ebook Komercyjne transfery danych osobowych do państw trzecich Damian Karwala

Wydawca: Wolters Kluwer

Rok wydania: 2018

Publikacja stanowi pierwsze tak kompleksowe ujęcie problematyki ponadgranicznych transferów danych osobowych do państw trzecich w kontekście prawa unijnego, w tym przepisów RODO.
Autor szczegółowo omówił m.in.:

konstrukcje i mechanizmy komercyjnych operacji transferowych,
instrumenty wspierające operacje ponadgranicznego przekazywania danych osobowych, takie jak: decyzje Komisji w sprawie adekwatności, umowy transferowe (w szczególności bazujące na modelowych klauzulach umownych), wiążące reguły korporacyjne oraz wyjątki od zakazu transferu.

W książce zaprezentowano też poszczególne mechanizmy w ramach podejścia terytorialnego oraz podejścia organizacyjnego, co ma duże znaczenie w kontekście reformy unijnej regulacji transferowej.
W publikacji omówiono ponadto wyrok Trybunału Sprawiedliwości UE w sprawie M. Schrems, który doprowadził m.in. do zastąpienia programu Bezpieczna Przystań przez Tarczę Prywatności, a w dalszej perspektywie stawia pod znakiem zapytania instrumenty właściwe dla podejścia organizacyjnego, takie w szczególności jak modelowe klauzule umowne.
Adresaci:Zaprezentowana reforma unijnych regulacji międzynarodowego przetwarzania danych osobowych jest szczególnie istotna dla praktyki stosowania prawa. Publikacja zainteresuje adwokatów, radców prawnych, a także inspektorów danych osobowych oraz specjalistów zajmujących się ochroną prywatności i danych osobowych.

Spis treści ebooka Komercyjne transfery danych osobowych do państw trzecich

Wykaz ważniejszych skrótów , str. 15

Wstęp , str. 17

Rozdział I
Zagadnienia wprowadzające – pomiędzy podejściem terytorialnym a organizacyjnym , str. 25
1. Uwagi wstępne , str. 25
2. Przyczyny wprowadzania transferowych regulacji ochronnych , str. 27
3. Możliwe podejścia do regulacji transferów danych osobowych , str. 30
3.1. Pozycje wyjściowe w zakresie regulacji transferów danych osobowych , str. 30
3.2. Istota podejścia terytorialnego , str. 33
3.3. Istota podejścia organizacyjnego , str. 35
3.3.1. Oparcie na organizacji , str. 35
3.3.2. Zasada rozliczalności , str. 37
4. Podejście terytorialne oraz organizacyjne – uwagi historyczne , str. 41
5. Przenikanie się odmiennych podejść do regulacji transferowej , str. 46
6. Podejście terytorialne i organizacyjne w dyrektywie 95/46 , str. 50

Rozdział II
Kwestie definicyjne oraz zakres podmiotowy unijnej transferowej regulacji ochronnej , str. 54
1. Pojęcie państwa trzeciego , str. 54
2. Pojęcie przekazywania danych osobowych do państwa trzeciego , str. 58
2.1. Przykłady transgranicznego przekazywania danych , str. 60
2.2. Wyrok ETS w sprawie B. Lindqvist , str. 61
2.3. Próba zdefiniowania pojęcia przekazywania danych osobowych do państwa trzeciego , str. 68
3. Problem tranzytu danych osobowych przez państwo trzecie , str. 75
4. Problem tzw. reeksportu (zwrotnego przekazywania) danych osobowych , str. 79
5. Problem tzw. transferów dalszych (onward transfers) , str. 81
5.1. Transfery dalsze w sytuacji posłużenia się wzorcowymi klauzulami umownymi , str. 86
5.2. Transfery dalsze z wykorzystaniem programu Bezpiecznej Przystani , str. 90
6. Zakres podmiotowy stosowania unijnej transferowej regulacji ochronnej , str. 96
7. Przekazywanie danych osobowych do państw trzecich jako operacja przetwarzania danych , str. 103

Rozdział III
Podejście terytorialne oraz adekwatność ochrony jako podstawy unijnej transferowej regulacji ochronnej , str. 109
1. Przekazywanie danych osobowych wewnątrz Europejskiego Obszaru Gospodarczego , str. 109
2. Cele unijnej transferowej regulacji ochronnej , str. 112
3. Problem miernika – „adekwatność” czy „równoważność” ochrony , str. 114
4. Kryteria oceny „adekwatnej” ochrony , str. 117
4.1. Kryteria oceny w świetle art. 25 ust. 2 dyrektywy 95/46 , str. 117
4.2. Model oceny skonkretyzowanej (metodologia organu brytyjskiego) , str. 123
4.3. Model oceny abstrakcyjnej (metodologia Grupy Roboczej Art. 29) , str. 127
4.4. Międzynarodowe zobowiązania państwa trzeciego , str. 132
5. Ocena całości ustawodawstwa czy ocena cząstkowa (sektorowa)? , str. 135
6. Ocena adekwatności ochrony – czy jednak skonkretyzowana? , str. 137
7. Próba definicji oraz charakter prawny warunku adekwatnej ochrony , str. 139
8. Podmioty dokonujące oceny adekwatności , str. 144
8.1. Oceny dokonywane przez Komisję Europejską (Commission findings) , str. 144
8.2. Oceny dokonywane na poziomie krajowym (national findings) , str. 145
8.2.1. Rola administratorów danych , str. 146
8.2.2. Rola krajowych organów nadzorczych , str. 148
9. Decyzje Komisji Europejskiej w sprawie adekwatności (adequacy findings) , str. 150
9.1. Istota decyzji Komisji w sprawie adekwatności , str. 150
9.2. Decyzje pozytywne (tzw. biała lista) , str. 152
9.2.1. Kwestie proceduralne , str. 152
9.2.2. Klasyfikacja decyzji pozytywnych , str. 155
9.2.3. Decyzje dotyczące państw , str. 156
9.2.4. Inne kategorie decyzji , str. 158
9.3. Program Bezpiecznej Przystani – rozwiązanie „hybrydowe” , str. 161
9.4. Ocena adekwatności państw trzecich w praktyce Komisji Europejskiej oraz Grupy Roboczej Art. 29 , str. 165
9.5. Decyzje negatywne (tzw. czarna lista) , str. 172

Rozdział IV
Instrumenty transferowe właściwe dla podejścia organizacyjnego w okresie obowiązywania dyrektywy 95/46 , str. 176
1. Istota „odpowiednich zabezpieczeń” , str. 176
2. Autoryzacje krajowe w sytuacji „zapewnienia odpowiednich zabezpieczeń” , str. 179
3. Umowy transferowe , str. 183
3.1. Geneza umów transferowych , str. 183
3.2. Istota oraz znaczenie rozwiązań kontraktowych w zakresie operacji transferowych , str. 186
3.3. Rodzaje umów transferowych , str. 187
3.4. Unijne modelowe klauzule umowne , str. 189
3.5. Klauzule modelowe controller-to-controller , str. 191
3.5.1. Pierwszy zestaw klauzul modelowych (decyzja Komisji 2001/497/WE) , str. 191
3.5.1.1. Obowiązki stron umowy transferowej , str. 191
3.5.1.2. Klauzula beneficjenta (third-party beneficiary clause) , str. 195
3.5.1.3. Zasady odpowiedzialności stron oraz pozostałe klauzule , str. 196
3.5.2. Alternatywny zestaw klauzul modelowych (decyzja Komisji 2004/915/WE) , str. 198
3.6. Klauzule controller-to-processor (decyzja Komisji 2010/87/UE) , str. 205
3.7. Klauzule processor-to-subprocessor , str. 216
3.8. Modelowe klauzule umowne w praktyce , str. 221
3.9. Umowy transferowe i modelowe klauzule umowne w prawie wybranych państw UE , str. 225
3.10. Ocena umów transferowych , str. 230
3.11. Elementy właściwe dla podejścia terytorialnego oraz organizacyjnego w kontekście umów transferowych , str. 232
4. Wiążące reguły korporacyjne , str. 234
4.1. Geneza oraz przyczyny wprowadzenia wiążących reguł korporacyjnych , str. 234
4.2. „Zestaw narzędzi” Grupy Roboczej Art. 29 , str. 236
4.3. Istota wiążących reguł korporacyjnych , str. 239
4.4. Wymóg związania przez reguły korporacyjne , str. 240
4.4.1. Związanie w relacjach wewnętrznych , str. 241
4.4.2. Związanie w relacjach zewnętrznych , str. 243
4.4.3. Związanie w aspekcie prawnym oraz praktycznym , str. 246
4.5. Rola podmiotu delegowanego na obszarze UE , str. 247
4.6. Elementy definicyjne BCR: „reguły”, „korporacyjne”, „dla operacji transferów danych” , str. 248
4.7. Konstrukcja i zawartość wiążących reguł korporacyjnych , str. 251
4.8. Procedura zatwierdzania BCR , str. 255
4.8.1. Organ wiodący , str. 256
4.8.2. Wniosek o zatwierdzenie wiążących reguł korporacyjnych , str. 258
4.8.3. Etap dyskusji i procedura współpracy , str. 259
4.8.4. Porozumienie o wzajemnym uznawaniu , str. 261
4.8.5. Zatwierdzenie wiążących reguł korporacyjnych , str. 263
4.8.6. Krajowa autoryzacja zatwierdzonych BCR , str. 265
4.9. Wiążące reguły korporacyjne dla podmiotów przetwarzających (Processor Binding Corporate Rules) , str. 272
4.9.1. Geneza i przebieg prac nad instrumentem , str. 272
4.9.2. Istota BCR dla przetwarzających dane , str. 275
4.9.3. Wymóg krajowej autoryzacji , str. 277
4.9.4. Moc wiążąca oraz zawartość (treść) reguł korporacyjnych dla przetwarzających dane , str. 279
4.9.5. Kwestie proceduralne , str. 284
4.10. Problem zmian w strukturze korporacji oraz zmian w BCR , str. 285
4.11. Wiążące reguły korporacyjne w prawie wybranych państw UE , str. 287
4.12. Ocena wiążących reguł korporacyjnych , str. 288
4.13. Elementy podejścia terytorialnego oraz organizacyjnego na gruncie BCR , str. 293
5. Odstępstwa od zakazu transferu danych , str. 295
5.1. Uwagi wprowadzające , str. 295
5.2. Zalecenia Grupy Roboczej Art. 29 , str. 299
5.3. Zgoda podmiotu danych , str. 302
5.4. Realizacja umowy zawartej przez osobę, której dotyczą dane , str. 308
5.5. Umowa zawarta w interesie osoby, której dotyczą dane , str. 311
5.6. Ważne względy publiczne, tytuł prawny , str. 313
5.7. Żywotne interesy osoby, której dotyczą dane , str. 315
5.8. Dane pochodzące z rejestru publicznego , str. 316
5.9. Ocena odstępstw od zakazu transferu danych , str. 317

Rozdział V
Reforma unijnych ram prawnych w zakresie przekazywania danych osobowych do państw trzecich , str. 319
1. Potrzeba zmian , str. 319
2. Zasada rozliczalności według propozycji Grupy Roboczej Art. 29 , str. 323
3. Przegląd innych propozycji , str. 327
4. Wybór metody regulacji (rozporządzenie unijne) i jego znaczenie dla operacji transferowych , str. 332
5. Utrzymanie zakazu transferu danych jako reguły , str. 336
6. Elementy właściwe dla podejścia terytorialnego na gruncie rozporządzenia 2016/679 , str. 338
6.1. Adekwatność ochrony – czy nadal zasadą? , str. 338
6.2. Centralizacja procesu oceny adekwatności , str. 339
6.3. Decyzje sektorowe oraz dotyczące terytorium , str. 343
6.4. Kryteria oceny adekwatności , str. 344
6.5. Obowiązek monitorowania sytuacji w państwach trzecich , str. 347
6.6. Decyzje o charakterze negatywnym , str. 348
6.7. Problem dotychczasowych decyzji Komisji oraz pozostałe kwestie , str. 351
7. Elementy właściwe dla podejścia organizacyjnego na gruncie rozporządzenia 2016/679 , str. 353
7.1. Przekazywanie danych „z zastrzeżeniem odpowiednich zabezpieczeń” , str. 353
7.2. Instrumenty niewymagające dodatkowej autoryzacji krajowej , str. 356
7.2.1. Standardowe klauzule ochrony danych , str. 357
7.2.2. Wiążące reguły korporacyjne , str. 359
7.2.3. Kodeksy postępowania (dobrych praktyk) , str. 368
7.2.4. Mechanizmy certyfikacyjne , str. 374
7.3. Klauzule umowne ad hoc – instrument wymagający dodatkowej krajowej autoryzacji , str. 377
7.4. Instrumenty przeznaczone dla podmiotów publicznych , str. 380
7.5. „Wyjątki w szczególnych sytuacjach” , str. 382
7.5.1. Klauzula prawnie uzasadnionych interesów eksportera danych , str. 382
7.5.2. Pozostałe odstępstwa od zakazu transferu danych do państw trzecich , str. 386
8. Pozostałe uwagi w kontekście rozdziału V rozporządzenia 2016/679 , str. 393
8.1. Definicja pojęcia przekazywania danych do państw trzecich , str. 393
8.2. Objęcie transferową regulacją ochronną podmiotów przetwarzających , str. 395
8.3. Problem transferów dalszych , str. 401
8.4. Obowiązki informacyjne związane z transferami danych , str. 406
8.5. Transfery niedozwolone na mocy prawa UE oraz ograniczenia w zakresie transferu danych , str. 408
9. Wyrok w sprawie M. Schrems i jego znaczenie dla unijnej transferowej regulacji ochronnej , str. 410
9.1. Uwagi wprowadzające , str. 410
9.2. Sprawa E. Snowdena oraz M. Schremsa , str. 411
9.3. Opinia Rzecznika Generalnego , str. 413
9.4. Wyrok TS w sprawie M. Schrems , str. 415
9.5. Bezpośrednie oraz pośrednie znaczenie wyroku w sprawie M. Schrems , str. 419
9.5.1. Afirmacja praw podstawowych do ochrony danych oraz wymóg „zasadniczej równoważności” , str. 421
9.5.2. Wpływ wyroku w sprawie M. Schrems na nową unijną transferową regulację ochronną , str. 430
10. Program Tarcza Prywatności UE–USA , str. 435
11. Podsumowanie, postulaty de lege ferenda , str. 444

Zakończenie , str. 455

Wykaz źródeł , str. 459