EU-Domstolens Schrems II har gjort data-overførsler til udlandet til en kompliceret affære for mange organisationer, hvor man i den grad skal holde tungen lige i munden for at være compliant og ikke komme i fedtefadet.
Med Schrems II skal du nemlig sikre, at du overholder en række betingelser og regler, hvis du - som det er tilfældet for de fleste - overfører personoplysninger i en eller anden udstrækning til lande uden for EU - såkaldte tredjeparts-lande.
Dommen gør det blandt andet ulovligt for virksomheder at overføre personoplysninger til disse lande uden for EU, hvis de ikke kan dokumentere, at det land, der modtager data, har et databeskyttelsesniveau, der svarer til det, som GDPR sikrer i EU.
Det kan hurtigt blive en dyr affære, som kan kræve mange advokattimer.
Skal du være compliant, skal du derfor have helt styr på dine databehandleraftaler og dine vurderinger af alle de leverandører, der behandler dine data uden for EU.
Situationen kompliceres af, at de store amerikanske cloud-leverandører som AWS, Microsoft og Google - som de fleste anvender - også er underlagt amerikansk lovgivning. USA er af EU klassificeret som usikkert tredjeland.
EU har siden opdateret sine standardbestemmelser - de såkaldte SSC’er eller Standard Contractual Clauses - som skal anvendes til overførsel af personoplysninger til usikre tredjelande.
EU er også klar med en standard for databehandleraftaler, som du kan anvende. Tilbage står fortsat krav om udarbejdelse af grundige risikovurderinger og etablering af en række foranstaltninger, der skal sikre persondata.
På dette event får du indblik i, hvordan du med juridiske greb kan sikre, at du er compliant med de gældende regler ved processuelle greb, værktøjer og systemer til blandt andet kryptering af data.
Kom og hør om EU’s nye skabeloner, om hvordan du skal stille dig som data-ansvarlig og få indblik i konkrete værktøjer, der kan hjælpe dig med compliance-arbejdet efter Schrems II.
Mød talerne
Dan Jensen
redaktionschef
Computerworld
Ole Kjeldsen
Teknologi- og sikkerhedsdirektør
Microsoft
Theodor Sachs Leschly
Legal Consultant
ComplyCloud
Mikael Johannesen
Offering Specialist
OneTrust
Joseph Byrne
Principal Solutions Engineer
OneTrust
Jesper Langemark
partner og leder af det internationale Tech & Comms team
Vurdering af databeskyttelsesniveauet ved tredjelandsoverførsel
Det er muligt, at skaffe den nødvendig information til at lave de lovpligtige vurderinger og analyser, så man har grundlaget for at træffe beslutning om, HVAD man kan bruge Microsoft Cloud til og ikke mindst HVORDAN man kan gøre det og stadig tilbyde ‘essentielt ækvivalent’ og optimal beskyttelse af borgernes data! Sessionen her har til mål at give dig overblikket og de nødvendige værktøjer.
Ole Kjeldsen
,
Teknologi- og sikkerhedsdirektør
,
Microsoft
09:30 - 09:55
Spionage, skyer og virkelige værktøjer
Martin Vasehus går helt tæt på virkelighedens overførsel af persondata til lande uden for EU:
Den gordiske knude i amerikansk lovgivning
Den nye cloud-vejledning
Den praktiske løsning her og nu
Indlægget giver dig en klar og realistisk vurdering af indholdet og konsekvenserne af Schrems II – og løsninger til at håndtere kravene ressourcemæssigt på kort og langt sigt.
Theodor Sachs Leschly
,
Legal Consultant
,
ComplyCloud
10:00 - 10:30
Kaffe og netværk
10:30 - 10:55
Overførsler under et mikroskop: effekt- og tredjelandsvurderinger
Data, der krydser grænser, analyser og brugen af kunstig intelligens er almindeligt i nutidens virksomheder, og det er usandsynligt, at det ændrer sig uanset det lovgivningsmæssige miljø. Europa-Kommissionens færdiggjorte standardkontraktklausuler og European Data Protection Boards endelige vejledning om supplerende foranstaltninger introducerer nye udfordringer for globale virksomheder. Derudover er andre nationer begyndt at indføre deres egne regler vedrørende grænseoverskridende overførsler af personoplysninger. Siden deres ankomst har organisationer arbejdet hårdt på at operationalisere dem, men der er stadig udfordringer med hensyn til de særlige vurderinger af tredjelande, der skal foretages, samt forståelse af risikoen og virkningen af alle overførsler som helhed.
I denne session deler vi en trin-for-trin guide til at udføre en Transfer Impact Assessment (TIA), overvejelserne ved udførelse af tredjelandsvurderinger (TCA) og de relevante foranstaltninger, der kan iværksættes for at mindske risikoen og sikre overholdelse af lovgivningen. • Forstå den operationelle effekt for organisationer • Skitsere nødvendigheden af og overvejelserne ved vurderingen af tredjelande • Opdel de trin, dataimportører og eksportører kan tage for at beskytte og aktivere overførsler
Mikael Johannesen
,
Offering Specialist
,
OneTrust
Joseph Byrne
,
Principal Solutions Engineer
,
OneTrust
11:00 - 11:25
Sådan vil du fortsat kunne bruge cloud-tjenester
Et af de store spørgsmål efter Schrems II-afgørelsen er, om man fortsat kan bruge amerikanske cloud-leverandører på grund af de amerikanske efterretningstjenesters mulighed for at få adgang data om personer i EU. Vi afventer fortsat om EU indgår en ny aftale med USA, som skal afløse den såkaldte Privacy Shield ordning, der blev kendt ugyldig af EU-domstolen i Schrems II sagen.
Vi har dog fået EU-kommissionens nye såkaldte standardbestemmelser, der giver mulighed for at overføre data til usikre tredjelande som eksempelvis USA og nogle retningslinjer herom fra det Europæiske Databeskyttelsesråd (EDPB). Sidst men ikke mindst er der begyndt at komme afgørelser og udtalelser fra de lokale tilsynsmyndigheder rundt omkring i EU vedrørende tredjelandsoverførsler i lyset af Schrems II.
Få overblik og indblik i den seneste udvikling på dette vanskelige område, og gode råd til, hvordan du bør forholde dig til brugen af public cloud løsninger inden for lovgivningens rammer.
Jesper Langemark
,
partner og leder af det internationale Tech & Comms team
