Czy istnieją wymogi dotyczące wypełniania załączników? Jak szczegółowe powinny być uzupełniane informacje?
ODPOWIEDŹ
Strony muszą wyjaśnić, do jakich konkretnych przypadków transferu danych zamierzają stosować SCC, w szczególności wskazać kategorie danych osobowych, które są przekazywane, oraz cel (cele), dla których są one przekazywane (załącznik I.A i B). Ponadto strony muszą wskazać swoją rolę (jako "podmiot przekazujący dane" lub "podmiot odbierający dane "), także w przypadku późniejszych zmian na podstawie (opcjonalnej) klauzuli dokującej (klauzula 7). Podmioty przekazujące dane, które mają siedzibę poza UE, ale są objęte RODO (art. 3 ust. 2), powinny wskazać swojego przedstawiciela w UE, wyznaczonego zgodnie z art. 27 RODO. Strony muszą również wskazać właściwy organ lub organy nadzorcze, zgodnie z klauzulą 13 (załącznik I.C, więcej informacji na temat wyboru właściwego organu znajduje się
w odpowiedzi na pytanie 38).
Pomimo, iż w SCC określono ogólne wymagania dotyczące bezpieczeństwa danych oraz przetwarzania danych wrażliwych, wymagania te należy doprecyzować w odniesieniu do przedmiotowego przekazywania danych (załącznik I.B i załącznik II). W odniesieniu do bezpieczeństwa, załącznik II zawiera listę przykładów możliwych środków, które można wprowadzić. Strony nie są zobowiązane do wymienienia każdego z tych środków, ale powinny opisać te środki, które są faktycznie wdrażane przez podmiot odbierający dane, w celu zapewnienia odpowiedniego poziomu bezpieczeństwa.
Powyższe szczegółowe informacje, powinny być uzupełnione w Załącznikach, które zgodnie z Klauzulą 1(d), stanowią "integralną część" SCC. Przed wypełnieniem Załączników, strony powinny dokładnie przeanalizować „uwagi wyjaśniające”, które znajdują się na pierwszej stronie Załącznika I, oraz na początku Załącznika II.
Przykłady informacji, które należy wskazać w załącznikach (zob. również wytyczne Europejskiej Rady Ochrony Danych, np. dotyczące przejrzystości oraz relacji administrator-przetwarzający.
- Kategorie osób, których dane są przekazywane: np. pracownicy, klienci (osoby fizyczne), osoby będące uczestnikami programu lojalnościowego, osoby fizyczne, które zapisały się do newslettera, dzieci, którym oferowane są usługi społeczeństwa informacyjnego itp.
- Kategorie przekazywanych danych osobowych: np. imię, nazwisko, adres e-mail, numer telefonu, adres miejsca zamieszkania, krajowy numer identyfikacyjny, szczegółowe informacje o płatnościach, informacje dotyczące dokumentacji zdrowotnej itp.
- Cele przekazywania i dalszego przetwarzania danych: wykrywanie działań niezgodnych z prawem, administrowanie listą płac, realizacja płatności bankowych, obsługa klienta, badania rynku itp.
- Charakter przetwarzania: np. przechowywanie, zapisywanie, publikowanie, łączenie, sortowanie, rozpowszechnianie itp.
- Okres, przez który dane będą zatrzymywane, lub kryteria stosowane do określenia tego okresu: konkretny okres może być na przykład określony przez wymogi ustawowe (np. X lat). Jeżeli nie jest możliwe podanie dokładnego okresu, należy wyjaśnić, w jaki sposób zostanie ustalony okres retencji danych, np. na podstawie wytycznych branżowych, czasu obowiązywania umowy powierzenia przetwarzania danych itp. Jeżeli różne kategorie danych osobowych podlegają różnym okresom retencji, każdy okres należy opisać oddzielnie.
Powyższa odpowiedź pochodzi z oficjalnego dokumentu Komisji Europejskiej.
Mogą się Państwo z nim zapoznać pod adresem: https://ec.europa.eu/info/sites/default/files/questions_answers_on_sccs_en.pdf
Na naszym blogu zamiesiliśmy jego tłumaczenie: "Standardowe klauzule umowne (SCC) – pytania i odpowiedzi".