Czy istnieją wymogi dotyczące wypełniania załączników? Jak szczegółowe powinny być uzupełniane informacje?

ODPOWIEDŹ

Strony muszą wyjaśnić, do jakich konkretnych przypadków transferu danych zamierzają stosować SCC, w szczególności wskazać kategorie danych osobowych, które są przekazywane, oraz cel (cele), dla których są one przekazywane (załącznik I.A i B). Ponadto strony muszą wskazać swoją rolę (jako "podmiot przekazujący dane" lub "podmiot odbierający dane "), także w przypadku późniejszych zmian na podstawie (opcjonalnej) klauzuli dokującej (klauzula 7). Podmioty przekazujące dane, które mają siedzibę poza UE, ale są objęte RODO (art. 3 ust. 2), powinny wskazać swojego przedstawiciela w UE, wyznaczonego zgodnie z art. 27 RODO. Strony muszą również wskazać właściwy organ lub organy nadzorcze, zgodnie z klauzulą 13 (załącznik I.C, więcej informacji na temat wyboru właściwego organu znajduje się
w odpowiedzi na pytanie 38).

Pomimo, iż w SCC określono ogólne wymagania dotyczące bezpieczeństwa danych oraz przetwarzania danych wrażliwych, wymagania te należy doprecyzować w odniesieniu do przedmiotowego przekazywania danych (załącznik I.B i załącznik II). W odniesieniu do bezpieczeństwa, załącznik II zawiera listę przykładów możliwych środków, które można wprowadzić. Strony nie są zobowiązane do wymienienia każdego z tych środków, ale powinny opisać te środki, które są faktycznie wdrażane przez podmiot odbierający dane, w celu zapewnienia odpowiedniego poziomu bezpieczeństwa.

Powyższe szczegółowe informacje, powinny być uzupełnione w Załącznikach, które zgodnie z Klauzulą 1(d), stanowią "integralną część" SCC. Przed wypełnieniem Załączników, strony powinny dokładnie przeanalizować „uwagi wyjaśniające”, które znajdują się na pierwszej stronie Załącznika I, oraz  na początku Załącznika II.

Przykłady informacji, które należy wskazać w załącznikach (zob. również wytyczne Europejskiej  Rady Ochrony Danych, np. dotyczące przejrzystości oraz relacji administrator-przetwarzający.