Jak powinna być skonstruowana klauzula informacyjna przetwarzania danych osobowych dla pracowników jeżeli dochodzi do transferu danych?

Firma produkcyjna jest jednym z wielu oddziałów na świecie. Z poziomu Europy zarządzana jest przez firmę "matkę" w Holandii, z poziomu globalnego przez firmę w Chinach. Inne oddziały znajdują się np z Stanach Zjednoczonych czy Ameryce Południowej. Dane osobowe pracowników na poziomie europejskim wykorzystywane są np do analizy budżetów, planowania itp. Dane osobowe na poziomie globalnym podobnie, jednak nie ma analizy jednostkowej (istnieje wgląd, ale nie są wykorzystywane dane osobowe pojedynczych podmiotów). Wszystkie dane osobowe znajdują się w jednym oprogramowaniu dzielonym globalnie (autoryzowane dostępy)

Jak powinna być skonstruowana klauzula informacyjna przetwarzania danych osobowych dla pracowników (nie posiadamy oficjalnego stwierdzenia przez Komisję odpowiedniego stopnia ochrony)? Czy wystarczy zrobić analizę ryzyka (wewnętrznie) ustalając znane nam zabezpieczenia oprogramowania które współdzielimy i umieszczenie wzmianki o tej analizie w klauzuli informacyjnej?