回答：個人情報の漏洩というインシデントが個人データ侵害と判断された場合において、83条の一般的要件を満たすときに管理者である貴社および処理者である委託先の両方、あるいは、どちらか一方当事者に対して制裁金が課される可能性があります。
同条2項において、違反の性質や重大性など、故意または過失の存在、管理者または処理者が講じた措置、管理者または処理者の責任の程度、過去の違反状況、監督当局への協力、等々の要素を勘案するとされています。したがって、貴社および委託先ともに、制裁金の対象となりうるということになります。
貴社に制裁金が課せられた場合、貴社が委託契約上の損害賠償請求権を援用して委託先に損害賠償請求を行うことが考えられます。そのためには、事前に契約の手当をしっかりとしておくことをお勧めします。

回答：マーケティング目的以外の場合には、適法根拠を契約履行や正当な利益とできる場合が多く、これが採用されています。この場合、プライバシーノーティスにてユーザに内容を説明すれば足りることになり、同意は不要です。
一方、マーケティングにつきましては、適法根拠を同意と整理するのが通常になります。マーケティングを正当な利益に拠ることは、必ずしも否定はされていませんが、限定的です。例えば、下記リンクの英国ICOのガイダンスをご参照ください。
https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/when-can-we-rely-on-legitimate-interests/

なお、GDPR7条2項・4項を考慮すると、同意は他の事項と分けて取得し、更に契約履行に必要のない個人データ処理の同意を契約履行の条件としてはならないとされています。従いまして、マーケティングでの個人データ取得に関しましてはオプトイン同意とし、マーケティングに同意しない場合でもサービス利用ができるようにすることが求められます。

回答：処理者がEU域外に所在し、個人データのEU域外移転を伴う場合、GDPR28条準拠の処理契約と併せ、管理者ー処理者型のSCC（ C(2010)593）を締結することが一般的です。
処理契約中にSCC相当の文言を盛り込む方法については、上記SCC10条が「SCCの文言を変更しないようにすること」と規定しているので避けるべきだと考えます。
（参考）JetroのSCC仮訳
https://www.jetro.go.jp/world/reports/2018/01/8d894f365ea5c3a7.html