Транскордонна передача даних

Що ви дізнаєтесь у Транскордонна передача даних

• Визначати, чи має країна призначення передачі даних рішення про адекватність ЄС або потребує альтернативних гарантій
• Обирати та впроваджувати правильний модуль Стандартних договірних положень для конкретного сценарію передачі
• Проводити Оцінку впливу передачі, що оцінює правову базу країни призначення відповідно до стандартів ЄС
• Застосовувати додаткові технічні заходи, такі як шифрування та псевдонімізація, для усунення виявлених прогалин у захисті
• Документувати обґрунтування передачі та гарантії для задоволення вимог регуляторного аудиту та підзвітності

Транскордонна передача даних — Кроки навчання

1. вступ

   Сьогодні Орган із захисту даних надіслав запит на перевірку міжнародної передачі даних вашою організацією.

2. Запит на аудит

   Запит DPA на аудит є конкретним – вони хочуть побачити документацію щодо всіх передач персональних даних за межі Європейської економічної зони (ЄЕЗ). Це включає визначення: Які потоки даних перетинають кордони ЄЕЗ Які існують механізми передачі (SCC, рішення про достатність тощо) Чи існують відповідні гарантії для кожної передачі Вам потрібно буде використовувати інструмент «Діаграма потоку даних», щоб відстежувати та документувати всі транскордонні передачі.

3. Відкриття діаграми потоку даних

   Щоб належним чином задокументувати свої транскордонні перекази, вам потрібно отримати доступ до інструменту «Діаграма потоку даних» через портал відповідності. Ця програма надає візуальне уявлення про те, як особисті дані переміщуються системами вашої організації – від пунктів збору до зберігання, обробки та будь-яких передач третім особам. Діаграма допоможе вам визначити, які потоки даних залишаються в ЄЕЗ, а які перетинають міжнародні кордони.

4. Розуміння діаграми

   Діаграма потоку даних відображає всі сутності, які обробляють дані клієнтів InnovateTech. Кожен вузол представляє окрему сутність — суб’єктів даних (клієнтів), контролерів (InnovateTech), процесорів (сторонніх постачальників) і систем зберігання. Вузли позначено кольором за місцем розташування: зелені вузли знаходяться в ЄЕЗ, а помаранчеві вузли знаходяться за межами ЄЕЗ і представляють потенційні точки транскордонної передачі. Лінії між вузлами показують, як дані проходять через ваші системи.

5. Ідентифікація збору даних ЄС

   По-перше, вам потрібно зрозуміти, звідки походять дані клієнтів. InnovateTech збирає особисті дані клієнтів із ЄС через свій веб-сайт і мобільний додаток. Ці дані включають імена, адреси електронної пошти, платіжну інформацію та аналітику використання. Виберіть вузол EU Customer, щоб переглянути подробиці про те, які особисті дані збираються та як вони потрапляють у ваші системи.

6. Відстеження даних до внутрішніх систем

   Тепер простежте, як дані клієнтів переходять від збору до ваших внутрішніх систем обробки. Дані Клієнта з ЄС спочатку надходять на сервер ЄС InnovateTech, який служить основною системою контролера в Дубліні, Ірландія. Цей початковий потік повністю залишається в межах ЄЕЗ - для переміщення даних між державами-членами ЄС не потрібні спеціальні механізми передачі.

7. Відкриття хмарного сховища США

   Продовжуючи аналіз, ви виявили, що дані клієнтів копіюються в AWS US-East для цілей аварійного відновлення. Це транскордонна передача – дані залишають ЄЕЗ і прямують до Сполучених Штатів. У США немає рішення Європейської комісії щодо адекватності, що означає, що для цієї передачі потрібні додаткові гарантії.

8. Ідентифікація передачі США

   Ця передача до AWS US-East вимагає ретельного документування. Потік передає ідентифікаційну інформацію клієнтів, включаючи імена, електронні адреси та дані облікових записів, на сервери у Вірджинії, США. Оскільки в США немає рішення про достатність, InnovateTech має покладатися на стандартні договірні положення (SCC), щоб забезпечити відповідні гарантії для цієї передачі. Вам потрібно офіційно ідентифікувати це як транскордонний переказ, для якого потрібна документація щодо відповідності.

9. Команда підтримки Discovering India

   Ваш аналіз виявив іншу транскордонну передачу – дані клієнтів доступні команді підтримки InnovateTech у Бангалорі, Індія. Агенти служби підтримки отримують доступ до записів клієнтів, щоб вирішити запити та надати технічну допомогу. Індія також не має рішення про достатність, тобто ця передача вимагає тих самих стандартів SCC, що й передача США.

10. Ідентифікація передачі Індії

    Команда підтримки в Індії виконує функції процесора – вони отримують доступ до даних клієнтів від імені InnovateTech для надання послуг підтримки. Для цього потрібна угода про обробку даних (DPA) із включеними SCC. Ця передача включає інші категорії даних, ніж сховище в США – насамперед контактну інформацію клієнтів і деталі запитів у службу підтримки. Вам потрібно задокументувати це як окремий транскордонний переказ.