Schrems II in Proteus® NextGen Data Privacy™ 6 practical steps to Schrems II compliance

 

Step 1 Cunoaște transferurile
  Ce procesoare vă transfera date către și de ce,
Înregistrați ulterioare transferuri către sub-procesoare,
Verificați transferurile sunt minime, adecvate și limitate la scopul.
Step 2 Verificați dacă instrumentul de transfer de transfer dvs. se bazează pe
  Adecvarea decizie,
Clauzele contractuale standard (CSSC),
Regulilor corporative obligatorii (BCRS),
Codurile de conduită,
mecanisme de certificare,
clauze contractuale ad-hoc sau
Derogări de la articolul 49 din GDPR.
Step 3 Judecă legea sau practica țării terțe
  Verificați dacă vă puteți recupera datele și pentru a răspunde la Cereri de date Subiect de acces (DSARs),
Efectuarea evaluărilor de regim.
Step 4 Identifice și să adopte măsuri suplimentare (tehnice, contractuale sau organizaționale)
  Scopurile pentru care sunt transferate și prelucrate datele,
Tipuri de entități implicate în prelucrarea,
Sectorul în care are loc transferul,
Categorii de date cu caracter personal transferate,
Dacă datele vor fi stocate în țara terță sau în cadrul UE / SEE,
Formatul datelor care urmează să fie transferate,
transferurile ulterioare din țara terță către o altă țară terță.
Step 5 Formalizarea etapele procedurale pentru punerea în aplicare a măsurilor dumneavoastră suplimentare
  Clauzele contractuale standard (CSSC),
Regulilor corporative obligatorii (BCRS),
Ad-hoc clauzele contractuale.
Step 6 Examinați măsurile dumneavoastră suplimentare în mod regulat
  Poate vânzătorul păstra la angajamentele pentru tine?
Sunt măsuri suplimentare încă eficiente?
BOOK A 10 MINUTE DEMO

 

The European Data Protection Board (EDPB) has adopted these recommendations and most industry observers have noted that this will still entail a fair amount of legwork for affected organisations. This is where we can help. Proteus-Cyber has developed a simple standalone SaaS solution called Proteus®NextGen Schrems II which supports these six steps, providing the mechanisms for capturing and implementing the information required to follow them.

 

Step 1 - Cunoaște transferurile

Ca un prim pas, EDPB tu, exportatorii de date, sfătuiește să știe transferurile. Maparea toate transferurile de date cu caracter personal către țări terțe poate fi un exercițiu dificil. Fiind conștient de cazul în care datele personale merge toate acestea, este necesar să se asigure că se obține un nivel echivalent de protecție, în esență, ori de câte ori este procesat. De asemenea, trebuie să verificați dacă datele pe care le transferați sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile pentru care sunt transferate și procesate în țara terță.

Step 2 - Verificați dacă instrumentul de transfer de transfer dvs. se bazează pe

Un al doilea pas este de a verifica dacă instrumentul de transfer de transfer dvs. se bazează pe, printre cele enumerate în capitolul V GDPR. În cazul în care Comisia Europeană a declarat deja de țară, regiune sau sector la care se transferă datele sub formă adecvată, prin intermediul uneia dintre deciziile sale de adecvare în temeiul articolului 45 GDPR sau în conformitate cu directiva anterioară 95/46, atâta timp cât decizia este încă în vigoare , nu va trebui să ia măsuri suplimentare, altele decât monitorizarea că decizia de adecvare rămâne valabilă. În absența unei decizii de adecvare, va trebui să se bazeze pe unul dintre instrumentele de transfer enumerate la articolele 46 GDPR pentru transferurile care sunt regulate și repetitive. Doar în unele cazuri de transferuri ocazionale și non-repetitive ar putea să fie capabil să se bazeze pe una dintre derogările prevăzute la articolul 49 GDPR, dacă îndepliniți condițiile.

Step 3 - Judecă legea sau practica țării terțe

Un al treilea pas este de a evalua dacă există ceva în legislația sau practica țării terțe care ar putea să afecteze eficacitatea garanțiilor corespunzătoare ale instrumentelor de transfer pe care se bazează pe, în contextul transferului dvs. specifice. Evaluarea dvs. ar trebui să se concentreze în primul rând pe legislația unei țări terțe care este relevant pentru transferul și articolul 46 instrumentul de transfer GDPR vă se bazează pe și care ar putea submina nivelul de protecție. Pentru evaluarea elementelor care trebuie luate în considerare atunci când se evaluează legislația unei țări terțe care se ocupă cu accesul la date de către autoritățile publice în scopul supravegherii, vă rugăm să consultați recomandările EDPB europene Garantii esențiale. În special, acest lucru ar trebui să fie luate în considerare cu atenție în cazul în care legislația care reglementează accesul la date de către autoritățile publice este ambiguă sau nu sunt disponibile în mod public. În lipsa unei legislații care reglementează condițiile în care autoritățile publice pot avea acces la date cu caracter personal, dacă totuși doriți să continuați cu transferul, ar trebui să se uite în alți factori relevanți și obiective, și să nu se bazeze pe factori subiectivi, cum ar fi probabilitatea autorităților publice "accesul la datele într-un mod care nu este în conformitate cu standardele UE. Ar trebui să efectueze această evaluare cu diligenta și documentează-l bine, după cum va fi responsabil pentru decizia a avut loc s-ar putea lua pe această bază.

Step 4 - Identifice și să adopte măsuri suplimentare (tehnice, contractuale sau organizaționale)

Un al patrulea pas este de a identifica și de a adopta măsuri suplimentare care sunt necesare pentru a aduce nivelul de protecție a datelor transferate până la standardul UE de echivalență esențiale. Acest pas este necesar numai în cazul în care evaluarea dumneavoastră arată că a treia țară afectează legislația privind eficacitatea instrumentului de transfer GDPR articolul 46 pe care se bazează pe sau intenționați să se bazeze pe în contextul transferului dumneavoastră. Aceste recomandări conțin (în anexa 2), o listă neexhaustivă de exemple de măsuri suplimentare cu unele dintre condițiile pe care le-ar necesita a fi eficiente. Așa cum este cazul pentru garanțiile corespunzătoare conținute în instrumentele de transfer de la articolul 46, unele măsuri suplimentare pot fi eficiente în unele țări, dar nu neapărat și în altele. Vei fi responsabil pentru evaluarea eficienței acestora în contextul transferului, și având în vedere legislația țării terțe și instrumentul de transfer pe care se bazează pe și va fi responsabil pentru decizia a avut loc o luați. Acest lucru s-ar putea necesita, de asemenea, să combine mai multe măsuri suplimentare. Puteți găsi în cele din urmă că nicio măsură suplimentară poate asigura un nivel echivalent de protecție în mod esențial pentru transferul dvs. specifice. În cazurile în care nici o măsură suplimentară este adecvată, trebuie să evitați, suspenda sau anula transferul, pentru a evita compromiterea nivelului de protecție a datelor cu caracter personal.

Step 5 - Formalizarea etapele procedurale pentru punerea în aplicare a măsurilor dumneavoastră suplimentare

Un al cincilea pas este de a lua orice măsuri procedurale formale adoptarea măsurii dumneavoastră suplimentare pot solicita, în funcție de articolul 46 instrumentul de transfer GDPR vă se bazează pe. Aceste recomandări precizează aceste formalități. Poate fi necesar să se consulte autoritățile de supraveghere competente pe unele dintre ele.

Step 6 - Examinați măsurile dumneavoastră suplimentare în mod regulat

Al șaselea și ultimul pas va fi pentru tine de a re-evaluare la intervale de timp corespunzătoare, nivelul de protecție acordat de date transferate către țări terțe și pentru a monitoriza dacă au existat sau vor exista evoluții care o pot afecta. Principiul responsabilității necesită o vigilență continuă a nivelului de protecție a datelor cu caracter personal.

 

BOOK A 10 MINUTE DEMO