Om kursen
I juli 2020 kom Schrems II som rörde överföringar av personuppgifter till USA. EU-domstolen underkände kommissionens beslut ”Privacy Shield”, vilket resulterade i en komplex rättslig situation. För att råda klarhet i frågorna kom EDPB-rekommendationer och standardavtalsklausuler i juni 2021, vilka tydliggjorde kraven på en Transfer Impact Assessment (TIA). I juni 2023 kom ett nytt adekvansbeslut rörande USA, men det finns signaler på att det kommer att överklagas. Kapitel V i GDPR reglerar överföringar både i det fall det finns ett beslut om adekvat skyddsnivå och i andra fall. Regelverket påverkar alla överföringar samt vidare överföringar till tredje land, vilket gör det viktigt att gå igenom allt från sociala medier till molntjänster och helpdeskverksamhet. Det är viktigt att förstå när tredjelandsöverföringar föreligger eftersom åtgärder då måste vidtas samt vilka undantag som finns vid yttrandefrihet.
Om det inte finns ett adekvansbeslut behövs ett överföringsverktyg, såsom standardavtalsklausuler. För att kunna tillämpa standardavtalsklausulerna behöver ett omfattande arbete göras. Parterna behöver fastställa vem som är uppgiftsutförare och uppgiftsutförare. Eftersom det finns två kategorier av standardavtalsklausuler behöver parterna även bedöma om de omfattas av GDPR:s territoriella tillämpningsområde, vilket kan vara komplext eftersom begreppet är delvis styrt av begreppet behandling. I vissa situationer finns inte heller några klausuler som kan användas. För att klara av att bedöma detta behöver relationer kartläggas.
Det finns även många besvärliga frågor som berättigade tredje parter, vilken lag eller jurisdiktion som ska tillämpas och hur bilagorna ska fyllas med bland annat dokumenterade instruktioner (relevanta skyddsåtgärder med mera). Det finns även dockningsklausuler att bedöma. Eftersom kommissionen tillämpat ett modulärt arbetssätt är det viktigt att hamna i rätt modul men även att förstå att modulerna kan få olika innebörd. Det nya regelverket ställer stora krav vid varje tillfälle avtal förhandlas och ingås men också på uppföljningar under avtalets löptid.
För vem passar kursen?
Kursen vänder sig till dig som dataskyddsombud, Privacy Officer, jurist eller annan verksam person inom dataskyddsområdet, upphandlare, inköpsansvarig eller avtalsansvarig, VD och till dig inom HR och som arbetar med IT och IT/säkerhet. Kursen är således anpassad till alla som arbetar med GDPR, oavsett erfarenhetsnivå. Målet med kursen är att behandla den komplexa frågan om vem som bär ansvaret och granska hur man arbetar idag, samt hur arbetsprocessen kan förbättras. Detta genom att varva teori och praktiska övningar.