Schrems II in Proteus® NextGen Data Privacy™ 6 practical steps to Schrems II compliance

 

Step 1 Ken uw transfers
  Welke processors u gegevens overbrengen naar en waarom,
Neem doorgifte aan sub-processors,
Controleer de transfers zijn minimaal, adequaat en alleen voor het doel.
Step 2 Controleer of de overdracht gereedschap uw transfer is gebaseerd op
  Toereikendheid beslissing,
Modelcontractbepalingen (SCC),
Binding Corporate Rules (BCR),
Gedragscodes,
Certificeringsmechanismen,
Ad-hoc contractbepalingen of
Afwijkingen in artikel 49 van het BBPR.
Step 3 Beoordelen van de wet of de praktijk van het derde land
  Controleer of u kunt uw gegevens en reageren herstellen Betrokkene Access Requests (DSARs),
Voer regime assessments.
Step 4 Identificeren en vast te stellen aanvullende maatregelen (technische, contractuele of organisatorisch)
  Doeleinden waarvoor de gegevens worden overgedragen en verwerkt,
Soorten entiteiten die betrokken zijn bij de verwerking,
Sector waarin de overdracht plaatsvindt,
Categorieën persoonsgegevens overgedragen,
Of de gegevens worden opgeslagen in het derde land of binnen de EU / EER,
Formaat van de data over te dragen,
Verdere doorgifte van het derde land naar een ander derde land.
Step 5 Formaliseer de procedurele stappen om uw aanvullende maatregelen uit te voeren
  Modelcontractbepalingen (SCC),
Binding Corporate Rules (BCR),
Ad-hoc contractbepalingen.
Step 6 Controleer uw aanvullende maatregelen regelmatig
  Kan de verkoper te houden aan hun verplichtingen voor u?
Zijn de aanvullende maatregelen nog steeds effectief?
BOOK A 10 MINUTE DEMO

 

The European Data Protection Board (EDPB) has adopted these recommendations and most industry observers have noted that this will still entail a fair amount of legwork for affected organisations. This is where we can help. Proteus-Cyber has developed a simple standalone SaaS solution called Proteus®NextGen Schrems II which supports these six steps, providing the mechanisms for capturing and implementing the information required to follow them.

 

Step 1 - Ken uw transfers

Als eerste stap, de EDPB adviseert u, data exporteurs, om te weten uw transfers. Het in kaart brengen van alle overdrachten van persoonsgegevens naar derde landen kan een moeilijke oefening. Bewust waar de gegevens gaat echter voor worden gezorgd dat het geboden een in wezen gelijkwaardig beschermingsniveau waar het wordt verwerkt. U moet ook controleren of de gegevens die u over te dragen is adequaat, relevant en beperkt tot wat nodig is in verhouding tot de doeleinden waarvoor het wordt overgedragen aan en verwerkt in het derde land.

Step 2 - Controleer of de overdracht gereedschap uw transfer is gebaseerd op

Een tweede stap is om de overdracht gereedschap uw transfer vertrouwt op, onder degenen die onder hoofdstuk V GDPR controleren. Als de Europese Commissie al het land, regio of sector waartoe u de overdracht van de gegevens adequaat is, op grond van artikel 45 GDPR of onder de vorige richtlijn 95/46 zo lang heeft verklaard door een van de toereikendheid beslissingen als de beslissing is nog steeds van kracht , zult u niet nodig om verdere stappen, met uitzondering van het toezicht dat de toereikendheid besluit van kracht blijft nemen. Bij het ontbreken van een passend beschermingsniveau beslissing, moet u rekenen op een van de overdracht instrumenten vermeld in de artikelen 46 GDPR voor overdrachten die regelmatig en repetitief zijn. Alleen in sommige gevallen van incidentele en niet-repetitieve transfers kunt u kunnen rekenen op een van de in artikel 49 GDPR uitzonderingen, als u aan de voorwaarden voldoet.

Step 3 - Beoordelen van de wet of de praktijk van het derde land

Een derde stap is om te beoordelen of er iets in de wetgeving of praktijk van het derde land dat nadelige invloed heeft op de effectiviteit van de passende waarborgen van de overdracht tools die u vertrouwen op, in de context van uw specifieke transfer. Uw evaluatie moet in de eerste plaats gericht zijn op de wetgeving van derde landen die om uw transfer en de artikel 46 BBPR overdracht hulpmiddel dat je vertrouwen op en dat mag haar niveau van bescherming te ondermijnen relevant is. Voor het evalueren van de elementen waarmee rekening moet worden gehouden bij de beoordeling van het recht van een derde land te maken met toegang tot de gegevens door de overheid voor het doel van het toezicht, verwijzen wij u naar de EDPB Europese essentiële garanties aanbevelingen. In het bijzonder moet dit zorgvuldig worden overwogen bij de wetgeving inzake de toegang tot de gegevens door de overheid is dubbelzinnig of niet publiekelijk beschikbaar. Bij het ontbreken van wetgeving inzake de omstandigheden waarin de overheid kunnen toegang krijgen tot persoonlijke gegevens, als je nog wilt gaan met de overdracht, moet je kijken naar andere relevante en objectieve factoren, en niet vertrouwen op subjectieve factoren, zoals de waarschijnlijkheid van de overheid 'toegang tot uw gegevens op een manier die niet in overeenstemming met de EU-normen. U moet deze evaluatie als een goede huisvader te voeren en te documenteren het grondig, zoals u verantwoording afleggen aan de beslissing die je op die basis kan nemen zal zijn.

Step 4 - Identificeren en vast te stellen aanvullende maatregelen (technische, contractuele of organisatorisch)

Een vierde stap is het identificeren en vast te stellen aanvullende maatregelen die nodig zijn om het niveau van bescherming van de overgedragen aan de EU-norm van essentiële gelijkwaardigheid gegevens te brengen. Deze stap is alleen nodig als uw beoordeling blijkt dat de wetgeving van derde landen afbreuk doet aan de doeltreffendheid van het artikel 46 BBPR overdracht hulpmiddel bent u vertrouwen op of u van plan bent om op te vertrouwen in de context van uw transfer. Deze aanbevelingen bevatten (in bijlage 2) een niet-limitatieve lijst van voorbeelden van aanvullende maatregelen met een aantal van de voorwaarden die zij zou vereisen om effectief te zijn. Zoals het geval is voor de passende waarborgen opgenomen in de artikel 46 overdracht gereedschap, kunnen sommige aanvullende maatregelen effectief zijn in sommige landen, maar niet noodzakelijkerwijs in anderen. U bent verantwoordelijk voor het beoordelen van de effectiviteit ervan in het kader van de overdracht, en in het licht van de wet van derde landen en de overdracht tool die je vertrouwen op en je zal verantwoordelijk gehouden voor de beslissing die u nemen. Dit kan u ook nodig heeft om een aantal aanvullende maatregelen te combineren. Je kan uiteindelijk vinden dat er geen aanvullende maatregel kan zorgen voor een in wezen gelijkwaardig niveau van bescherming voor uw specifieke transfer. In die gevallen waar geen aanvullende maatregel geschikt is, moet u voorkomen, op te schorten of de overdracht te beëindigen om te voorkomen dat afbreuk te doen aan het niveau van bescherming van de persoonsgegevens.

Step 5 - Formaliseer de procedurele stappen om uw aanvullende maatregelen uit te voeren

Een vijfde stap is om het even welke formele procedurele stappen nemen de goedkeuring van uw aanvullende maatregel nodig, afhankelijk van de artikel 46 BBPR overdracht hulpmiddel dat je vertrouwen op. Deze aanbevelingen specificeren deze formaliteiten. Mogelijk moet u uw bevoegde toezichthoudende autoriteiten te raadplegen over een aantal van hen.

Step 6 - Controleer uw aanvullende maatregelen regelmatig

De zesde en laatste stap zal zijn voor u om opnieuw te evalueren met geschikte tussenpozen het niveau van bescherming van de gegevens die u over te dragen aan derde landen en aan de monitor als er zijn of er ontwikkelingen die het kan van invloed zijn. Het principe van verantwoording vergt een voortdurende waakzaamheid van het niveau van bescherming van persoonsgegevens.

 

BOOK A 10 MINUTE DEMO