PYTANIA I ODPOWIEDZI

Czy istnieją wymogi dotyczące wypełniania załączników? Jak szczegółowe powinny być uzupełniane informacje?

ODPOWIEDŹ

Strony muszą wyjaśnić, do jakich konkretnych przypadków transferu danych zamierzają stosować SCC, w szczególności wskazać kategorie danych osobowych, które są przekazywane, oraz cel (cele), dla których są one przekazywane (załącznik I.A i B). Ponadto strony muszą wskazać swoją rolę (jako "podmiot przekazujący dane" lub "podmiot odbierający dane "), także w przypadku późniejszych zmian na podstawie (opcjonalnej) klauzuli dokującej (klauzula 7). Podmioty przekazujące dane, które mają siedzibę poza UE, ale są objęte RODO (art. 3 ust. 2), powinny wskazać swojego przedstawiciela w UE, wyznaczonego zgodnie z art. 27 RODO. Strony muszą również wskazać właściwy organ lub organy nadzorcze, zgodnie z klauzulą 13 (załącznik I.C, więcej informacji na temat wyboru właściwego organu znajduje się
w odpowiedzi na pytanie 38).

Pomimo, iż w SCC określono ogólne wymagania dotyczące bezpieczeństwa danych oraz przetwarzania danych wrażliwych, wymagania te należy doprecyzować w odniesieniu do przedmiotowego przekazywania danych (załącznik I.B i załącznik II). W odniesieniu do bezpieczeństwa, załącznik II zawiera listę przykładów możliwych środków, które można wprowadzić. Strony nie są zobowiązane do wymienienia każdego z tych środków, ale powinny opisać te środki, które są faktycznie wdrażane przez podmiot odbierający dane, w celu zapewnienia odpowiedniego poziomu bezpieczeństwa.

Powyższe szczegółowe informacje, powinny być uzupełnione w Załącznikach, które zgodnie z Klauzulą 1(d), stanowią "integralną część" SCC. Przed wypełnieniem Załączników, strony powinny dokładnie przeanalizować „uwagi wyjaśniające”, które znajdują się na pierwszej stronie Załącznika I, oraz  na początku Załącznika II.

Przykłady informacji, które należy wskazać w załącznikach (zob. również wytyczne Europejskiej  Rady Ochrony Danych, np. dotyczące przejrzystości oraz relacji administrator-przetwarzający.

  • Kategorie osób, których dane są przekazywane: np. pracownicy, klienci (osoby fizyczne), osoby będące uczestnikami programu lojalnościowego, osoby fizyczne, które zapisały się do newslettera, dzieci, którym oferowane są usługi społeczeństwa informacyjnego itp.
  • Kategorie przekazywanych danych osobowych: np. imię, nazwisko, adres e-mail, numer telefonu, adres miejsca zamieszkania, krajowy numer identyfikacyjny, szczegółowe informacje o płatnościach, informacje dotyczące dokumentacji zdrowotnej itp.
  • Cele przekazywania i dalszego przetwarzania danych: wykrywanie działań niezgodnych z prawem, administrowanie listą płac, realizacja płatności bankowych, obsługa klienta, badania rynku itp.
  • Charakter przetwarzania: np. przechowywanie, zapisywanie, publikowanie, łączenie, sortowanie, rozpowszechnianie itp.
  • Okres, przez który dane będą zatrzymywane, lub kryteria stosowane do określenia tego okresu: konkretny okres może być na przykład określony przez wymogi ustawowe (np. X lat). Jeżeli nie jest możliwe podanie dokładnego okresu, należy wyjaśnić, w jaki sposób zostanie ustalony okres retencji danych, np. na podstawie wytycznych branżowych, czasu obowiązywania umowy powierzenia przetwarzania danych itp. Jeżeli różne kategorie danych osobowych podlegają różnym okresom retencji, każdy okres należy opisać oddzielnie.

Powyższa odpowiedź pochodzi z oficjalnego dokumentu Komisji Europejskiej.
Mogą się Państwo z nim zapoznać pod adresem: https://ec.europa.eu/info/sites/default/files/questions_answers_on_sccs_en.pdf
Na naszym blogu zamiesiliśmy jego tłumaczenie: "Standardowe klauzule umowne (SCC) – pytania i odpowiedzi".

Czytaj także:


"Nie potrzebujemy
żadnych narzędzi do RODO"

Jesteś tego pewien?

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>