Schrems II in Proteus® NextGen Data Privacy™ 6 practical steps to Schrems II compliance

 

Step 1 Conheça os seus transferências
  Que processadores você transferir dados para e por isso,
Grave a frente das transferências para sub-processadores,
Verifique as transferências são mínimas, adequada e limitada ao fim.
Step 2 Verifique a ferramenta de transferência de sua transferência depende de
  decisão de adequação,
Norma Contratual Clauses (CCEs),
Regras vinculativas das empresas (BCR),
Códigos de conduta,
mecanismos de certificação,
cláusulas contratuais ad-hoc ou
Derrogações previstas no artigo 49 da PIBR.
Step 3 Avaliar a lei ou prática do país terceiro
  Verifique se você pode recuperar seus dados e responder a solicitações de dados Assunto Access (DSARs),
Realizar avaliações de regime.
Step 4 Identificar e adoptar medidas suplementares (técnico, contratual ou organizacional)
  Fins para os quais os dados são transferidos e processados,
Tipos de entidades envolvidas no processamento,
Sector em que ocorre a transferência,
Categorias de dados pessoais transferidos,
Se os dados serão armazenados no país terceiro ou dentro da UE / EEE,
Formato dos dados a serem transferidos,
transferências subsequentes do país terceiro para outro país terceiro.
Step 5 Formalizar os passos processuais para implementar suas medidas suplementares
  Norma Contratual Clauses (CCEs),
Regras vinculativas das empresas (BCR),
Ad-hoc cláusulas contratuais.
Step 6 Reveja suas medidas suplementares regularmente
  Pode o fornecedor manter os seus compromissos para você?
São as medidas suplementares ainda eficaz?
BOOK A 10 MINUTE DEMO

 

The European Data Protection Board (EDPB) has adopted these recommendations and most industry observers have noted that this will still entail a fair amount of legwork for affected organisations. This is where we can help. Proteus-Cyber has developed a simple standalone SaaS solution called Proteus®NextGen Schrems II which supports these six steps, providing the mechanisms for capturing and implementing the information required to follow them.

 

Step 1 - Conheça os seus transferências

Como primeiro passo, o EDPB aconselha, os exportadores de dados, para saber suas transferências. Mapeando todas as transferências de dados pessoais para países terceiros pode ser um exercício difícil. Estar ciente de onde os dados pessoais vai No entanto, é necessário para garantir que ele é concedido um nível essencialmente equivalente de protecção onde quer que seja processado. Você também deve verificar se os dados que você transferir é adequado, pertinente e limitada ao que é necessário em relação aos fins para os quais são transferidos para e processados no país terceiro.

Step 2 - Verifique a ferramenta de transferência de sua transferência depende de

Um segundo passo é verificar a ferramenta de transferência de sua transferência depende, entre aqueles listados sob o Capítulo V PIBR. Se a Comissão Europeia já declarou o país, região ou sector para o qual você está transferindo os dados como adequada, através de uma das suas decisões de adequação nos termos do artigo 45 PIBR ou sob a anterior Directiva 95/46, desde que a decisão ainda está em vigor , você não vai precisar de tomar quaisquer outras medidas, para além de monitoramento que a decisão de adequação permanece válida. Na ausência de uma decisão de adequação, você precisa confiar em uma das ferramentas de transferência listadas nos termos dos artigos 46 PIBR para transferências que são regular e repetitivo. Apenas em alguns casos de transferências ocasionais e não-repetitivas podem lhe ser capaz de confiar em uma das derrogações previstas no artigo 49 PIBR, se você cumprir as condições.

Step 3 - Avaliar a lei ou prática do país terceiro

Um terceiro passo é avaliar se há alguma coisa na lei ou na prática do país terceiro que possam colidir com a eficácia das salvaguardas apropriadas das ferramentas de transferência você está confiando em, no contexto da sua transferência específica. Sua avaliação deve ser focado principalmente na legislação de países terceiros que sejam relevantes para a sua transferência e a ferramenta de transferência PIBR artigo 46 você está confiando em e que pode comprometer o seu nível de protecção. Para avaliar os elementos a ter em conta na avaliação da lei de um país terceiro lidando com acesso aos dados pelas autoridades públicas para efeitos de vigilância, por favor consulte as recomendações EDPB Europeia garante essenciais. Em particular, este deve ser cuidadosamente considerada quando a legislação que regula o acesso aos dados pelas autoridades públicas é ambígua ou não está disponível publicamente. Na ausência de legislação que rege as circunstâncias em que as autoridades públicas poderão aceder a dados pessoais, se você ainda deseja prosseguir com a transferência, você deve olhar para outros fatores pertinentes e objectivas, e não depender de fatores subjetivos, como a probabilidade das autoridades públicas 'acesso aos seus dados de forma não em conformidade com as normas da UE. Você deve conduzir esta avaliação com a devida diligência e documentá-lo completamente, como você vai ser responsável held para a decisão que você pode tomar com base nisso.

Step 4 - Identificar e adoptar medidas suplementares (técnico, contratual ou organizacional)

A quarta etapa é identificar e adoptar medidas suplementares que são necessárias para trazer o nível de protecção dos dados transferidos até o padrão de equivalência essencial da UE. Este passo só é necessário se a sua avaliação revela que o terceiro possa colidir legislação do país sobre a eficácia da ferramenta de transferência PIBR artigo 46 você está contando com ou você pretende contar com no contexto de sua transferência. Estas recomendações contêm (em anexo 2) uma lista não exaustiva de exemplos de medidas suplementares com algumas das condições que eles exigem para ser eficaz. Como é o caso para as salvaguardas apropriadas contidas nas ferramentas de transferência Artigo 46, algumas medidas suplementares podem ser eficazes em alguns países, mas não necessariamente em outros. Você será responsável por avaliar a sua eficácia no contexto da transferência, e à luz da lei de países terceiros e a ferramenta de transferência você está confiando em e você será responsável detidos para a decisão que você tomar. Isso também pode exigir que você para combinar várias medidas suplementares. Você pode vir a descobrir que nenhuma medida suplementar pode garantir um nível essencialmente equivalente de protecção para a sua transferência específica. Nos casos em que nenhuma medida suplementar é adequado, você deve evitar, suspender ou cancelar a transferência para evitar comprometer o nível de protecção dos dados pessoais.

Step 5 - Formalizar os passos processuais para implementar suas medidas suplementares

Um quinto passo é tomar todas as medidas processuais formais a adoção de sua medida complementar pode exigir, dependendo da ferramenta de transferência PIBR artigo 46 você está confiando em. Estas recomendações especificar essas formalidades. Você pode precisar consultar suas autoridades de supervisão competentes em alguns deles.

Step 6 - Reveja suas medidas suplementares regularmente

A sexta e última etapa será para você a reavaliar a intervalos apropriados ao nível de protecção dos dados transferidos para países terceiros e para o monitor se houve ou haverá quaisquer desenvolvimentos que possam afetá-lo. O princípio da responsabilização requer vigilância contínua do nível de protecção de dados pessoais.

 

BOOK A 10 MINUTE DEMO