Opis produktu
Komentarze
Spis treści
Pierwsza na rynku książka zawierająca kompleksowe omówienie problematyki przekazywania danych osobowych do państw trzecich i organizacji międzynarodowych.
W publikacji szczegółowo przeanalizowano: • każdą z przesłanek legalizujących transfer, • decyzje Komisji Europejskiej, • wyroki dotyczące transferów i ich praktyczne konsekwencje, • wytyczne EROD, • praktykę organów nadzorczych, • zagadnienia przepływu danych w kontekście korporacyjnym i kadrowym oraz • działalność podmiotów publicznych.
Opracowanie zawiera również interpretację kryteriów uznawania odpowiedniego stopnia ochrony danych osobowych w państwie trzecim, wytyczne jak przeprowadzić Transfer Impact Assessment oraz ustalenia dotyczące przekazywania danych osobowych do Wielkiej Brytanii oraz Stanów Zjednoczonych z uwzględnieniem najnowszej decyzji Komisji Europejskiej dotyczącej zgodnego z prawem transfer danych osobowych do USA – na podstawie programu Data Privacy Framework. Książka adresowana jest do osób odpowiedzialnych za współpracę zagraniczną w biznesie i administracji publicznej, organizację systemu ochrony danych osobowych, inspektorów ochrony danych, specjalistów ds. ochrony danych osobowych i bezpieczeństwa informacji, jak również do sędziów, radców prawnych, adwokatów, naukowców i studentów zajmujących się zagadnieniami z zakresu prawa ochrony danych osobowych, nowych technologii, prawa europejskiego i prawa międzynarodowego. Współautorami publikacja są eksperci i praktycy z wieloletnim doświadczeniem w obsłudze operacji transferów danych zarówno w sektorze prywatnym, jak i publicznym.
W publikacji szczegółowo przeanalizowano: • każdą z przesłanek legalizujących transfer, • decyzje Komisji Europejskiej, • wyroki dotyczące transferów i ich praktyczne konsekwencje, • wytyczne EROD, • praktykę organów nadzorczych, • zagadnienia przepływu danych w kontekście korporacyjnym i kadrowym oraz • działalność podmiotów publicznych.
Opracowanie zawiera również interpretację kryteriów uznawania odpowiedniego stopnia ochrony danych osobowych w państwie trzecim, wytyczne jak przeprowadzić Transfer Impact Assessment oraz ustalenia dotyczące przekazywania danych osobowych do Wielkiej Brytanii oraz Stanów Zjednoczonych z uwzględnieniem najnowszej decyzji Komisji Europejskiej dotyczącej zgodnego z prawem transfer danych osobowych do USA – na podstawie programu Data Privacy Framework. Książka adresowana jest do osób odpowiedzialnych za współpracę zagraniczną w biznesie i administracji publicznej, organizację systemu ochrony danych osobowych, inspektorów ochrony danych, specjalistów ds. ochrony danych osobowych i bezpieczeństwa informacji, jak również do sędziów, radców prawnych, adwokatów, naukowców i studentów zajmujących się zagadnieniami z zakresu prawa ochrony danych osobowych, nowych technologii, prawa europejskiego i prawa międzynarodowego. Współautorami publikacja są eksperci i praktycy z wieloletnim doświadczeniem w obsłudze operacji transferów danych zarówno w sektorze prywatnym, jak i publicznym.
Cechy
Wykaz skrótów | str. 19
Wstęp | str. 27
Rozdział 1
Transfer danych osobowych – próba zdefiniowania pojęcia na gruncie przepisów RODO (Marlena Sakowska-Baryła) | str. 31
Wprowadzenie | str. 31
Uwarunkowania prawne transferów danych osobowych | str. 33
Państwo trzecie | str. 39
Organizacja międzynarodowa | str. 41
Pojęcie przekazywania danych do państwa trzeciego lub organizacji międzynarodowej | str. 42
Sposób przekazywania danych | str. 45
Dane z obszaru EOG – dostęp i umowy zawieranie z importerami z państw trzecich | str. 46
Wewnątrzorganizacyjne przekazywanie danych
osobowych | str. 48
Umieszczanie danych osobowych na stronach
internetowych | str. 48
Transfer zwrotny i dalszy | str. 50
Transfer jako przetwarzanie danych osobowych | str. 51
Rozdział 2
Eksporter i importer danych. Pojęcia oraz relacje pomiędzy podmiotami (Maciej Borkowski) | str. 55
Wprowadzenie | str. 55
Geneza i ewolucja pojęć | str. 55
Pojęcia eksportera i importera na gruncie najnowszych klauzul standardowych | str. 63
Jak język kształtuje rzeczywistość | str. 66
Ogólne obowiązki administratora | str. 68
Eksport danych na zlecenie administratora | str. 70
Warunki stosowania rozdziału V RODO | str. 71
Co na to SCC? | str. 72
Rozdział 3
Relacje pomiędzy administratorem, procesorem i subprocesorem – co zweryfikować w związku z transferem danych (Magdalena Czaplińska) | str. 75
Wprowadzenie | str. 75
Obowiązki weryfikacji przy transferach | str. 76
Weryfikacja podmiotu przetwarzającego na poziomie standardowych klauzul umownych | str. 81
Weryfikacja procesora na gruncie RODO | str. 83
Warunki formalne powierzenia przetwarzania danych osobowych przy transferach | str. 85
Zgoda na podpowierzenie | str. 88
Rozdział 4
Przesłanki legalnego transferu danych osobowych
(Michał Czarnecki, Tomasz Osiej) | str. 89
Wstęp | str. 89
Ogólna zasada przekazywania | str. 90
Decyzja stwierdzająca odpowiedni stopień ochrony | str. 92
Prawnie wiążący i egzekwowalny instrument między organami lub podmiotami publicznymi | str. 96
Wiążące reguły korporacyjne | str. 96
Standardowe klauzule umowne przyjęte przez Komisję Europejską | str. 100
Standardowe klauzule umowne przyjęte przez organ nadzorczy i zatwierdzone przez Komisję | str. 104
Zatwierdzony kodeks postępowania | str. 104
Zatwierdzony mechanizm certyfikacji | str. 107
Zabezpieczenia stosowane pod warunkiem uzyskania zezwolenia organu nadzoru | str. 108
Przekazywanie lub ujawnienie niedozwolone na mocy prawa Unii Europejskiej | str. 110
Wyjątki w szczególnych sytuacjach | str. 110
Podsumowanie | str. 112
Rozdział 5
Kryteria uznawania odpowiedniego stopnia ochrony danych osobowych w państwie trzecim (Arwid Mednis) 115
Zakres przedmiotowy i podmiotowy oceny stopnia ochrony danych osobowych | str. 115
Kryteria oceny poziomu ochrony | str. 118
Analiza odpowiedniego stopnia ochrony danych w państwie trzecim | str. 122
3.1. Uwagi wprowadzające | str. 122
3.2. Ocena praworządności | str. 122
3.3. Organ nadzorczy | str. 127
3.4. Zobowiązania międzynarodowe | str. 129
Dokumenty uzupełniające | str. 129
Przegląd okresowy | str. 130
Uwagi końcowe | str. 131
Rozdział 6
Zastosowanie decyzji Komisji Europejskiej jako podstawy transferu danych osobowych (Iga Małobęcka-Szwast) | str. 133
Wprowadzenie | str. 133
Zakres zastosowania i charakter prawny decyzji stwierdzających odpowiedni stopień ochrony | str. 135
Skutki prawne decyzji stwierdzającej odpowiedni stopień ochrony | str. 141
Procedura przyjmowania i wymogi formalne decyzji | str. 143
4.1. Uwagi wprowadzające | str. 143
4.2. Wybór państwa trzeciego lub organizacji międzynarodowej | str. 144
4.3. Ocena odpowiedniego stopnia ochrony | str. 145
4.4. Procedura sprawdzająca (art. 93 ust. 2 RODO) | str. 149
4.5. Treść i wymogi formalne decyzji | str. 150
Dotychczasowe decyzje Komisji | str. 151
Monitorowanie, okresowy przegląd i rewizja decyzji stwierdzającej odpowiedni stopień ochrony | str. 156
Rola krajowych organów nadzorczych i prawa jednostki związane ze stosowaniem decyzji Komisji | str. 159
Praktyczne aspekty dokonywania transferu danych na podstawie decyzji stwierdzającej odpowiedni stopień ochrony | str. 163
Rozdział 7
Podstawy i istota Transfer Impact Assessment (Agnieszka Krzyżak, Paweł Litwiński) | str. 167
Pojęcie Transfer Impact Assessment– próba zdefiniowania | str. 167
Podmioty zobowiązane do wykonania TIA | str. 171
Struktura Transfer Impact Assessment | str. 172
Analiza prawodawstwa obcego | str. 175
4.1. Cel i istota badania prawodawstwa w ramach TIA | str. 175
4.2. Etap I: identyfikacja prawa państwa trzeciego | str. 176
4.3. Etap II: identyfikacja aktów prawnych i ich treści | str. 179
4.4. Etap III: praktyka stosowania prawa w państwie
trzecim | str. 182
4.5. Przydatne źródła informacji | str. 183
4.6. Istotna przeszkoda – język | str. 184
Analiza sytuacji socjokulturowej i inne ważne kryteria niezbędne dla kompletności analizy | str. 186
5.1. Wpływy socjokulturowe w kontekście badania państwa trzeciego | str. 186
5.2. Uwarunkowania polityczne i sytuacja geopolityczna | str. 188
Podsumowanie | str. 190
Rozdział 8
Wpływ wyroku Trybunału Sprawiedliwości w sprawie Schrems II na decyzje krajowych organów nadzorczych w sprawach transferowych (Damian Karwala) | str. 191
Uwagi wprowadzające – znaczenie sprawy Schrems II | str. 191
Sprawy „101 dalmatyńczyków” i pierwsze decyzje organu austriackiego | str. 193
Pozostałe decyzje i stanowiska organów w sprawach „101 dalmatyńczyków” | str. 196
Decyzje organów nadzorczych w innych sprawach transferowych | str. 204
Decyzja organu irlandzkiego w sprawie Meta (Facebook) Ireland i rekordowa kara finansowa | str. 207
Podstawowe wnioski wynikające z decyzji i stanowisk organów nadzorczych | str. 210
Rozdział 9
Zastosowanie standardowych klauzul umownych przy transferach danych (Piotr Drobek, Urszula Góral) | str. 215
Wstęp | str. 215
Standardowe klauzule ochrony danych jako odpowiednie zabezpieczenia przekazywania danych | str. 217
Projekt decyzji wykonawczej Komisji Europejskiej | str. 219
Decyzja 2021/914 | str. 219
Zakres stosowania standardowych klauzul umownych i objęte nimi scenariusze przekazywania danych | str. 221
Możliwość modyfikacji standardowych klauzul
umownych | str. 223
Interpretacja standardowych klauzul umownych | str. 223
Strony standardowych klauzul umownych (klauzula przystąpienia) | str. 224
Prawo właściwe i jurysdykcja | str. 224
Klauzula beneficjenta | str. 225
Obowiązki stron | str. 226
Zabezpieczenia służące ochronie danych | str. 227
Korzystanie z usług podwykonawców przetwarzania (podprzetwarzanie) | str. 230
Prawa osób, których dane dotyczą | str. 232
Dochodzenie roszczeń | str. 236
Odpowiedzialność | str. 237
Nadzór | str. 240
Lokalne prawa i obowiązki w przypadku dostępu przez organy publiczne | str. 240
Prawa i praktyki lokalne wpływające na przestrzeganie klauzul | str. 241
Obowiązki podmiotu odbierającego dane w przypadku dostępu przez organy publiczne | str. 243
Brak zgodności z klauzulami i rozwiązanie umowy | str. 245
Podsumowanie | str. 246
Rozdział 10
Zastosowanie wiążących reguł korporacyjnych jako podstawy transferów danych osobowych (Dominika Kuźnicka-Błaszkowska) | str. 248
Wprowadzenie | str. 248
Charakter wiążących reguł korporacyjnych | str. 249
Treść wiążących reguł korporacyjnych | str. 252
Postępowanie w sprawie przyjęcia wiążących reguł korporacyjnych przed organem nadzorczym | str. 256
Znaczenie wiążących reguł korporacyjnych | str. 260
Podsumowanie | str. 262
Rozdział 11
Właściwość organów nadzorczych w sprawach transgranicznych (Agnieszka Grzelak) | str. 264
Wprowadzenie | str. 264
Pojęcie organu wiodącego | str. 265
Przykład z praktyki francuskiej | str. 272
Pojęcie organu nadzorczego, którego sprawa dotyczy | str. 273
Podejmowanie decyzji w sprawach transgranicznych – mechanizm współpracy i mechanizm spójności | str. 274
Wyjątki od zasady właściwości organu wiodącego | str. 277
Znaczenie wyroku Trybunału Sprawiedliwości w sprawie C-645/19, Facebook Ireland Limited i inni | str. 281
Podsumowanie | str. 283
Rozdział 12
Transfer danych osobowych w praktyce Europejskiej Rady Ochrony Danych (Gabriela Bar, Wojciech Lamik, Rafał Skibicki) | str. 285
Wprowadzenie | str. 285
Transfer danych według RODO i Maxa Schremsa | str. 286
Wytyczne i zalecenia Europejskiej Rady Ochrony Danych | str. 288
3.1. Charakter prawny wytycznych i zaleceń wydawanych przez EROD | str. 288
3.2. Wytyczne EROD w sprawie zastosowania art. 3 RODO w międzynarodowych transferach | str. 290
3.3. Wiążące reguły korporacyjne w praktyce EROD | str. 292
3.4. Artykuł 49 RODO w wytycznych EROD | str. 294
Działania EROD po wyroku w sprawie Schrems II i zaleceniach 01/2020 | str. 295
4.1. Przed wyrokiem w sprawie Schrems II | str. 295
4.2. Pierwsze działania po ogłoszeniu wyroku w sprawie Schrems II | str. 296
4.2.1. Oświadczenie EROD | str. 296
4.2.2. Odpowiedzi na najczęściej zadawane pytania w sprawie Schrems II | str. 297
4.3. Zalecenia 01/2020 | str. 297
Nowe standardowe klauzule umowne w ocenie EROD | str. 303
Certyfikacja jako podstawa transferu w wytycznych
EROD | str. 305
Zalecenia 01/2021 w sprawie odpowiedniego stopnia ochrony przekazywanych danych w „dyrektywie
policyjnej” | str. 308
Podsumowanie | str. 312
Rozdział 13
Brak transferu – jak ustalić, że transfer danych nie
zachodzi (Izabela Kowalczuk-Pakuła, Izabela Tarłowska) | str. 313
Wprowadzenie – cienka granica pomiędzy dwoma
światami | str. 313
Brak transferu – brak jednego z trzech elementów | str. 315
2.1. Wprowadzenie | str. 315
2.2. Podmiot przekazujący dane podlega RODO w odniesieniu do danej operacji przetwarzania | str. 315
2.3. Podmiot przekazujący dane ujawnia poprzez przesłanie lub w inny sposób udostępnia dane osobowe podmiotowi odbierającemu dane | str. 316
2.4. Podmiot odbierający dane znajduje się w państwie trzecim, niezależnie od tego, czy podlega RODO na mocy art. 3 tego rozporządzenia | str. 321
Inne przykłady sytuacji niebędących transferem danych osobowych do państwa trzeciego | str. 322
3.1. Wprowadzenie | str. 322
3.2. Bodil Lindqvist, czyli kiedy nie ma transferu w ocenie TS | str. 322
3.3. Tranzyt danych osobowych przez państwo trzecie | str. 325
3.4. Spółka matka z siedzibą w państwie trzecim | str. 325
3.5. Kierunek transferu | str. 327
3.6. Relacje wielostopniowe | str. 328
Podsumowanie | str. 328
Rozdział 14
Transfer danych osobowych w organach i podmiotach publicznych (Marlena Sakowska-Baryła) | str. 330
Wprowadzenie | str. 330
Zakres podmiotowy – pojęcie podmiotu lub organu publicznego | str. 331
Transfer | str. 334
Podstawy transferu danych dokonywanego przez organy i podmioty publiczne | str. 335
Instrumenty transferowe, o których mowa w art. 46 ust. 2 lit. a oraz ust. 3 lit. b RODO | str. 339
Przekazanie niezbędne ze względu na ważne względy interesu publicznego | str. 343
Przekazanie danych z publicznego rejestru | str. 347
Rozdział 15
Punkty przyjmowania wniosków wizowych jako szczególne przypadki transferu danych osobowych w administracji publicznej (Beata Konieczna-Drzewiecka) | str. 351
Wprowadzenie | str. 351
Wspólnotowy Kodeks Wizowy | str. 356
Podsumowanie | str. 361
Rozdział 16
Transfer danych osobowych w przekształceniach korporacyjnych (Bartosz Marcinkowski) | str. 364
Wybrane zagadnienia prawne i praktyczne | str. 364
Ogólne pojęcie i istota fuzji i przejęć (M&A) | str. 366
Typowe etapy transakcji M&A | str. 367
Dane osobowe na etapie badania due diligence | str. 369
Dane osobowe na etapie potransakcyjnym | str. 376
Uwagi końcowe | str. 382
Rozdział 17
Transfery danych osobowych pracowników (Dominika Dörre-Kolasa) | str. 383
Uwagi ogólne | str. 383
Transfer danych osobowych pracowników | str. 387
Administrator, współadministrowanie, powierzenie przetwarzania – wybrane aspekty praktyczne | str. 390
Podsumowanie | str. 394
Rozdział 18
Transfery danych osobowych do USA (Piotr Kalina) | str. 396
Wprowadzenie | str. 396
Decyzja Komisji Europejskiej w sprawie Safe Harbour | str. 397
Wyrok Trybunału Sprawiedliwości w sprawie Schrems I | str. 398
Decyzja Komisji Europejskiej w sprawie Privacy Shield | str. 403
Wyrok Trybunału Sprawiedliwości w sprawie Schrems II | str. 405
Transfery po wyroku Trybunału Sprawiedliwości w sprawie Schrems II | str. 415
Data Privacy Framework, Executive Order 14086 | str. 417
Decyzja Komisji Europejskiej w sprawie Ram Ochrony Prywatności | str. 420
Data Privacy Framework | str. 423
Podsumowanie | str. 426
Rozdział 19
Transfer danych do Wielkiej Brytanii (Milena Wilkowska) | str. 427
Wstęp | str. 427
Przygotowanie do brexitu | str. 428
Wystąpienie Wielkiej Brytanii z Unii Europejskiej | str. 429
Okres przejściowy | str. 431
Przygotowanie Wielkiej Brytanii na brexit w kontekście przepisów prawa ochrony danych osobowych | str. 433
Decyzja o adekwatności jako środek legalizujący transfer danych | str. 436
Opinia EROD w sprawie decyzji o adekwatności | str. 437
Decyzja EROD o adekwatności | str. 438
Nowe prawo ochrony danych osobowych w Wielkiej Brytanii | str. 440
Zasady transferu danych do Wielkiej Brytanii – podsumowanie | str. 442
Rozdział 20
Techniki zwiększające bezpieczeństwo i ochronę danych podczas transferu (Mariola Więckowska) | str. 443
Bezpieczeństwo i transmisja danych | str. 443
Techniczne i organizacyjne środki bezpieczeństwa transferu danych do państwa trzeciego | str. 447
2.1. Wprowadzenie | str. 447
2.2. Separacja danych | str. 447
2.3. Zarządzanie dostępem | str. 448
2.4. Zarządzanie środowiskami operacyjnymi
zasobów IT | str. 449
2.5. Zdalny dostęp do zasobów | str. 449
2.6. Logowanie i monitorowanie zdarzeń | str. 453
2.7. Aktualizacja sprzętu, oprogramowania i systemów | str. 453
2.8. Bezpieczeństwo sieci | str. 455
2.9. Zarządzanie podatnościami | str. 455
2.10. Tworzenie i rozwój oprogramowania | str. 456
2.11. Licencje | str. 459
2.12. Zabezpieczenie urządzeń | str. 459
2.13. Kryptografia | str. 460
2.14. Bezpieczeństwo infrastruktury sieciowej | str. 461
2.15. Zapora ogniowa następnej generacji (NGFW – Next Generation Firewall) | str. 461
2.16. Unified Threat Management (UTM) – bezpieczeństwo infrastruktury | str. 464
2.17. Rozwiązania Network Access Control (NAC) | str. 467
2.18. Technologie zwiększające prywatność | str. 469
Podsumowanie | str. 470
Rozdział 21
Transfer danych poza Europejski Obszar Gospodarczy. Przykładowe stany faktyczne i związane z tym ryzyka (Mirosław Gumularz, Tomasz Izydorczyk) | str. 472
Prawne uwarunkowania transferu danych poza EOG | str. 472
1.1. Wstęp | str. 472
1.2. Co jest transferem danych poza EOG | str. 473
1.3. Co nie jest transferem poza EOG | str. 475
1.4. Lista kontrolna – kiedy dochodzi do transferu danych poza EOG | str. 477
Ryzyka | str. 478
2.1. Wstęp | str. 478
2.2. Szczególne ryzyka związane z transferem poza EOG | str. 479
2.2.1. Brak jasnego wskazania, kto jest eksporterem | str. 479
2.2.2. Brak jasnego wskazania, kto jest importerem | str. 482
2.2.3. Brak jasnego wskazania obszarów (regionów) data center | str. 482
2.2.4. Skupienie się na fizycznej lokalizacji danych (data center) z pominięciem problemu zdalnego dostępu do danych (jako okoliczność, która może prowadzić do transferu danych) | str. 483
2.2.5. Skupienie się na kwestii zdalnego dostępu do danych z pominięciem ryzyka samej „możliwości” dostępu | str. 484
2.2.6. Przyjęcie błędnej podstawy transferu danych | str. 486
2.2.7. Brak identyfikacji roli i zakresu dostępu po stronie tzw. resellera | str. 488
2.2.8. Brak przejrzystości stosowanych algorytmów anonimizacji danych i w związku z tym utrata kontroli nad wytransferowanymi danymi | str. 488
2.2.9. Brak uwzględnienia okoliczności, że transfer danych może dotyczyć samego backupu | str. 489
2.2.10. Brak jasnego wskazania warunków przeniesienia danych pomiędzy data center (pomiędzy regionami) | str. 490
2.2.11. Brak odpowiedniej szczegółowości klauzul standardowych (SCC) w zakresie transferu danych (np. w zakresie opisu środków technicznych) | str. 490
2.2.12. Wykorzystanie błędnego wariantu SCC w przypadku transferu danych | str. 491
2.2.13. Skupienie się na lokalizacji miejsc przetwarzania danych (data center) z pominięciem prawnych przesłanek transferu danych | str. 492
2.2.14. Brak możliwości weryfikacji faktycznego miejsca przetwarzania danych | str. 492
2.2.15. Brak możliwości przeprowadzenia audytu „na miejscu” podmiotu przetwarzającego | str. 492
2.2.16. Niejasne „rozbicie” kwestii transferu danych dla poszczególnych usług SaaS (np. kalendarz, narzędzie do spotkań online itd.) | str. 493
2.2.17. Brak prawidłowej konfiguracji urządzeń mobilnych (np. synchronizacja prywatnego konta pracownika) i przesyłanie danych poza EOG bez kontroli organizacji | str. 494
2.2.18. Brak prawidłowego uwzględnienia przy szacowaniu ryzyk związanych z transferem kontekstu np. w postaci przekazania informacji prawnie chronionych (np. objętych tajemnicą ubezpieczeniową) | str. 495
2.2.19. Ryzyka związane z możliwością „podsłuchania” ruchu w sieci publicznej (np. w państwie importera) | str. 495
2.2.20. Vendor lock-in w kontekście transferu danych (brak możliwości „wyjścia” z usługi w przypadku nagłej zmiany poziomu ryzyka np. w związku ze zmianą systemu prawnego państwa importera) | str. 496
2.2.21. Brak kontroli zmiany warunków umowy (np. poprzez opublikowanie na WWW); funkcjonalności usługi (np. związanych z wyborem regionów przetwarzania); zakresu importerów; deklaracji co do dodatkowych środków związanych z transferem danych | str. 497
2.2.22. Ryzyko nieświadomego transferu danych pracownika administratora lub nietransparentnych zapisów adhezyjnych umów określanych przez dostawcę | str. 497
Podsumowanie | str. 499
Bibliografia | str. 501
O Autorach | str. 509
Wstęp | str. 27
Rozdział 1
Transfer danych osobowych – próba zdefiniowania pojęcia na gruncie przepisów RODO (Marlena Sakowska-Baryła) | str. 31
Wprowadzenie | str. 31
Uwarunkowania prawne transferów danych osobowych | str. 33
Państwo trzecie | str. 39
Organizacja międzynarodowa | str. 41
Pojęcie przekazywania danych do państwa trzeciego lub organizacji międzynarodowej | str. 42
Sposób przekazywania danych | str. 45
Dane z obszaru EOG – dostęp i umowy zawieranie z importerami z państw trzecich | str. 46
Wewnątrzorganizacyjne przekazywanie danych
osobowych | str. 48
Umieszczanie danych osobowych na stronach
internetowych | str. 48
Transfer zwrotny i dalszy | str. 50
Transfer jako przetwarzanie danych osobowych | str. 51
Rozdział 2
Eksporter i importer danych. Pojęcia oraz relacje pomiędzy podmiotami (Maciej Borkowski) | str. 55
Wprowadzenie | str. 55
Geneza i ewolucja pojęć | str. 55
Pojęcia eksportera i importera na gruncie najnowszych klauzul standardowych | str. 63
Jak język kształtuje rzeczywistość | str. 66
Ogólne obowiązki administratora | str. 68
Eksport danych na zlecenie administratora | str. 70
Warunki stosowania rozdziału V RODO | str. 71
Co na to SCC? | str. 72
Rozdział 3
Relacje pomiędzy administratorem, procesorem i subprocesorem – co zweryfikować w związku z transferem danych (Magdalena Czaplińska) | str. 75
Wprowadzenie | str. 75
Obowiązki weryfikacji przy transferach | str. 76
Weryfikacja podmiotu przetwarzającego na poziomie standardowych klauzul umownych | str. 81
Weryfikacja procesora na gruncie RODO | str. 83
Warunki formalne powierzenia przetwarzania danych osobowych przy transferach | str. 85
Zgoda na podpowierzenie | str. 88
Rozdział 4
Przesłanki legalnego transferu danych osobowych
(Michał Czarnecki, Tomasz Osiej) | str. 89
Wstęp | str. 89
Ogólna zasada przekazywania | str. 90
Decyzja stwierdzająca odpowiedni stopień ochrony | str. 92
Prawnie wiążący i egzekwowalny instrument między organami lub podmiotami publicznymi | str. 96
Wiążące reguły korporacyjne | str. 96
Standardowe klauzule umowne przyjęte przez Komisję Europejską | str. 100
Standardowe klauzule umowne przyjęte przez organ nadzorczy i zatwierdzone przez Komisję | str. 104
Zatwierdzony kodeks postępowania | str. 104
Zatwierdzony mechanizm certyfikacji | str. 107
Zabezpieczenia stosowane pod warunkiem uzyskania zezwolenia organu nadzoru | str. 108
Przekazywanie lub ujawnienie niedozwolone na mocy prawa Unii Europejskiej | str. 110
Wyjątki w szczególnych sytuacjach | str. 110
Podsumowanie | str. 112
Rozdział 5
Kryteria uznawania odpowiedniego stopnia ochrony danych osobowych w państwie trzecim (Arwid Mednis) 115
Zakres przedmiotowy i podmiotowy oceny stopnia ochrony danych osobowych | str. 115
Kryteria oceny poziomu ochrony | str. 118
Analiza odpowiedniego stopnia ochrony danych w państwie trzecim | str. 122
3.1. Uwagi wprowadzające | str. 122
3.2. Ocena praworządności | str. 122
3.3. Organ nadzorczy | str. 127
3.4. Zobowiązania międzynarodowe | str. 129
Dokumenty uzupełniające | str. 129
Przegląd okresowy | str. 130
Uwagi końcowe | str. 131
Rozdział 6
Zastosowanie decyzji Komisji Europejskiej jako podstawy transferu danych osobowych (Iga Małobęcka-Szwast) | str. 133
Wprowadzenie | str. 133
Zakres zastosowania i charakter prawny decyzji stwierdzających odpowiedni stopień ochrony | str. 135
Skutki prawne decyzji stwierdzającej odpowiedni stopień ochrony | str. 141
Procedura przyjmowania i wymogi formalne decyzji | str. 143
4.1. Uwagi wprowadzające | str. 143
4.2. Wybór państwa trzeciego lub organizacji międzynarodowej | str. 144
4.3. Ocena odpowiedniego stopnia ochrony | str. 145
4.4. Procedura sprawdzająca (art. 93 ust. 2 RODO) | str. 149
4.5. Treść i wymogi formalne decyzji | str. 150
Dotychczasowe decyzje Komisji | str. 151
Monitorowanie, okresowy przegląd i rewizja decyzji stwierdzającej odpowiedni stopień ochrony | str. 156
Rola krajowych organów nadzorczych i prawa jednostki związane ze stosowaniem decyzji Komisji | str. 159
Praktyczne aspekty dokonywania transferu danych na podstawie decyzji stwierdzającej odpowiedni stopień ochrony | str. 163
Rozdział 7
Podstawy i istota Transfer Impact Assessment (Agnieszka Krzyżak, Paweł Litwiński) | str. 167
Pojęcie Transfer Impact Assessment– próba zdefiniowania | str. 167
Podmioty zobowiązane do wykonania TIA | str. 171
Struktura Transfer Impact Assessment | str. 172
Analiza prawodawstwa obcego | str. 175
4.1. Cel i istota badania prawodawstwa w ramach TIA | str. 175
4.2. Etap I: identyfikacja prawa państwa trzeciego | str. 176
4.3. Etap II: identyfikacja aktów prawnych i ich treści | str. 179
4.4. Etap III: praktyka stosowania prawa w państwie
trzecim | str. 182
4.5. Przydatne źródła informacji | str. 183
4.6. Istotna przeszkoda – język | str. 184
Analiza sytuacji socjokulturowej i inne ważne kryteria niezbędne dla kompletności analizy | str. 186
5.1. Wpływy socjokulturowe w kontekście badania państwa trzeciego | str. 186
5.2. Uwarunkowania polityczne i sytuacja geopolityczna | str. 188
Podsumowanie | str. 190
Rozdział 8
Wpływ wyroku Trybunału Sprawiedliwości w sprawie Schrems II na decyzje krajowych organów nadzorczych w sprawach transferowych (Damian Karwala) | str. 191
Uwagi wprowadzające – znaczenie sprawy Schrems II | str. 191
Sprawy „101 dalmatyńczyków” i pierwsze decyzje organu austriackiego | str. 193
Pozostałe decyzje i stanowiska organów w sprawach „101 dalmatyńczyków” | str. 196
Decyzje organów nadzorczych w innych sprawach transferowych | str. 204
Decyzja organu irlandzkiego w sprawie Meta (Facebook) Ireland i rekordowa kara finansowa | str. 207
Podstawowe wnioski wynikające z decyzji i stanowisk organów nadzorczych | str. 210
Rozdział 9
Zastosowanie standardowych klauzul umownych przy transferach danych (Piotr Drobek, Urszula Góral) | str. 215
Wstęp | str. 215
Standardowe klauzule ochrony danych jako odpowiednie zabezpieczenia przekazywania danych | str. 217
Projekt decyzji wykonawczej Komisji Europejskiej | str. 219
Decyzja 2021/914 | str. 219
Zakres stosowania standardowych klauzul umownych i objęte nimi scenariusze przekazywania danych | str. 221
Możliwość modyfikacji standardowych klauzul
umownych | str. 223
Interpretacja standardowych klauzul umownych | str. 223
Strony standardowych klauzul umownych (klauzula przystąpienia) | str. 224
Prawo właściwe i jurysdykcja | str. 224
Klauzula beneficjenta | str. 225
Obowiązki stron | str. 226
Zabezpieczenia służące ochronie danych | str. 227
Korzystanie z usług podwykonawców przetwarzania (podprzetwarzanie) | str. 230
Prawa osób, których dane dotyczą | str. 232
Dochodzenie roszczeń | str. 236
Odpowiedzialność | str. 237
Nadzór | str. 240
Lokalne prawa i obowiązki w przypadku dostępu przez organy publiczne | str. 240
Prawa i praktyki lokalne wpływające na przestrzeganie klauzul | str. 241
Obowiązki podmiotu odbierającego dane w przypadku dostępu przez organy publiczne | str. 243
Brak zgodności z klauzulami i rozwiązanie umowy | str. 245
Podsumowanie | str. 246
Rozdział 10
Zastosowanie wiążących reguł korporacyjnych jako podstawy transferów danych osobowych (Dominika Kuźnicka-Błaszkowska) | str. 248
Wprowadzenie | str. 248
Charakter wiążących reguł korporacyjnych | str. 249
Treść wiążących reguł korporacyjnych | str. 252
Postępowanie w sprawie przyjęcia wiążących reguł korporacyjnych przed organem nadzorczym | str. 256
Znaczenie wiążących reguł korporacyjnych | str. 260
Podsumowanie | str. 262
Rozdział 11
Właściwość organów nadzorczych w sprawach transgranicznych (Agnieszka Grzelak) | str. 264
Wprowadzenie | str. 264
Pojęcie organu wiodącego | str. 265
Przykład z praktyki francuskiej | str. 272
Pojęcie organu nadzorczego, którego sprawa dotyczy | str. 273
Podejmowanie decyzji w sprawach transgranicznych – mechanizm współpracy i mechanizm spójności | str. 274
Wyjątki od zasady właściwości organu wiodącego | str. 277
Znaczenie wyroku Trybunału Sprawiedliwości w sprawie C-645/19, Facebook Ireland Limited i inni | str. 281
Podsumowanie | str. 283
Rozdział 12
Transfer danych osobowych w praktyce Europejskiej Rady Ochrony Danych (Gabriela Bar, Wojciech Lamik, Rafał Skibicki) | str. 285
Wprowadzenie | str. 285
Transfer danych według RODO i Maxa Schremsa | str. 286
Wytyczne i zalecenia Europejskiej Rady Ochrony Danych | str. 288
3.1. Charakter prawny wytycznych i zaleceń wydawanych przez EROD | str. 288
3.2. Wytyczne EROD w sprawie zastosowania art. 3 RODO w międzynarodowych transferach | str. 290
3.3. Wiążące reguły korporacyjne w praktyce EROD | str. 292
3.4. Artykuł 49 RODO w wytycznych EROD | str. 294
Działania EROD po wyroku w sprawie Schrems II i zaleceniach 01/2020 | str. 295
4.1. Przed wyrokiem w sprawie Schrems II | str. 295
4.2. Pierwsze działania po ogłoszeniu wyroku w sprawie Schrems II | str. 296
4.2.1. Oświadczenie EROD | str. 296
4.2.2. Odpowiedzi na najczęściej zadawane pytania w sprawie Schrems II | str. 297
4.3. Zalecenia 01/2020 | str. 297
Nowe standardowe klauzule umowne w ocenie EROD | str. 303
Certyfikacja jako podstawa transferu w wytycznych
EROD | str. 305
Zalecenia 01/2021 w sprawie odpowiedniego stopnia ochrony przekazywanych danych w „dyrektywie
policyjnej” | str. 308
Podsumowanie | str. 312
Rozdział 13
Brak transferu – jak ustalić, że transfer danych nie
zachodzi (Izabela Kowalczuk-Pakuła, Izabela Tarłowska) | str. 313
Wprowadzenie – cienka granica pomiędzy dwoma
światami | str. 313
Brak transferu – brak jednego z trzech elementów | str. 315
2.1. Wprowadzenie | str. 315
2.2. Podmiot przekazujący dane podlega RODO w odniesieniu do danej operacji przetwarzania | str. 315
2.3. Podmiot przekazujący dane ujawnia poprzez przesłanie lub w inny sposób udostępnia dane osobowe podmiotowi odbierającemu dane | str. 316
2.4. Podmiot odbierający dane znajduje się w państwie trzecim, niezależnie od tego, czy podlega RODO na mocy art. 3 tego rozporządzenia | str. 321
Inne przykłady sytuacji niebędących transferem danych osobowych do państwa trzeciego | str. 322
3.1. Wprowadzenie | str. 322
3.2. Bodil Lindqvist, czyli kiedy nie ma transferu w ocenie TS | str. 322
3.3. Tranzyt danych osobowych przez państwo trzecie | str. 325
3.4. Spółka matka z siedzibą w państwie trzecim | str. 325
3.5. Kierunek transferu | str. 327
3.6. Relacje wielostopniowe | str. 328
Podsumowanie | str. 328
Rozdział 14
Transfer danych osobowych w organach i podmiotach publicznych (Marlena Sakowska-Baryła) | str. 330
Wprowadzenie | str. 330
Zakres podmiotowy – pojęcie podmiotu lub organu publicznego | str. 331
Transfer | str. 334
Podstawy transferu danych dokonywanego przez organy i podmioty publiczne | str. 335
Instrumenty transferowe, o których mowa w art. 46 ust. 2 lit. a oraz ust. 3 lit. b RODO | str. 339
Przekazanie niezbędne ze względu na ważne względy interesu publicznego | str. 343
Przekazanie danych z publicznego rejestru | str. 347
Rozdział 15
Punkty przyjmowania wniosków wizowych jako szczególne przypadki transferu danych osobowych w administracji publicznej (Beata Konieczna-Drzewiecka) | str. 351
Wprowadzenie | str. 351
Wspólnotowy Kodeks Wizowy | str. 356
Podsumowanie | str. 361
Rozdział 16
Transfer danych osobowych w przekształceniach korporacyjnych (Bartosz Marcinkowski) | str. 364
Wybrane zagadnienia prawne i praktyczne | str. 364
Ogólne pojęcie i istota fuzji i przejęć (M&A) | str. 366
Typowe etapy transakcji M&A | str. 367
Dane osobowe na etapie badania due diligence | str. 369
Dane osobowe na etapie potransakcyjnym | str. 376
Uwagi końcowe | str. 382
Rozdział 17
Transfery danych osobowych pracowników (Dominika Dörre-Kolasa) | str. 383
Uwagi ogólne | str. 383
Transfer danych osobowych pracowników | str. 387
Administrator, współadministrowanie, powierzenie przetwarzania – wybrane aspekty praktyczne | str. 390
Podsumowanie | str. 394
Rozdział 18
Transfery danych osobowych do USA (Piotr Kalina) | str. 396
Wprowadzenie | str. 396
Decyzja Komisji Europejskiej w sprawie Safe Harbour | str. 397
Wyrok Trybunału Sprawiedliwości w sprawie Schrems I | str. 398
Decyzja Komisji Europejskiej w sprawie Privacy Shield | str. 403
Wyrok Trybunału Sprawiedliwości w sprawie Schrems II | str. 405
Transfery po wyroku Trybunału Sprawiedliwości w sprawie Schrems II | str. 415
Data Privacy Framework, Executive Order 14086 | str. 417
Decyzja Komisji Europejskiej w sprawie Ram Ochrony Prywatności | str. 420
Data Privacy Framework | str. 423
Podsumowanie | str. 426
Rozdział 19
Transfer danych do Wielkiej Brytanii (Milena Wilkowska) | str. 427
Wstęp | str. 427
Przygotowanie do brexitu | str. 428
Wystąpienie Wielkiej Brytanii z Unii Europejskiej | str. 429
Okres przejściowy | str. 431
Przygotowanie Wielkiej Brytanii na brexit w kontekście przepisów prawa ochrony danych osobowych | str. 433
Decyzja o adekwatności jako środek legalizujący transfer danych | str. 436
Opinia EROD w sprawie decyzji o adekwatności | str. 437
Decyzja EROD o adekwatności | str. 438
Nowe prawo ochrony danych osobowych w Wielkiej Brytanii | str. 440
Zasady transferu danych do Wielkiej Brytanii – podsumowanie | str. 442
Rozdział 20
Techniki zwiększające bezpieczeństwo i ochronę danych podczas transferu (Mariola Więckowska) | str. 443
Bezpieczeństwo i transmisja danych | str. 443
Techniczne i organizacyjne środki bezpieczeństwa transferu danych do państwa trzeciego | str. 447
2.1. Wprowadzenie | str. 447
2.2. Separacja danych | str. 447
2.3. Zarządzanie dostępem | str. 448
2.4. Zarządzanie środowiskami operacyjnymi
zasobów IT | str. 449
2.5. Zdalny dostęp do zasobów | str. 449
2.6. Logowanie i monitorowanie zdarzeń | str. 453
2.7. Aktualizacja sprzętu, oprogramowania i systemów | str. 453
2.8. Bezpieczeństwo sieci | str. 455
2.9. Zarządzanie podatnościami | str. 455
2.10. Tworzenie i rozwój oprogramowania | str. 456
2.11. Licencje | str. 459
2.12. Zabezpieczenie urządzeń | str. 459
2.13. Kryptografia | str. 460
2.14. Bezpieczeństwo infrastruktury sieciowej | str. 461
2.15. Zapora ogniowa następnej generacji (NGFW – Next Generation Firewall) | str. 461
2.16. Unified Threat Management (UTM) – bezpieczeństwo infrastruktury | str. 464
2.17. Rozwiązania Network Access Control (NAC) | str. 467
2.18. Technologie zwiększające prywatność | str. 469
Podsumowanie | str. 470
Rozdział 21
Transfer danych poza Europejski Obszar Gospodarczy. Przykładowe stany faktyczne i związane z tym ryzyka (Mirosław Gumularz, Tomasz Izydorczyk) | str. 472
Prawne uwarunkowania transferu danych poza EOG | str. 472
1.1. Wstęp | str. 472
1.2. Co jest transferem danych poza EOG | str. 473
1.3. Co nie jest transferem poza EOG | str. 475
1.4. Lista kontrolna – kiedy dochodzi do transferu danych poza EOG | str. 477
Ryzyka | str. 478
2.1. Wstęp | str. 478
2.2. Szczególne ryzyka związane z transferem poza EOG | str. 479
2.2.1. Brak jasnego wskazania, kto jest eksporterem | str. 479
2.2.2. Brak jasnego wskazania, kto jest importerem | str. 482
2.2.3. Brak jasnego wskazania obszarów (regionów) data center | str. 482
2.2.4. Skupienie się na fizycznej lokalizacji danych (data center) z pominięciem problemu zdalnego dostępu do danych (jako okoliczność, która może prowadzić do transferu danych) | str. 483
2.2.5. Skupienie się na kwestii zdalnego dostępu do danych z pominięciem ryzyka samej „możliwości” dostępu | str. 484
2.2.6. Przyjęcie błędnej podstawy transferu danych | str. 486
2.2.7. Brak identyfikacji roli i zakresu dostępu po stronie tzw. resellera | str. 488
2.2.8. Brak przejrzystości stosowanych algorytmów anonimizacji danych i w związku z tym utrata kontroli nad wytransferowanymi danymi | str. 488
2.2.9. Brak uwzględnienia okoliczności, że transfer danych może dotyczyć samego backupu | str. 489
2.2.10. Brak jasnego wskazania warunków przeniesienia danych pomiędzy data center (pomiędzy regionami) | str. 490
2.2.11. Brak odpowiedniej szczegółowości klauzul standardowych (SCC) w zakresie transferu danych (np. w zakresie opisu środków technicznych) | str. 490
2.2.12. Wykorzystanie błędnego wariantu SCC w przypadku transferu danych | str. 491
2.2.13. Skupienie się na lokalizacji miejsc przetwarzania danych (data center) z pominięciem prawnych przesłanek transferu danych | str. 492
2.2.14. Brak możliwości weryfikacji faktycznego miejsca przetwarzania danych | str. 492
2.2.15. Brak możliwości przeprowadzenia audytu „na miejscu” podmiotu przetwarzającego | str. 492
2.2.16. Niejasne „rozbicie” kwestii transferu danych dla poszczególnych usług SaaS (np. kalendarz, narzędzie do spotkań online itd.) | str. 493
2.2.17. Brak prawidłowej konfiguracji urządzeń mobilnych (np. synchronizacja prywatnego konta pracownika) i przesyłanie danych poza EOG bez kontroli organizacji | str. 494
2.2.18. Brak prawidłowego uwzględnienia przy szacowaniu ryzyk związanych z transferem kontekstu np. w postaci przekazania informacji prawnie chronionych (np. objętych tajemnicą ubezpieczeniową) | str. 495
2.2.19. Ryzyka związane z możliwością „podsłuchania” ruchu w sieci publicznej (np. w państwie importera) | str. 495
2.2.20. Vendor lock-in w kontekście transferu danych (brak możliwości „wyjścia” z usługi w przypadku nagłej zmiany poziomu ryzyka np. w związku ze zmianą systemu prawnego państwa importera) | str. 496
2.2.21. Brak kontroli zmiany warunków umowy (np. poprzez opublikowanie na WWW); funkcjonalności usługi (np. związanych z wyborem regionów przetwarzania); zakresu importerów; deklaracji co do dodatkowych środków związanych z transferem danych | str. 497
2.2.22. Ryzyko nieświadomego transferu danych pracownika administratora lub nietransparentnych zapisów adhezyjnych umów określanych przez dostawcę | str. 497
Podsumowanie | str. 499
Bibliografia | str. 501
O Autorach | str. 509