This is an HTML version of an attachment to the Freedom of Information request 'SDPC, DPA and TIA for the use of personal data processing software by the Council of the European Union'.


 
 
Council of the European Union 
General Secretariat 
 
Directorate-General Communication and Information - COMM 
Directorate Information and Outreach 
Information Services Unit / Transparency 
Head of Unit 
 
 
Brussels, 14 March 2022 
Mr Heiko Roth 
Email: Heiko Roth <xxxxxxxxxxxxxxxxxxxxxxxxxx@xxxxxxxx.xxx> 
 
Ref. 22/0190-mj-lk/ns 
Request made on: 
13.01.2022 
Deadline extension:  03.02.2022 
Dear Mr Roth, 
Thank you for your request for access to: 
 
 “documents which contain the following information: 
1) Indication of whether, which and for what purpose personal data processing services / software of 
organizations (e.g., as processor / data importer) located outside the EU/EEA are used acutally by the 
Council of the European Union. 
2) Indication of whether, which and for what purpose such personal data processing services of 
organizations located within the EU/EEA, but with subcontractors outside the EU/EEA, are actually used by 
the Council of the European Union. 
3) Per individual of these services with the aforementioned third country references: 
a) I request an indication as to whether and which transfers pursuant to Art. 44 et seq. GDPR are triggered 
by the use of these services. 
b) I ask for all contracts concluded with the providers of these services in this respect, which are necessary 
under data protection law, or for a missing indication if there are no such contracts. In particular, namely: 
contract for commissioned processing according to Art. 28 DSGVO as well as standard data protection 
clauses according to Art. 46 GDPR.  
c) I request the provision of the documented "Transfer Impact Assessment" required according to clause 14 
of the current standard data protection clause sets of the EU Commission or the documented "Transfer 
Impact Assessment" required according to Art. 46 (1) GDPR in conjunction with the principles from ECJ 
judgment "Schrems II" regarding the data transfers associated with the use of such services”.1 
                                                
1  
The General Secretariat of the Council has examined your request on the basis of the applicable rules: 
Regulation (EC) No 1049/2001 of the European Parliament and of the Council regarding public access to 
European Parliament, Council and Commission documents (OJ L 145, 31.5.2001, p. 43) and the specific 
Rue de la Loi/Wetstraat 175 - B-1048 Bruxelles/Brussel - Belgique/België 
Tel. +32 (0)2 281 67 10 - www.consilium.europa.eu - xxxxxx@xxxxxxxxx.xxxxxx.xx 
1/2 
 

 
 
As a preliminary remark, we draw your attention to the fact that the processing of personal data by 
the Union institutions, bodies, offices and agencies is regulated by Regulation (EU) 2018/1725 and 
not Regulation (EU) 2016/679 (commonly referred to as GDPR).  
 
The scope of Regulation (EC) No 1049/2001, as defined in its Article 2(3), extends only to existing 
documents held by an institution, whereas it does not cover the broader concept of information. 
Information may be distinguished from a document, in particular, as far as it is defined as a data 
element that may appear in one or multiple documents. 
 
As regards your first two requests, we inform you that we do not hold a document containing the 
requested information, i.e. a list of actually used processing operations that entail a direct or 
indirect transfer of personal data to third countries. However, you may obtain the information you 
have requested by consulting the records contained in the Council’s Public register of records. 
Point 11 of each one of these records refers to possible transfers of personal data to third 
countries or international organisations by data processing services actually used by the Council. 
 
We invite you to consult the above-mentioned register of records in order to identify one or more 
individual processing operations with regard to which you would like to request access to certain 
underlying documents.  
 
On this basis we are closing this request. Please do not hesitate to submit a new request should 
you identify specific documents which you would like to request public access to. 
 
 
Yours sincerely, 
 
 
Fernando FLORINDO 
                                                                                                                                                            
provisions concerning public access to Council documents set out in Annex II to the Council's Rules of Procedure 
(Council Decision No 2009/937/EU, OJ L 325, 11.12.2009, p. 35). 
Rue de la Loi/Wetstraat 175 - B-1048 Bruxelles/Brussel - Belgique/België 
Tel. +32 (0)2 281 67 10 - www.consilium.europa.eu - xxxxxx@xxxxxxxxx.xxxxxx.xx 
2/2