Schrems II in Proteus® NextGen Data Privacy™ 6 practical steps to Schrems II compliance

 

Step 1 Conosci i tuoi trasferimenti
  Quali processori di trasferire dati da e perché,
Registrare in poi trasferimenti a subincaricati,
Controllare i trasferimenti sono minime, adeguate e limitato allo scopo.
Step 2 Verificare lo strumento di trasferimento il vostro trasferimento si basa su
  decisione di adeguatezza,
Clausole contrattuali tipo (SCC),
Norme vincolanti d'impresa (BCRS),
Codici di condotta,
meccanismi di certificazione,
clausole contrattuali ad hoc o
Deroghe di cui all'articolo 49 del GDPR.
Step 3 Valutare la legge o la pratica del paese terzo
  Verificare è possibile recuperare i dati e rispondere agli Soggetto Data Access Requests (DSARs),
Effettuare valutazioni di regime.
Step 4 Individuare e adottare misure supplementari (tecnico, contrattuale o organizzativa)
  Finalità per cui i dati vengono trasferiti e trattati,
Tipi di entità coinvolte nel settore della trasformazione,
Settore in cui avviene il trasferimento,
Categorie di dati personali trasferiti,
Se i dati saranno memorizzati nel paese terzo o all'interno dell'UE / SEE,
Formato dei dati da trasferire,
trasferimenti successivi dal paese terzo verso un altro paese terzo.
Step 5 Formalizzare le fasi procedurali per implementare le misure supplementari
  Clausole contrattuali tipo (SCC),
Norme vincolanti d'impresa (BCRS),
Ad-hoc clausole contrattuali.
Step 6 Rivedere le misure supplementari regolarmente
  Può il fornitore mantenere i loro impegni a voi?
Sono le misure supplementari ancora efficace?
BOOK A 10 MINUTE DEMO

 

The European Data Protection Board (EDPB) has adopted these recommendations and most industry observers have noted that this will still entail a fair amount of legwork for affected organisations. This is where we can help. Proteus-Cyber has developed a simple standalone SaaS solution called Proteus®NextGen Schrems II which supports these six steps, providing the mechanisms for capturing and implementing the information required to follow them.

 

Step 1 - Conosci i tuoi trasferimenti

Come primo passo, l'EDPB voi, gli esportatori di dati, consiglia di conoscere i vostri trasferimenti. Mappatura tutti i trasferimenti di dati personali verso paesi terzi può essere un esercizio difficile. Essendo a conoscenza di cui i dati personali si è tuttavia necessario garantire che sia applicato un livello sostanzialmente equivalente di protezione ovunque viene elaborato. È inoltre necessario verificare che i dati di trasferimento è adeguato, pertinente e limitato a quanto necessario in relazione agli scopi per i quali viene trasferita o trattato nel paese terzo.

Step 2 - Verificare lo strumento di trasferimento il vostro trasferimento si basa su

Un secondo passo è quello di verificare lo strumento di trasferimento il vostro trasferimento si basa su, tra quelle elencate al capitolo V GDPR. Se la Commissione europea ha già dichiarato il paese, regione o settore a cui si stanno trasferendo i dati adeguati, attraverso una delle sue decisioni di adeguatezza ai sensi dell'articolo 45 GDPR o sotto la precedente direttiva 95/46 fino a quando la decisione è ancora in vigore , non sarà necessario prendere ulteriori misure, ad eccezione di monitoraggio che la decisione di adeguatezza resta valida. In assenza di una decisione di adeguatezza, è necessario fare affidamento su uno degli strumenti di trasferimento elencati ai sensi degli articoli 46 GDPR per i trasferimenti che sono regolari e ripetitivi. Solo in alcuni casi di trasferimenti occasionali e non ripetitivi potrebbe si essere in grado di contare su una delle deroghe previste dall'articolo 49 GDPR, se si soddisfano le condizioni.

Step 3 - Valutare la legge o la pratica del paese terzo

Un terzo passo è quello di valutare se c'è qualcosa nella legge o la prassi del paese terzo che può incidere sull'Efficacia delle garanzie adeguate degli strumenti di trasferimento si fa affidamento su, nel contesto del trasferimento specifica. La vostra valutazione dovrebbe essere focalizzata principalmente sulla legislazione dei paesi terzi che è rilevante per il vostro trasferimento e lo strumento di trasferimento GDPR articolo 46, si fa affidamento su e che potrebbe minare il suo livello di protezione. Per valutare gli elementi da prendere in considerazione nel valutare la legge di un paese terzo che fare con l'accesso ai dati da parte delle autorità pubbliche al fine di sorveglianza, si prega di fare riferimento alle garanzie essenziali raccomandazioni EDPB europee. In particolare, questo dovrebbe essere considerato con attenzione quando la normativa che disciplina l'accesso ai dati da parte delle autorità pubbliche è ambiguo o non disponibili al pubblico. In assenza di una normativa che disciplina le circostanze in cui le autorità pubbliche possono accedere ai dati personali, se ancora desidera procedere con il trasferimento, si dovrebbe guardare in altri fattori rilevanti e oggettivi, e non dipendere da fattori soggettivi, come la probabilità di autorità pubbliche 'accesso ai propri dati in modo non in linea con gli standard dell'UE. Si dovrebbe condurre questa valutazione con la dovuta diligenza e documentare a fondo, come si sarà responsabile in attesa per la decisione si può prendere su tale base.

Step 4 - Individuare e adottare misure supplementari (tecnico, contrattuale o organizzativa)

Un quarto passo è quello di individuare e adottare misure supplementari che sono necessarie per portare il livello di protezione dei dati trasferiti fino alla norma UE di equivalenza essenziale. Questo passaggio è necessario solo se la vostra valutazione rivela che il terzo legislazione del paese incida sull'Efficacia dello strumento di trasferimento GDPR articolo 46, si fa affidamento su o che si intende fare affidamento su nel contesto del trasferimento. Tali raccomandazioni contengono (in allegato 2) un elenco non esaustivo di esempi di misure supplementari con alcune delle condizioni che avrebbero richiedono di essere efficace. Come è il caso per le garanzie adeguate contenute negli strumenti di trasferimento Articolo 46, alcune misure supplementari possono essere efficaci in alcuni paesi, ma non necessariamente in altri. Sarete responsabile di valutare la loro efficacia nel contesto del trasferimento, e alla luce della legge di paesi terzi e lo strumento di trasferimento si fa affidamento su e sarete responsabili in attesa per la decisione che si prende. Questo potrebbe anche richiedere di combinare diversi misure supplementari. Si può infine scoprire che nessuna misura supplementare può assicurare un livello sostanzialmente equivalente di protezione per il trasferimento specifico. Nei casi in cui nessuna misura supplementare è adatto, è necessario evitare, sospendere o interrompere il trasferimento per evitare di compromettere il livello di protezione dei dati personali.

Step 5 - Formalizzare le fasi procedurali per implementare le misure supplementari

Un quinto passo è quello di prendere tutte le misure procedurali formali l'adozione della misura supplementare può richiedere, a seconda dello strumento di trasferimento GDPR articolo 46, si fa affidamento su. Queste raccomandazioni specificano queste formalità. Potrebbe essere necessario consultare le autorità di vigilanza competenti su alcuni di essi.

Step 6 - Rivedere le misure supplementari regolarmente

Il sesto e ultimo passo sarà per voi di rivalutare ad intervalli appropriati al livello di protezione ai dati trasferiti verso paesi terzi e per monitorare se ci sono stati o ci saranno eventuali sviluppi che potrebbero influire esso. Il principio di responsabilità richiede vigilanza continua del livello di protezione dei dati personali.

 

BOOK A 10 MINUTE DEMO