Schrems II in Proteus® NextGen Data Privacy™ 6 practical steps to Schrems II compliance

 

Step 1 Conocer sus transferencias
  Los procesadores de transferir datos hacia y por qué,
Grabar en adelante las transferencias a los sub-procesadores,
Comprobar las transferencias son mínimos, adecuada y limitada al objeto.
Step 2 Comprobar la herramienta de transferencia de su traslado se basa en
  Decisión de adecuación,
Estándar cláusulas contractuales (SCC),
Normas corporativas vinculantes (BCR),
Códigos de conducta,
mecanismos de certificación,
cláusulas contractuales ad-hoc o
Excepciones del artículo 49 de la GDPR.
Step 3 Evaluar la ley o en la práctica del tercer país
  Compruebe que puede recuperar sus datos y responder a solicitudes de datos de acceso (Asunto DSARs),
Realizar evaluaciones de régimen.
Step 4 Identificar y adoptar medidas complementarias (técnica, contractual o de organización)
  Fines para los que los datos son transferidos y procesados,
Tipos de entidades que participan en el procesamiento,
Sector en el que se produce la transferencia,
Categorías de datos personales transferidos,
Si los datos se almacenan en el tercer país o dentro de la UE / EEE,
Formato de los datos a transferir,
transferencias posteriores desde el tercer país a otro tercer país.
Step 5 Formalizar los pasos de procedimientos para poner en práctica sus medidas complementarias
  Estándar cláusulas contractuales (SCC),
Normas corporativas vinculantes (BCR),
Ad-hoc cláusulas contractuales.
Step 6 Revisar sus medidas suplementarias regularidad
  ¿Puede el vendedor mantener a sus compromisos con usted?
Son las medidas complementarias siendo eficaz?
BOOK A 10 MINUTE DEMO

 

The European Data Protection Board (EDPB) has adopted these recommendations and most industry observers have noted that this will still entail a fair amount of legwork for affected organisations. This is where we can help. Proteus-Cyber has developed a simple standalone SaaS solution called Proteus®NextGen Schrems II which supports these six steps, providing the mechanisms for capturing and implementing the information required to follow them.

 

Step 1 - Conocer sus transferencias

Como primer paso, el EDPB que, los exportadores de datos, informa a conocer sus transferencias. Mapeo de todas las transferencias de datos personales a terceros países puede ser un ejercicio difícil. Ser consciente de que los datos personales va embargo, es necesario asegurarse de que que se le concede un nivel esencialmente equivalente de protección donde se procesa. También debe verificar que los datos a transferir es adecuado, pertinente y limitado a lo estrictamente necesario en relación con los fines para los que se sean transferidos y procesados en el tercer país.

Step 2 - Comprobar la herramienta de transferencia de su traslado se basa en

Un segundo paso es verificar la herramienta de transferencia de su traslado se basa en, entre los enumerados en el Capítulo V GDPR. Si la Comisión Europea ya ha declarado el país, región o sector al que va a transferir los datos a medida adecuada, a través de una de sus decisiones de adecuación de conformidad con el artículo 45 GDPR o debajo de la anterior Directiva 95/46, siempre y cuando la decisión se encuentra todavía en vigor , usted no tendrá que tomar más medidas, aparte de la vigilancia que la decisión de la adecuación sigue siendo válida. En ausencia de una decisión de adecuación, es necesario confiar en una de las herramientas de transferencia que figuran en los artículos 46 GDPR para las transferencias que son regulares y repetitivos. Sólo en algunos casos de transferencias ocasionales y no repetitivas que puede ser capaz de confiar en una de las excepciones previstas en el artículo 49 GDPR, si cumple con las condiciones.

Step 3 - Evaluar la ley o en la práctica del tercer país

Un tercer paso es evaluar si hay algo en la ley o en la práctica del tercer país que pueden afectar a la eficacia de las salvaguardas apropiadas de las herramientas de transferencia que está confiando en, en el contexto de su traslado específico. Su evaluación se centra principalmente en la legislación tercer país que sea relevante para su traslado y la herramienta de transferencia GDPR artículo 46 que está confiando en y que puede socavar su nivel de protección. Para la evaluación de los elementos que deben tenerse en cuenta al evaluar la legislación de un tercer país sobre el acceso a los datos de las autoridades públicas con el propósito de vigilancia, por favor refiérase a las recomendaciones europeas EDPB garantías esenciales. En particular, esto debe ser considerado cuidadosamente cuando la legislación que regula el acceso a los datos de las autoridades públicas es ambigua o no estén disponibles. En ausencia de legislación que regula las circunstancias en las que las autoridades públicas pueden acceder a los datos personales, si todavía desea proceder con la transferencia, usted debe buscar en otros factores pertinentes y objetivas, y no depender de factores subjetivos tales como la probabilidad de que las autoridades públicas 'acceso a sus datos de una manera no acorde con las normas de la UE. Debe llevar a cabo esta evaluación con la debida diligencia y documentar a fondo, ya que será responsable retenida a la decisión que puede tomar sobre esa base.

Step 4 - Identificar y adoptar medidas complementarias (técnica, contractual o de organización)

Un cuarto paso es identificar y adoptar medidas complementarias que sean necesarias para lograr el nivel de protección de los datos transferidos a la altura de la equivalencia esencial de la UE. Este paso sólo es necesario si la evaluación revela que los terceros incide la legislación del país sobre la eficacia de la herramienta de transferencia GDPR artículo 46, que se apoyan en o que tienen la intención de confiar en en el contexto de su traslado. Estas recomendaciones contienen (en el anexo 2) una lista no exhaustiva de ejemplos de medidas complementarias con algunas de las condiciones que se requieren para ser eficaz. Como es el caso de las garantías adecuadas contenidas en las herramientas de transferencia del artículo 46, algunas medidas complementarias pueden ser eficaces en algunos países, pero no necesariamente en otros. Usted será responsable de evaluar su eficacia en el contexto de la transferencia, ya la luz de las leyes del país tercero y la herramienta de transferencia que está confiando en y usted será responsable retenida por la decisión que tome. Esto también podría requerir que combinar varias medidas complementarias. Que en última instancia puede encontrar que hay una medida complementaria puede garantizar un nivel esencialmente equivalente de protección para su transferencia específica. En aquellos casos en que no es adecuado medida complementaria, se debe evitar, suspender o terminar la transferencia para evitar poner en peligro el nivel de protección de los datos personales.

Step 5 - Formalizar los pasos de procedimientos para poner en práctica sus medidas complementarias

Un quinto paso consiste en tomar todas las medidas procesales formales de la adopción de la medida complementaria puede requerir, en función de la herramienta de transferencia GDPR artículo 46 que está confiando en. Estas recomendaciones especifican estos trámites. Es posible que necesite consultar a las autoridades de supervisión competentes en algunos de ellos.

Step 6 - Revisar sus medidas suplementarias regularidad

El sexto y último paso será para que usted pueda volver a evaluar a intervalos apropiados al nivel de protección de los datos que transfiera a terceros países y al monitor si ha habido o habrá alguna novedad que pueda afectar a la misma. El principio de rendición de cuentas requiere una vigilancia continua del nivel de protección de datos personales.

 

BOOK A 10 MINUTE DEMO