Schrems II in Proteus® NextGen Data Privacy™ 6 practical steps to Schrems II compliance

 

Step 1 Γνωρίστε τις μετακινήσεις σας
  Ποια επεξεργαστές μεταφέρετε δεδομένα από και γιατί,
Καταγράψτε περαιτέρω διαβιβάσεων σε υπο-επεξεργαστές,
Ελέγξτε τις μεταφορές είναι ελάχιστες, επαρκείς και αποκλειστικά για τον σκοπό.
Step 2 Βεβαιωθείτε ότι το εργαλείο μεταφοράς μεταφορά σας βασίζεται σε
  Επάρκεια απόφαση,
Τυποποιημένες συμβατικές ρήτρες (κλώνοι ενός κυττάρου),
Δεσμευτικών εταιρικών κανόνων (BCRs),
Κώδικες δεοντολογίας,
μηχανισμών πιστοποίησης,
συμβατικές ρήτρες Ad-hoc ή
Παρεκκλίσεις από το άρθρο 49 του ΑΕγχΠΠ.
Step 3 Εκτιμήστε το νόμο ή την πρακτική της τρίτης χώρας
  Βεβαιωθείτε ότι μπορείτε να ανακτήσετε τα δεδομένα και να ανταποκρίνονται σας για να Δεδομένων αιτήσεις Θέμα Πρόσβασης (DSARs),
Εκτελέστε εκτιμήσεις καθεστώς.
Step 4 Εντοπισμός και να υιοθετήσει συμπληρωματικά μέτρα (τεχνικά, συμβατικά ή οργανωτικά)
  Σκοπούς για τους οποίους μεταφέρονται τα δεδομένα και υποβάλλονται σε επεξεργασία,
Τύποι των φορέων που εμπλέκονται στην επεξεργασία,
Τομέα στον οποίο πραγματοποιείται η μεταφορά,
Κατηγορίες των προσωπικών δεδομένων που μεταφέρονται,
Το αν τα δεδομένα θα αποθηκεύονται στην τρίτη χώρα ή εντός της ΕΕ / ΕΟΧ,
Μορφή των δεδομένων που θα μεταφερθούν,
Περαιτέρω μεταφορά από τρίτη χώρα σε άλλη τρίτη χώρα.
Step 5 Επισημοποιήσουν τις διαδικαστικές ενέργειες για την εφαρμογή συμπληρωματικών μέτρων σας
  Τυποποιημένες συμβατικές ρήτρες (κλώνοι ενός κυττάρου),
Δεσμευτικών εταιρικών κανόνων (BCRs),
Ad-hoc συμβατικές ρήτρες.
Step 6 Επανεξέταση συμπληρωματικά μέτρα σας τακτικά
  Μπορεί ο προμηθευτής να κρατήσει τις δεσμεύσεις τους για να σας;
Είναι τα συμπληρωματικά μέτρα ακόμα αποτελεσματική;
BOOK A 10 MINUTE DEMO

 

The European Data Protection Board (EDPB) has adopted these recommendations and most industry observers have noted that this will still entail a fair amount of legwork for affected organisations. This is where we can help. Proteus-Cyber has developed a simple standalone SaaS solution called Proteus®NextGen Schrems II which supports these six steps, providing the mechanisms for capturing and implementing the information required to follow them.

 

Step 1 - Γνωρίστε τις μετακινήσεις σας

Ως πρώτο βήμα, η EDPB σας, οι εξαγωγείς των δεδομένων, συμβουλεύει να γνωρίζουν τις μετακινήσεις σας. Χαρτογράφηση όλες τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες μπορεί να είναι ένα δύσκολο εγχείρημα. Έχοντας επίγνωση του πού τα προσωπικά δεδομένα πηγαίνει Ωστόσο, είναι αναγκαίο να διασφαλιστεί ότι παρέχεται ένα ουσιαστικά ισοδύναμο επίπεδο προστασίας, όπου γίνεται η επεξεργασία. Θα πρέπει επίσης να βεβαιωθείτε ότι τα δεδομένα που μεταφέρει είναι κατάλληλα, συναφή και να περιορίζονται στα απολύτως αναγκαία σε σχέση με τους σκοπούς για τους οποίους μεταφέρεται και επεξεργασία στην τρίτη χώρα.

Step 2 - Βεβαιωθείτε ότι το εργαλείο μεταφοράς μεταφορά σας βασίζεται σε

Ένα δεύτερο βήμα είναι να ελέγξει το εργαλείο μεταφοράς μεταφορά σας βασίζεται σε, μεταξύ αυτών που αναφέρονται στο κεφάλαιο V ΑΕγχΠΠ. Εάν η Ευρωπαϊκή Επιτροπή έχει ήδη δηλώσει τη χώρα, την περιοχή ή τομέα στον οποίο μεταφέρετε τα δεδομένα ως επαρκή, μέσω μιας από τις αποφάσεις της επάρκειας σύμφωνα με το άρθρο 45 ΑΕγχΠΠ ή κάτω από την προηγούμενη οδηγία 95/46 όσο διάστημα η απόφαση εξακολουθεί να ισχύει , δεν θα χρειαστεί να λάβει περαιτέρω μέτρα, εκτός από τον έλεγχο ότι η απόφαση επάρκεια παραμένει σε ισχύ. Ελλείψει μιας απόφασης επάρκεια, θα πρέπει να βασίζονται σε ένα από τα εργαλεία μεταφοράς αναφέρονται σύμφωνα με τα άρθρα 46 ΑΕγχΠΠ για τις μεταφορές που είναι τακτικές και επαναλαμβανόμενες. Μόνο σε ορισμένες περιπτώσεις έκτακτων και μη επαναλαμβανόμενων μεταφορών μπορεί να είστε σε θέση να βασίζονται σε μια από τις παρεκκλίσεις που προβλέπονται στο άρθρο 49 ΑΕγχΠΠ, εάν πληρούν τις προϋποθέσεις.

Step 3 - Εκτιμήστε το νόμο ή την πρακτική της τρίτης χώρας

Ένα τρίτο βήμα είναι να αξιολογηθεί αν υπάρχει κάτι στο νόμο ή την πρακτική της τρίτης χώρας που μπορεί να επηρεάσει την αποτελεσματικότητα των κατάλληλων εγγυήσεων των εργαλείων μεταφοράς που βασίζονται σε, στο πλαίσιο της μεταφοράς ειδικό σας. Η αξιολόγησή σας θα πρέπει να επικεντρωθεί κατά κύριο λόγο σχετικά με τη νομοθεσία τρίτων χωρών που είναι σχετικές με τη μεταφορά σας και το εργαλείο μεταφοράς ΑΕγχΠΠ το άρθρο 46 που βασίζονται σε και ότι μπορεί να υπονομεύσει το επίπεδο της προστασίας. Για την αξιολόγηση των στοιχείων που πρέπει να λαμβάνονται υπόψη κατά την αξιολόγηση της νομοθεσίας της τρίτης χώρας που ασχολούνται με την πρόσβαση στα δεδομένα από τις δημόσιες αρχές για τους σκοπούς της εποπτείας, παρακαλούμε ανατρέξτε στις EDPB Ευρωπαϊκή βασικές εγγυήσεις συστάσεις. Ειδικότερα, αυτό θα πρέπει να εξεταστεί προσεκτικά, όταν η νομοθεσία που διέπει την πρόσβαση στα δεδομένα από τις δημόσιες αρχές είναι ασαφής ή δεν είναι διαθέσιμες στο κοινό. Σε περίπτωση απουσίας της νομοθεσίας που διέπει τις περιπτώσεις στις οποίες οι δημόσιες αρχές μπορούν να έχουν πρόσβαση σε προσωπικά δεδομένα, αν εξακολουθείτε να θέλετε να συνεχίσετε με τη μεταφορά, θα πρέπει να εξετάσουμε και άλλα συναφή και αντικειμενικά στοιχεία, και δεν στηρίζονται σε υποκειμενικά στοιχεία, όπως η πιθανότητα των δημόσιων αρχών «πρόσβαση στα δεδομένα σας με τρόπο που δεν συνάδει με τα πρότυπα της ΕΕ. Θα πρέπει να διενεργήσει την αξιολόγηση αυτή με τη δέουσα επιμέλεια και να τεκμηριώσει το καλά, όπως θα πρέπει να λογοδοτήσουν για την απόφαση που μπορεί να λάβει σε αυτή τη βάση.

Step 4 - Εντοπισμός και να υιοθετήσει συμπληρωματικά μέτρα (τεχνικά, συμβατικά ή οργανωτικά)

Ένα τέταρτο βήμα είναι να εντοπιστούν και να υιοθετήσει συμπληρωματικά μέτρα που είναι απαραίτητα για να φέρει το επίπεδο προστασίας των δεδομένων που μεταφέρονται μέχρι το επίπεδο των βασικών ισοδυναμίας της ΕΕ. Αυτό το βήμα είναι απαραίτητο μόνο αν η εκτίμησή σας αποκαλύπτει ότι η τρίτη νομοθεσία της χώρας προσκρούει σχετικά με την αποτελεσματικότητα του εργαλείου μεταφοράς ΑΕγχΠΠ το άρθρο 46 που βασίζονται σε ή σκοπεύετε να επικαλεστεί στο πλαίσιο της μεταφοράς σας. Αυτές οι συστάσεις περιέχουν (στο παράρτημα 2) ένα μη εξαντλητικό κατάλογο των παραδειγμάτων των συμπληρωματικών μέτρων με μερικές από τις συνθήκες που θα απαιτήσει για να είναι αποτελεσματική. Όπως συμβαίνει και με τις κατάλληλες διασφαλίσεις που περιέχονται στα εργαλεία μεταφοράς του άρθρου 46, ορισμένα συμπληρωματικά μέτρα μπορεί να είναι αποτελεσματικά σε ορισμένες χώρες, αλλά όχι απαραίτητα σε άλλους. Θα είναι υπεύθυνος για την αξιολόγηση της αποτελεσματικότητάς τους, στο πλαίσιο της μεταφοράς, και υπό το πρίσμα του δικαίου τρίτης χώρας και το εργαλείο μεταφοράς που βασίζονται σε και θα πρέπει να λογοδοτήσουν για την απόφαση που παίρνετε. Αυτό μπορεί επίσης να σας ζητήσει να συνδυάζουν διάφορα συμπληρωματικά μέτρα. Μπορεί τελικά να διαπιστώσετε ότι δεν είναι συμπληρωματικό μέτρο μπορεί να εξασφαλίσει ένα ουσιαστικά ισοδύναμο επίπεδο προστασίας για τη μεταφορά συγκεκριμένων σας. Σε αυτές τις περιπτώσεις όπου δεν υπάρχει συμπληρωματικό μέτρο είναι κατάλληλο, θα πρέπει να αποφύγετε, να αναστείλει ή να τερματίσει τη μεταφορά να μην διακυβεύεται το επίπεδο προστασίας των προσωπικών δεδομένων.

Step 5 - Επισημοποιήσουν τις διαδικαστικές ενέργειες για την εφαρμογή συμπληρωματικών μέτρων σας

Ένα πέμπτο βήμα είναι να προβεί σε οποιαδήποτε επίσημη διαδικαστικά βήματα τη λήψη συμπληρωματικών μέτρων σας μπορεί να απαιτεί, ανάλογα με το εργαλείο μεταφοράς ΑΕγχΠΠ το άρθρο 46 που βασίζονται σε. Οι συστάσεις αυτές καθορίσετε αυτές τις διατυπώσεις. Μπορεί να χρειαστεί να συμβουλευτείτε τις αρμόδιες εποπτικές αρχές της χώρας σας σχετικά με κάποια από αυτά.

Step 6 - Επανεξέταση συμπληρωματικά μέτρα σας τακτικά

Το έκτο και τελευταίο βήμα θα είναι για σας να αξιολογήσει εκ νέου σε τακτά χρονικά διαστήματα το επίπεδο προστασίας που παρέχεται στα δεδομένα που μεταφέρετε σε τρίτες χώρες και να παρακολουθεί αν υπήρξαν ή θα υπάρξουν οποιεσδήποτε εξελίξεις που ενδέχεται να επηρεάσουν. Η αρχή της λογοδοσίας απαιτεί συνεχή επαγρύπνηση του επιπέδου προστασίας των προσωπικών δεδομένων.

 

BOOK A 10 MINUTE DEMO