GDPR NYT
|
|
Med dette GDPR NYT fra Focus Advokater får du invitation til vores gratis webinar den 15. december samt en kort opdatering på Schrems II og tredjelandsoverførsler.
|
|
Deltag i GDPR-webinar den 15.12.2020 kl. 15.00-17.00
Hvad er kravene til GDPR-compliance i den løbende drift? Hvordan overholder man kravet om Data Protection by Design i praksis? Hvilke former for dokumentation forventer Datatilsynet, at man kan fremvise i tilfælde af kontrolbesøg, databrud mv.? Få svar på disse og andre spørgsmål ved Focus Advokaters 2-timers gratis webinar.
Mange har siden 2018 arbejdet med at komme på omgangshøjde med databeskyttelseskravene. Mange er derfor først nu nået til et punkt, hvor man for alvor kan lave opfølgninger og kontroller af det arbejde, der er lavet indtil nu. Hertil kommer, at de nationale tilsyn og Det Europæiske Databeskyttelsesråd først efter reglernes ikrafttræden er kommet med uddybende vejledninger og afgørelser på området. Læser man dem, finder man ud af, hvor omfattende forpligtelser ansvarlighedsprincippet egentlig medfører.
Ansvarlighedsprincippet er relevant for alle. Vi har derfor nørdet emnet godt igennem for at kunne give jer den bedste forståelse af, hvad princippet og de medfølgende forpligtelser egentlig indebærer – og ikke mindst hvordan man bærer sig ad med at efterleve dem i praksis. En væsentlig del af at være ansvarlig efter GDPR indebærer også efterlevelse af kravet om Data Protection by Design, som derfor også vil blive uddybet på dette webinar.
Sidst men ikke mindst er vi også begyndt at se datatilsynene i de enkelte lande, herunder det danske, slå ned på manglende efterlevelse af disse principper. Det står nu klart, at mange har undervurderet omfanget af pligten til at følge op og dokumentere compliance. Af samme årsag kaldes principperne også for ”GDPR’s sleeping giants”.
Målgruppe
Webinaret er for alle, der arbejder med GDPR.
Program
- Gennemgang af ansvarlighedsprincippets betydning og konsekvenser.
- Ansvarlighed i praksis; hvad lægger Datatilsynet vægt på og hvilke værktøjer er anvendelige?
Her vil vi bl.a. gennemgå ICO’s Accountability Framework og Tracker.
- Data Protection by Design ved videreudvikling eller nyetablering af processer og systemer, herunder gennemgang af de efterhånden mange vejledninger fra nationale tilsyn og EDPB.
- Brug af relevante standarder, adfærdskodekser og certificeringer som dokumentation af ansvarlighed.
- Hvordan arbejder Focus Advokater P/S med ansvarlighed og Data Protection by Design i praksis?
Tilmelding
Webinaret er gratis, men kræver tilmelding. Tilmeld dig her.
|
|
|
Kort opdatering om Schrems II og krav til tredjelandsoverførsler
Vi har tidligere omtalt denne sag, bl.a. i vores nyhedsbrev fra september. Der er nu kommet nyt i sagen, bl.a. fordi Databeskyttelsesrådet (EDPB) er kommet med udkast til den længe ventede vejledning, hvori de uddyber de nye og skærpede krav til tredjelandsoverførsler. Dernæst er EU-Kommissionen også kommet med et udkast til nye ”standardklausuler” (SCC’er).
Vi er således blevet en del klogere på emnet, men da begge dokumenter fortsat er i høring, vil vi hos Focus Advokater opfordre til, at man fortsat venter med at træffe endelige beslutninger og f.eks. ikke begynder at opsige aftaler med sine cloudleverandører. Som Jesper Løffler har uddybet i et blogindlæg på Version2, er der meget, der tyder på, at cloudbranchen for alvor er ved at tage kravene i GDPR seriøst, og derfor er det muligt, at mange af leverandørerne kommer med hjælp til, hvordan man lovligt kan bruge deres løsninger fremover.
På nuværende stadie vil vi derfor nøjes med at gentage opfordringen til at få styr på sine tredjelandsoverførsler. Her skal det dog siges, at kravene til, hvad der ligger i at ”få styr på” sine overførsler ud af EU, må siges at være blevet væsentligt skærpet med den nye vejledning fra EDPB.
I Datatilsynets vejledning om tredjelandsoverførsler fra 2019 (som nu er under opdatering) opfordrede tilsynet til, at man gennemførte 5 trin for at sikre lovligheden af sine overførsler ud af EU, herunder ved brug af cloudløsninger. Tilsynet opstillede dog ikke gennemførelsen af de 5 trin – og dokumentation herfor – som et udtrykkeligt krav.
Det gør EDPB derimod. I den nye vejledning kobler rådet således kravene om tredjelandsoverførsler i artikel 44-50 sammen med ansvarlighedsprincippet i artikel 5(2). På den måde går reglerne fra at være forbudsbestemmelser (du må ikke overføre ud af EU, hvis du ikke har et lovligt overførselsgrundlag) til at kræve aktiv handling og dokumentation for overførslens lovlighed. En stor del af vejledningen bruges da netop også på at gennemgå kravene til de nu 6 trin, som alle dataansvarlige og databehandlere skal gennemføre – og dokumentere – for at leve op til artikel 44-50 sammenholdt med artikel 5(2):
- Kortlæg tredjelandsoverførsler
- Identificer de retlige grundlag for overførslen
- Vurder, om der kan sikres tilstrækkelig sikkerhed i det tredjeland, der overføres personoplysninger til
- Iværksæt supplerende foranstaltninger mhp. at sikre tilstrækkelig sikkerhed for tredjelandsoverførslen
- Implementer de supplerende foranstaltninger i det anvendte overførselsgrundlag
- Sørg for løbende evaluering af dine tredjelandsoverførsler.
For så vidt angår cloudtjenester bruger de fleste af os i vid udstrækning de samme leverandører og kan derfor drage nytte af hinandens erfaringer med gennemgangen af de 6 trin. Vi har hos Focus Advokater sat os ind i en stor del af de mest gængse løsninger og overførselsscenarier, og vi kan derfor tilbyde bistand til at gennemføre trin 1-6 for et overkommeligt beløb. Hvis I sender os en oversigt over jeres IT-systemer og eventuelle yderligere overførsler ud af EU, giver vi et uforpligtende tilbud på opgaven startende fra kr. 5.000.
|
|
|
Er der noget, vi kan hjælpe med?
Vi står altid klar til at yde kvalificeret rådgivning.
Kontakt vores GDPR-team
|
|
|
|
|
|
