Om kursen
I juli 2020 kom Schrems II som rörde överföringar av personuppgifter till USA. EU-domstolen underkände kommissionens beslut ”Privacy Shield”, vilket gjort att rättsläget är utmanande. För att råda klarhet i frågorna kom EDPB-rekommendationer och standardavtalsklausuler i juni 2021. Det nya regelverket påverkar alla överföringar och vidare överföringar till tredje land, vilket gör det viktigt att gå igenom sociala medier som Facebook och sökmotorer som Google men även frågor om amerikanska molntjänster och helpdesk-verksamhet är svårhanterade. EU-domstolen tydliggjorde att tillsynsmyndigheter som Integritetsskyddsmyndigheten är skyldiga att agera på klagomål från registrerade i sådana här frågor och myndigheterna har börjat hantera multipla klagomål bland annat från organisationen None of your business (Noyb), vilket gav resultat under 2021. Det är viktigt att förstå när tredjelandsöverföringar föreligger eftersom åtgärder då måste vidtas samt vilka undantag som finns vid yttrandefrihet.
För att kunna tillämpa den nya rekommendationen och de nya standardavtalsklausulerna behöver ett omfattande arbete göras. Parterna behöver fastställa vem som är uppgiftsutförare och uppgiftsutförare. Eftersom det finns två kategorier av standardavtalsklausuler behöver parterna även bedöma om de omfattas av GDPR:s territoriella tillämpningsområde, vilket kan vara komplext eftersom begreppet är delvis styrt av begreppet behandling. I vissa situationer finns inte heller några klausuler som kan användas. För att klara av att bedöma detta behöver relationer kartläggas.
Inte heller när standardavtalsklausuler får användas är rättsläget enkelt. Här finns många besvärliga frågor som berättigade tredje parter, vilken lag eller jurisdiktion som ska tillämpas och hur bilagorna ska fyllas med bland annat dokumenterade instruktioner (relevanta skyddsåtgärder och annat). Det finns även dockningsklausuler att bedöma. Eftersom kommissionen tillämpat ett modulärt arbetssätt är det viktigt att hamna i rätt modul men även att förstå att modulerna kan få olika innebörd. Det nya regelverket ställer stora krav vid varje tillfälle avtal förhandlas och ingås men också på uppföljningar under avtalets löptid.
Kursen vänder sig till dig som dataskyddsombud, Privacy Officer, jurist eller annan verksam person inom dataskyddsområdet, upphandlare, inköpsansvarig eller avtalsansvarig, VD och till dig inom HR och som arbetar med IT och IT/säkerhet. Kursen är således anpassad till alla som arbetar med GDPR, oavsett erfarenhetsnivå. Målet med kursen är att behandla den komplexa frågan om vem som bär ansvaret och granska hur man arbetar idag, samt hur arbetsprocessen kan förbättras. Detta genom att varva teori och praktiska övningar.