Step 1 | Znać swoje transfery |
---|---|
Które procesory przesyłanie danych do i dlaczego, Nagraj dalszego przekazywania procesorów podrzędnych, Sprawdź, czy transfery są minimalne, wystarczające i ograniczają się do tego celu. |
|
Step 2 | Zweryfikować narzędzie przenieść przeniesienie opiera się na |
Adekwatność decyzja, Standardowe umowna punkty (SCC), Wiążących reguł korporacyjnych (BCR), Kodeksy postępowania, mechanizmy certyfikacji, klauzule umowne ad hoc lub Odstępstwa określone w art 49 PKBR. |
|
Step 3 | Ocenić prawo lub praktyka danego państwa trzeciego |
Sprawdź, można odzyskać dane odpowiedzi do danych wniosków podlegających Access (DSARs), Przeprowadzić ocenę reżimu. |
Step 4 | Określić i przyjąć dodatkowe środki (techniczne, umowne lub organizacyjne) |
---|---|
Celów, dla których dane są przesyłane i przetworzone, Rodzaje podmiotów zajmujących się przetwarzaniem, Sektor, w którym następuje przeniesienie, Kategorie danych osobowych przekazywanych, Czy dane będą przechowywane w państwie trzecim lub w ramach UE / EOG, Format przesyłanych danych, Dalsze przekazywanie z państwa trzeciego do innego państwa trzeciego. |
|
Step 5 | Sformalizować kroki proceduralne w celu realizacji swoich działań uzupełniających |
Standardowe umowna punkty (SCC), Wiążących reguł korporacyjnych (BCR), klauzule umowne ad-hoc. |
|
Step 6 | regularnego przeglądu swoich działań uzupełniających |
Czy sprzedawca trzymać się swoich zobowiązań do ciebie? Są to dodatkowe środki nadal są skuteczne? |
The European Data Protection Board (EDPB) has adopted these recommendations and most industry observers have noted that this will still entail a fair amount of legwork for affected organisations. This is where we can help. Proteus-Cyber has developed a simple standalone SaaS solution called Proteus®NextGen Schrems II which supports these six steps, providing the mechanisms for capturing and implementing the information required to follow them.
W pierwszym etapie, EDPB radzi, eksporterów danych, aby znać swoje transfery. Mapowanie wszystkie transfery danych osobowych do państw trzecich może być trudnym zadaniem. Zdając sobie sprawę, gdzie dane osobowe idzie jest jednak konieczne, aby upewnić się, że jest ona dała zasadniczo równoważnego poziomu ochrony tam, gdzie jest on przetwarzany. Musisz również upewnić się, że dane które Transfer jest adekwatne, właściwe i ograniczone do tego, co jest konieczne w stosunku do celów, dla których jest on przenoszony do i przetwarzanych w kraju trzecim.
Drugim krokiem jest sprawdzenie funkcji przenieść przeniesienie opiera się na, między innymi wymienione w rozdziale V PKBR. Jeżeli Komisja Europejska już ogłoszony kraj, region lub sektor, do którego przesyłane są dane jako wystarczające, przez jednego z jej decyzjami adekwatności zgodnie z artykułem 45 PKBR lub w ramach poprzedniej dyrektywy 95/46, o ile decyzja ta nadal obowiązuje , nie trzeba podejmować żadnych dalszych kroków, innych niż monitorowanie że decyzja adekwatności pozostaje ważny. W przypadku braku decyzji o adekwatności, trzeba polegać na jednym z narzędzi transferowych wymienionych w artykułach 46 PKBR na transfery, które są regularne i powtarzalne. Tylko w niektórych przypadkach sporadycznych i transferów niepowtarzającego może być w stanie oprzeć się na jednego z odstępstw przewidzianych w art 49 PKBR, jeśli spełniają warunki.
Trzecim krokiem jest ocena, czy istnieje coś w prawie lub praktyce państwa trzeciego, które mogą wpływać na skuteczność odpowiednich zabezpieczeń narzędzi transferowych jesteś od nich uzależnionych, w kontekście transferu konkretnego. Twoja ocena powinna być nastawiona głównie na prawodawstwie kraju trzeciego, który jest właściwy do przeniesienia oraz Artykuł 46 narzędzie transferu PKBR jesteś powołując się na i które mogą osłabić jego poziom ochrony. Do oceny elementów, które należy wziąć pod uwagę przy ocenie prawa państwa trzeciego do czynienia z dostępu do danych przez władze publiczne do celów nadzoru, należy zapoznać się z zaleceniami europejskimi EDPB Olejki gwarancje. W szczególności należy dokładnie rozważyć, gdy przepisy regulujące dostęp do danych przez władze publiczne jest niejednoznaczny lub nie są publicznie dostępne. W przypadku braku przepisów regulujących sytuacje, w których władze publiczne mogą uzyskać dostęp do danych osobowych, jeśli nadal chcą przystąpić do transferu, należy szukać w innych właściwych i obiektywnych czynników, a nie opierać się na czynnikach subiektywnych, takich jak prawdopodobieństwa władze publiczne "dostęp do danych w sposób niezgodny z normami UE. Należy przeprowadzić tę ocenę z należytą starannością i udokumentować ją dokładnie, jak będzie pociągnięty do odpowiedzialności na decyzję można podjąć na tej podstawie.
Czwartym krokiem jest zidentyfikowanie i przyjąć dodatkowe środki, które są konieczne, aby poziom ochrony danych przekazywanych do standardów UE zasadniczej równoważności. Ten krok jest konieczny tylko jeśli ocena wykaże, że kraj trzeci nie wpływały ustawodawstwo dotyczące skuteczności narzędzia transferu PKBR Artykuł 46 jesteś powołując się lub zamierzają polegać w kontekście transferu. Zalecenia te zawierają (w załączniku 2) niewyczerpujący wykaz przykładów dodatkowych środków z niektórych warunkach wymagałyby one być skuteczne. Jak to jest w przypadku odpowiednich zabezpieczeń zawartych w artykule 46 narzędzi transferowych, niektóre dodatkowe środki mogą być skuteczne w niektórych krajach, ale niekoniecznie w innych. Będziesz odpowiedzialny za ocenę ich skuteczności w kontekście transferu, a także w świetle prawa państwa trzeciego i narzędzia transferu jesteś powołując się na i będzie ponosić odpowiedzialność za decyzję podjąć. To może również wymagać, aby połączyć kilka dodatkowych środków. można ostatecznie stwierdzić, że żaden środek uzupełniający może zapewnić zasadniczo równoważny poziom ochrony dla transferu konkretnego. W tych przypadkach, w których żaden środek uzupełniający jest odpowiednia, należy unikać, zawiesić lub zakończyć transfer do uniknięcia pogorszenia poziomu ochrony danych osobowych.
Piątym krokiem jest podjęcie żadnych formalnych kroków proceduralnych przyjęcia swojej dodatkowy środek może wymagać, w zależności od artykułu 46 narzędzie transferu PKBR jesteś od nich uzależnionych. Zalecenia te określają te formalności. Może trzeba będzie skonsultować się z właściwymi organami nadzoru na niektóre z nich.
Etap szósty i ostatni będzie dla was do ponownej oceny w odpowiednich odstępach czasu poziom ochrony zapewnianej do danych przesyłanych do krajów trzecich i do monitora, jeśli nie zostały lub nie będzie żadnych zmian, które mogą mieć wpływ. Zasada odpowiedzialności wymaga ciągłej czujności poziomu ochrony danych osobowych.
BOOK A 10 MINUTE DEMO