
Step 5 Formalisiert die Verfahrensschritte Ihre ergänzenden Maßnahmen zur Umsetzung
  Standardvertragsklauseln (SVB),
Binding Corporate Rules (BCR),
Ad-hoc-Vertragsklauseln.
Step 6 Überprüfen Sie Ihre ergänzende Maßnahmen regelmäßig
  Kann der Verkäufer, um ihre Verpflichtungen zu Ihnen halten?
Sind die zusätzlichen Maßnahmen noch wirksam?
BOOK A 10 MINUTE DEMO

 

The European Data Protection Board (EDPB) has adopted these recommendations and most industry observers have noted that this will still entail a fair amount of legwork for affected organisations. This is where we can help. Proteus-Cyber has developed a simple standalone SaaS solution called Proteus®NextGen Schrems II which supports these six steps, providing the mechanisms for capturing and implementing the information required to follow them.

 

Step 1 - Kennen Sie Ihre Transfers

Als ersten Schritt empfiehlt der EDPB Sie, Datenexporteure, Ihre Transfers zu kennen. Abbildung aller Übermittlungen personenbezogener Daten an Drittländer kann eine schwierige Aufgabe sein. Im Bewusstsein, wo die persönlichen Daten geht, ist jedoch notwendig, um sicherzustellen, dass es eine im Wesentlichen gleichwertigen Schutz gewährt wird, wo es verarbeitet wird. Sie müssen auch überprüfen, ob die Daten, die Sie übertragen, ist angemessen, relevant und das beschränkt, was in Bezug auf die Zwecke erforderlich ist, für die sie zu und verarbeitet in dem Drittland übertragen wird.

Step 2 - Überprüfen Sie die Transfer-Tool Ihre Übertragung beruht auf

Ein zweiter Schritt ist das Transfer-Tool Ihre Übertragung beruht auf, unter denen gemäß Kapitel V BIPR aufgeführt zu überprüfen. Wenn die Europäische Kommission hat bereits das Land, eine Region oder einen Sektor, zu dem erklärten Sie die Daten als ausreichend übertragen, durch eine ihrer Angemessenheit Entscheidungen gemäß Artikel 45 BIPR oder unter der früheren Richtlinie 95/46, solange die Entscheidung noch in Kraft Sie werden keine weiteren Schritte unternehmen müssen, anders als die Überwachung, dass die Angemessenheitsentscheidung gültig bleibt. In Ermangelung einer Angemessenheitsentscheidung, müssen Sie auf eine der Transferwerkzeuge nach den Artikeln 46 BIPR für Transfers aufgelistet verlassen, die regelmäßig und repetitiv sind. Nur in einigen Fällen von gelegentlichen und sich nicht wiederholende Übertragungen können Sie auf eine der Ausnahmeregelungen nach Artikel 49 BIPR vorgesehen verlassen können, wenn Sie die Bedingungen erfüllen.

Step 3 - Beurteilen Sie das Gesetz oder Praxis des Drittlandes

Ein dritte Schritt ist zu prüfen, ob es etwas im Gesetz oder Praxis des Drittlandes ist, die über die Wirksamkeit der entsprechenden Garantien der Transfer Werkzeuge, die Sie setzen auf, im Rahmen Ihrer spezifische Übertragung auftreffen. Ihre Einschätzung in erster Linie auf Rechtsvorschriften von Drittländern ausgerichtet sein sollte, die auf Ihre Übertragung relevant ist und der Artikel 46 BIPR Transfer Tool, das Sie setzen auf und kann seine Schutzniveau untergraben. Für die Elemente der Bewertung berücksichtigt werden, wenn das Recht eines Drittlandes mit Zugang zu Daten, die von den öffentlichen Behörden zum Zweck der Überwachung zu tun Beurteilung entnehmen Sie bitte den EDPB europäischen wesentlichen Garantien Empfehlungen. Insbesondere sollte diese sorgfältig in Betracht gezogen werden, wenn die Gesetzgebung, den Zugang zu Daten, die von den öffentlichen Behörden bestimmt, ist nicht eindeutig oder nicht öffentlich verfügbar. In Ermangelung von Rechtsvorschriften, die Umstände, in denen öffentlicher Stellen personenbezogene Daten zugreifen können, wenn Sie noch mit der Übertragung fortfahren möchten, sollten Sie andere relevante und objektive Faktoren schauen, und verlassen sich nicht auf subjektiven Faktoren wie die Wahrscheinlichkeit von Behörden Zugriff auf Ihre Daten in einer Weise, die nicht im Einklang mit dem EU-Normen. Sie sollten diese Einschätzung mit der gebotenen Sorgfalt durchführen und es gründlich dokumentieren, wie Sie zur Rechenschaft gezogen werden zu der Entscheidung, die Sie auf dieser Grundlage in Anspruch nehmen.

Step 4 - Identifizierung und Einführung ergänzende Maßnahmen (technische, vertragliche oder organisatorische)

Ein vierte Schritt ist die Identifizierung und ergänzende Maßnahmen zu ergreifen, die notwendig sind, das Schutzniveau der Daten an dem EU-Standard der wesentlichen Gleichwertigkeit übertragen zu bringen. Dieser Schritt ist nur erforderlich, wenn Sie Ihre Beurteilung zeigt, dass die Rechtsvorschriften von Drittländern trifft auf die Wirksamkeit des Artikels 46 BIPR Transfer-Tool, auf dem Sie zu verlassen oder Sie beabsichtigen, im Zusammenhang mit dem Transfer zum verlassen. Diese Empfehlungen enthalten (in Anhang 2) eine nicht erschöpfende Liste von Beispielen für ergänzende Maßnahmen mit einigen der Bedingungen sie erfordern würde, um wirksam zu sein. Wie ist der Fall für die entsprechenden Schutzmaßnahmen ist in den Artikel 46 Transfer-Tools enthalten sind, können einige zusätzliche Maßnahmen in einigen Ländern wirksam sein, aber nicht unbedingt in anderen. Sie werden für die Beurteilung ihrer Wirksamkeit im Zusammenhang mit der Übertragung und im Lichte des Drittlandes Gesetz und den Transfer Tool, das Sie verlassen sich auf, und Sie werden zur Rechenschaft gezogen werden für die Entscheidung, die Sie übernehmen die Verantwortung. Dies könnte verlangen, dass Sie auch mehrere ergänzende Maßnahmen zu kombinieren. Sie können schließlich feststellen, dass keine ergänzende Maßnahme einen im Wesentlichen gleichwertigen Schutz für Ihre spezifischen Übertragung gewährleisten. In den Fällen, in denen keine ergänzende Maßnahme geeignet ist, müssen Sie vermeiden, auszusetzen oder die Übertragung beenden zu beeinträchtigen das Niveau des Schutzes der persönlichen Daten zu vermeiden.

Step 5 - Formalisiert die Verfahrensschritte Ihre ergänzenden Maßnahmen zur Umsetzung

Ein fünfte Schritt ist ein formellen Verfahrensschritte, die Annahme Ihrer ergänzenden Maßnahme zu ergreifen, verlangen kann, auf dem 46 BIPR Übertragungswerkzeug Artikel ab, die Sie setzen auf. Diese Empfehlungen, diese Formalitäten angeben. Möglicherweise müssen Sie Ihre zuständigen Aufsichtsbehörden auf einige von ihnen konsultieren.

Step 6 - Überprüfen Sie Ihre ergänzende Maßnahmen regelmäßig

Die sechste und letzte Schritt wird sein, für Sie in angemessenen Abständen das Niveau des Schutzes auf die Daten gewährt, neu zu bewerten Sie in Drittländer und auf Monitor übertragen, wenn es gewesen sein oder es wird alle Entwicklungen, die es beeinflussen können. Das Prinzip der Verantwortlichkeit erfordert eine ständige Wachsamkeit des Niveaus des Schutzes personenbezogener Daten.

 

BOOK A 10 MINUTE DEMO