Schrems II in Proteus® NextGen Data Privacy™ 6 practical steps to Schrems II compliance

 

Step 1 Connaissez vos transferts
  Quels sont les processeurs que vous transférez des données et pourquoi,
Enregistrez les transferts ultérieurs aux sous-processeurs,
Vérifiez les transferts sont minimes, adéquates et limitées aux fins.
Step 2 Vérifiez l'outil de transfert de votre transfert repose sur
  décision d'adéquation,
Norme contractuelle articles (CSSC),
Règles d'entreprise contraignantes (BCR),
Codes de conduite,
mécanismes de certification,
Ad hoc ou clauses contractuelles
Dérogations à L'Article 49 de la GDPR.
Step 3 Évaluer la loi ou la pratique du pays tiers
  Vérifiez que vous pouvez récupérer vos données et de répondre aux demandes d'accès de données Objet (RMORCD),
Effectuer des évaluations du régime.
Step 4 Identifier et adopter des mesures complémentaires (techniques, contractuelles ou organisation)
  Fins pour lesquelles les données sont transférées et traitées,
Types d'entités impliquées dans le traitement,
Secteur dans lequel le transfert a lieu,
Catégories de données personnelles transférées,
Que les données seront stockées dans le pays tiers ou au sein de L'uE / EEE,
Format des données à transférer,
Les transferts ultérieurs du pays tiers vers un autre pays tiers.
Step 5 Formaliser les étapes de la procédure pour mettre en œuvre vos mesures complémentaires
  Norme contractuelle articles (CSSC),
Règles d'entreprise contraignantes (BCR),
Ad hoc des clauses contractuelles.
Step 6 Passez en revue vos mesures complémentaires régulièrement
  le vendeur peut-il garder à leurs engagements envers vous?
Les mesures supplémentaires encore efficaces?
BOOK A 10 MINUTE DEMO

 

The European Data Protection Board (EDPB) has adopted these recommendations and most industry observers have noted that this will still entail a fair amount of legwork for affected organisations. This is where we can help. Proteus-Cyber has developed a simple standalone SaaS solution called Proteus®NextGen Schrems II which supports these six steps, providing the mechanisms for capturing and implementing the information required to follow them.

 

Step 1 - Connaissez vos transferts

Dans un premier temps, le EDPB vous conseille, les exportateurs de données, de connaître vos transferts. Cartographie de tous les transferts de données personnelles vers des pays tiers peut être un exercice difficile. Être conscient de l'endroit où les données personnelles va est cependant nécessaire de veiller à ce qu'il soit donné un niveau de protection équivalent essentiellement là où elle est traitée. Vous devez également vérifier que les données que vous transférez adéquates, pertinentes et limitées à ce qui est nécessaire par rapport aux fins pour lesquelles elle est transférée et traitée dans le pays tiers.

Step 2 - Vérifiez l'outil de transfert de votre transfert repose sur

Une deuxième étape consiste à vérifier l'outil de transfert de votre transfert repose sur, parmi ceux énumérés dans le chapitre V GDPR. Si la Commission européenne a déjà déclaré que le pays, la région ou du secteur auquel vous transférez les données adéquates, par L'une de ses décisions d'adéquation de L'Article 45 GDPR ou en vertu de la directive 95/46 précédente tant que la décision est toujours en vigueur , vous aurez pas besoin de prendre d'autres mesures, autres que la surveillance que la décision d'adéquation reste valable. En L'Absence d'une décision d'adéquation, vous devez compter sur L'un des outils de transfert énumérés aux articles 46 GDPR pour les transferts qui sont réguliers et répétitifs. Dans certains cas seulement des transferts occasionnels et non répétitifs vous pouvez pouvoir compter sur L'une des dérogations prévues à L'Article 49 GDPR, si vous remplissez les conditions.

Step 3 - Évaluer la loi ou la pratique du pays tiers

Une troisième étape consiste à déterminer s'il y a quelque chose dans la loi ou la pratique du pays tiers qui pourraient porter atteinte à l'efficacité des mesures de protection appropriées des outils de transfert que vous comptez sur, dans le cadre de votre transfert spécifique. Votre évaluation devrait être principalement axé sur la législation du pays tiers qui est pertinent pour votre transfert et L'Article 46 outil de transfert de GDPR vous comptez sur et qui portent atteinte à son niveau de protection. Pour évaluer les éléments à prendre en compte lors de L'évaluation de la législation d'un pays tiers portant sur L'Accès aux données par les pouvoirs publics aux fins de surveillance, s'il vous plaît se référer aux recommandations européennes essentielles EDPB Garanties. En particulier, cela devrait être examinée avec soin lorsque la législation régissant L'Accès aux données par les pouvoirs publics est ambiguë ou non accessible au public. En L'Absence de législation régissant les circonstances dans lesquelles les pouvoirs publics peuvent accéder à des données personnelles, si vous souhaitez toujours procéder au transfert, vous devriez examiner d'autres facteurs pertinents et objectifs, et ne pas compter sur des facteurs subjectifs tels que la probabilité des pouvoirs publics 'accès à vos données d'une manière non conforme aux normes européennes. Vous devez effectuer cette évaluation avec la diligence voulue et documenter à fond, comme vous serez tenu pour responsable de la décision que vous pouvez prendre sur cette base.

Step 4 - Identifier et adopter des mesures complémentaires (techniques, contractuelles ou organisation)

Une quatrième étape consiste à identifier et adopter des mesures supplémentaires qui sont nécessaires pour mettre le niveau de protection des données transférées à la norme européenne d'équivalence essentielle. Cette étape est nécessaire uniquement si votre évaluation révèle que la législation des pays tiers empiète sur l'efficacité de L'Article 46 outil de transfert de GDPR vous comptez ou vous avez l'intention de compter dans le cadre de votre transfert. Ces recommandations contiennent (en annexe 2) une liste non exhaustive d'exemples de mesures supplémentaires avec certaines conditions ils ont besoin pour être efficaces. Comme cela est le cas pour les mesures de sauvegarde appropriées contenues dans les outils de transfert Article 46, certaines mesures complémentaires peuvent être efficaces dans certains pays, mais pas nécessairement dans d'autres. Vous serez chargé d'évaluer leur efficacité dans le contexte du transfert, et à la lumière de la troisième loi du pays et l'outil de transfert que vous comptez sur et vous serez tenus responsables de la décision que vous prenez. Cela pourrait aussi vous demander de combiner plusieurs mesures supplémentaires. Vous pouvez finalement constater qu'aucune mesure supplémentaire ne peut garantir un niveau de protection équivalent essentiellement pour votre transfert spécifique. Dans les cas où aucune mesure supplémentaire est appropriée, vous devez éviter, suspendre ou résilier le transfert pour ne pas compromettre le niveau de protection des données personnelles.

Step 5 - Formaliser les étapes de la procédure pour mettre en œuvre vos mesures complémentaires

Une cinquième étape consiste à prendre toutes les étapes de la procédure formelle de l'adoption de votre mesure supplémentaire peut exiger, selon l'article 46 outil de transfert de GDPR vous comptez sur. Ces recommandations précisent ces formalités. Vous devrez peut-être consulter les autorités de surveillance compétentes sur certains d'entre eux.

Step 6 - Passez en revue vos mesures complémentaires régulièrement

La sixième et dernière étape sera pour vous de réévaluer à intervalles appropriés le niveau de protection des données transférées vers des pays tiers et à contrôler s'il y a eu ou il y aura des développements qui peuvent L'Affecter. Le principe de responsabilité exige une vigilance continue du niveau de protection des données personnelles.

 

BOOK A 10 MINUTE DEMO