Komercyjne transfery danych osobowych do państw trzecich

Wykaz ważniejszych skrótów | str. 15

Wstęp | str. 17

Rozdział I
Zagadnienia wprowadzające – pomiędzy podejściem terytorialnym a organizacyjnym | str. 25
1. Uwagi wstępne | str. 25
2. Przyczyny wprowadzania transferowych regulacji ochronnych | str. 27
3. Możliwe podejścia do regulacji transferów danych osobowych | str. 30
3.1. Pozycje wyjściowe w zakresie regulacji transferów danych osobowych | str. 30
3.2. Istota podejścia terytorialnego | str. 33
3.3. Istota podejścia organizacyjnego | str. 35
3.3.1. Oparcie na organizacji | str. 35
3.3.2. Zasada rozliczalności | str. 37
4. Podejście terytorialne oraz organizacyjne – uwagi historyczne | str. 41
5. Przenikanie się odmiennych podejść do regulacji transferowej | str. 46
6. Podejście terytorialne i organizacyjne w dyrektywie 95/46 | str. 50

Rozdział II
Kwestie definicyjne oraz zakres podmiotowy unijnej transferowej regulacji ochronnej | str. 54
1. Pojęcie państwa trzeciego | str. 54
2. Pojęcie przekazywania danych osobowych do państwa trzeciego | str. 58
2.1. Przykłady transgranicznego przekazywania danych | str. 60
2.2. Wyrok ETS w sprawie B. Lindqvist | str. 61
2.3. Próba zdefiniowania pojęcia przekazywania danych osobowych do państwa trzeciego | str. 68
3. Problem tranzytu danych osobowych przez państwo trzecie | str. 75
4. Problem tzw. reeksportu (zwrotnego przekazywania) danych osobowych | str. 79
5. Problem tzw. transferów dalszych (onward transfers) | str. 81
5.1. Transfery dalsze w sytuacji posłużenia się wzorcowymi klauzulami umownymi | str. 86
5.2. Transfery dalsze z wykorzystaniem programu Bezpiecznej Przystani | str. 90
6. Zakres podmiotowy stosowania unijnej transferowej regulacji ochronnej | str. 96
7. Przekazywanie danych osobowych do państw trzecich jako operacja przetwarzania danych | str. 103

Rozdział III
Podejście terytorialne oraz adekwatność ochrony jako podstawy unijnej transferowej regulacji ochronnej | str. 109
1. Przekazywanie danych osobowych wewnątrz Europejskiego Obszaru Gospodarczego | str. 109
2. Cele unijnej transferowej regulacji ochronnej | str. 112
3. Problem miernika – „adekwatność” czy „równoważność” ochrony | str. 114
4. Kryteria oceny „adekwatnej” ochrony | str. 117
4.1. Kryteria oceny w świetle art. 25 ust. 2 dyrektywy 95/46 | str. 117
4.2. Model oceny skonkretyzowanej (metodologia organu brytyjskiego) | str. 123
4.3. Model oceny abstrakcyjnej (metodologia Grupy Roboczej Art. 29) | str. 127
4.4. Międzynarodowe zobowiązania państwa trzeciego | str. 132
5. Ocena całości ustawodawstwa czy ocena cząstkowa (sektorowa)? | str. 135
6. Ocena adekwatności ochrony – czy jednak skonkretyzowana? | str. 137
7. Próba definicji oraz charakter prawny warunku adekwatnej ochrony | str. 139
8. Podmioty dokonujące oceny adekwatności | str. 144
8.1. Oceny dokonywane przez Komisję Europejską (Commission findings) | str. 144
8.2. Oceny dokonywane na poziomie krajowym (national findings) | str. 145
8.2.1. Rola administratorów danych | str. 146
8.2.2. Rola krajowych organów nadzorczych | str. 148
9. Decyzje Komisji Europejskiej w sprawie adekwatności (adequacy findings) | str. 150
9.1. Istota decyzji Komisji w sprawie adekwatności | str. 150
9.2. Decyzje pozytywne (tzw. biała lista) | str. 152
9.2.1. Kwestie proceduralne | str. 152
9.2.2. Klasyfikacja decyzji pozytywnych | str. 155
9.2.3. Decyzje dotyczące państw | str. 156
9.2.4. Inne kategorie decyzji | str. 158
9.3. Program Bezpiecznej Przystani – rozwiązanie „hybrydowe” | str. 161
9.4. Ocena adekwatności państw trzecich w praktyce Komisji Europejskiej oraz Grupy Roboczej Art. 29 | str. 165
9.5. Decyzje negatywne (tzw. czarna lista) | str. 172

Rozdział IV
Instrumenty transferowe właściwe dla podejścia organizacyjnego w okresie obowiązywania dyrektywy 95/46 | str. 176
1. Istota „odpowiednich zabezpieczeń” | str. 176
2. Autoryzacje krajowe w sytuacji „zapewnienia odpowiednich zabezpieczeń” | str. 179
3. Umowy transferowe | str. 183
3.1. Geneza umów transferowych | str. 183
3.2. Istota oraz znaczenie rozwiązań kontraktowych w zakresie operacji transferowych | str. 186
3.3. Rodzaje umów transferowych | str. 187
3.4. Unijne modelowe klauzule umowne | str. 189
3.5. Klauzule modelowe controller-to-controller | str. 191
3.5.1. Pierwszy zestaw klauzul modelowych (decyzja Komisji 2001/497/WE) | str. 191
3.5.1.1. Obowiązki stron umowy transferowej | str. 191
3.5.1.2. Klauzula beneficjenta (third-party beneficiary clause) | str. 195
3.5.1.3. Zasady odpowiedzialności stron oraz pozostałe klauzule | str. 196
3.5.2. Alternatywny zestaw klauzul modelowych (decyzja Komisji 2004/915/WE) | str. 198
3.6. Klauzule controller-to-processor (decyzja Komisji 2010/87/UE) | str. 205
3.7. Klauzule processor-to-subprocessor | str. 216
3.8. Modelowe klauzule umowne w praktyce | str. 221
3.9. Umowy transferowe i modelowe klauzule umowne w prawie wybranych państw UE | str. 225
3.10. Ocena umów transferowych | str. 230
3.11. Elementy właściwe dla podejścia terytorialnego oraz organizacyjnego w kontekście umów transferowych | str. 232
4. Wiążące reguły korporacyjne | str. 234
4.1. Geneza oraz przyczyny wprowadzenia wiążących reguł korporacyjnych | str. 234
4.2. „Zestaw narzędzi” Grupy Roboczej Art. 29 | str. 236
4.3. Istota wiążących reguł korporacyjnych | str. 239
4.4. Wymóg związania przez reguły korporacyjne | str. 240
4.4.1. Związanie w relacjach wewnętrznych | str. 241
4.4.2. Związanie w relacjach zewnętrznych | str. 243
4.4.3. Związanie w aspekcie prawnym oraz praktycznym | str. 246
4.5. Rola podmiotu delegowanego na obszarze UE | str. 247
4.6. Elementy definicyjne BCR: „reguły”, „korporacyjne”, „dla operacji transferów danych” | str. 248
4.7. Konstrukcja i zawartość wiążących reguł korporacyjnych | str. 251
4.8. Procedura zatwierdzania BCR | str. 255
4.8.1. Organ wiodący | str. 256
4.8.2. Wniosek o zatwierdzenie wiążących reguł korporacyjnych | str. 258
4.8.3. Etap dyskusji i procedura współpracy | str. 259
4.8.4. Porozumienie o wzajemnym uznawaniu | str. 261
4.8.5. Zatwierdzenie wiążących reguł korporacyjnych | str. 263
4.8.6. Krajowa autoryzacja zatwierdzonych BCR | str. 265
4.9. Wiążące reguły korporacyjne dla podmiotów przetwarzających (Processor Binding Corporate Rules) | str. 272
4.9.1. Geneza i przebieg prac nad instrumentem | str. 272
4.9.2. Istota BCR dla przetwarzających dane | str. 275
4.9.3. Wymóg krajowej autoryzacji | str. 277
4.9.4. Moc wiążąca oraz zawartość (treść) reguł korporacyjnych dla przetwarzających dane | str. 279
4.9.5. Kwestie proceduralne | str. 284
4.10. Problem zmian w strukturze korporacji oraz zmian w BCR | str. 285
4.11. Wiążące reguły korporacyjne w prawie wybranych państw UE | str. 287
4.12. Ocena wiążących reguł korporacyjnych | str. 288
4.13. Elementy podejścia terytorialnego oraz organizacyjnego na gruncie BCR | str. 293
5. Odstępstwa od zakazu transferu danych | str. 295
5.1. Uwagi wprowadzające | str. 295
5.2. Zalecenia Grupy Roboczej Art. 29 | str. 299
5.3. Zgoda podmiotu danych | str. 302
5.4. Realizacja umowy zawartej przez osobę, której dotyczą dane | str. 308
5.5. Umowa zawarta w interesie osoby, której dotyczą dane | str. 311
5.6. Ważne względy publiczne, tytuł prawny | str. 313
5.7. Żywotne interesy osoby, której dotyczą dane | str. 315
5.8. Dane pochodzące z rejestru publicznego | str. 316
5.9. Ocena odstępstw od zakazu transferu danych | str. 317

Rozdział V
Reforma unijnych ram prawnych w zakresie przekazywania danych osobowych do państw trzecich | str. 319
1. Potrzeba zmian | str. 319
2. Zasada rozliczalności według propozycji Grupy Roboczej Art. 29 | str. 323
3. Przegląd innych propozycji | str. 327
4. Wybór metody regulacji (rozporządzenie unijne) i jego znaczenie dla operacji transferowych | str. 332
5. Utrzymanie zakazu transferu danych jako reguły | str. 336
6. Elementy właściwe dla podejścia terytorialnego na gruncie rozporządzenia 2016/679 | str. 338
6.1. Adekwatność ochrony – czy nadal zasadą? | str. 338
6.2. Centralizacja procesu oceny adekwatności | str. 339
6.3. Decyzje sektorowe oraz dotyczące terytorium | str. 343
6.4. Kryteria oceny adekwatności | str. 344
6.5. Obowiązek monitorowania sytuacji w państwach trzecich | str. 347
6.6. Decyzje o charakterze negatywnym | str. 348
6.7. Problem dotychczasowych decyzji Komisji oraz pozostałe kwestie | str. 351
7. Elementy właściwe dla podejścia organizacyjnego na gruncie rozporządzenia 2016/679 | str. 353
7.1. Przekazywanie danych „z zastrzeżeniem odpowiednich zabezpieczeń” | str. 353
7.2. Instrumenty niewymagające dodatkowej autoryzacji krajowej | str. 356
7.2.1. Standardowe klauzule ochrony danych | str. 357
7.2.2. Wiążące reguły korporacyjne | str. 359
7.2.3. Kodeksy postępowania (dobrych praktyk) | str. 368
7.2.4. Mechanizmy certyfikacyjne | str. 374
7.3. Klauzule umowne ad hoc – instrument wymagający dodatkowej krajowej autoryzacji | str. 377
7.4. Instrumenty przeznaczone dla podmiotów publicznych | str. 380
7.5. „Wyjątki w szczególnych sytuacjach” | str. 382
7.5.1. Klauzula prawnie uzasadnionych interesów eksportera danych | str. 382
7.5.2. Pozostałe odstępstwa od zakazu transferu danych do państw trzecich | str. 386
8. Pozostałe uwagi w kontekście rozdziału V rozporządzenia 2016/679 | str. 393
8.1. Definicja pojęcia przekazywania danych do państw trzecich | str. 393
8.2. Objęcie transferową regulacją ochronną podmiotów przetwarzających | str. 395
8.3. Problem transferów dalszych | str. 401
8.4. Obowiązki informacyjne związane z transferami danych | str. 406
8.5. Transfery niedozwolone na mocy prawa UE oraz ograniczenia w zakresie transferu danych | str. 408
9. Wyrok w sprawie M. Schrems i jego znaczenie dla unijnej transferowej regulacji ochronnej | str. 410
9.1. Uwagi wprowadzające | str. 410
9.2. Sprawa E. Snowdena oraz M. Schremsa | str. 411
9.3. Opinia Rzecznika Generalnego | str. 413
9.4. Wyrok TS w sprawie M. Schrems | str. 415
9.5. Bezpośrednie oraz pośrednie znaczenie wyroku w sprawie M. Schrems | str. 419
9.5.1. Afirmacja praw podstawowych do ochrony danych oraz wymóg „zasadniczej równoważności” | str. 421
9.5.2. Wpływ wyroku w sprawie M. Schrems na nową unijną transferową regulację ochronną | str. 430
10. Program Tarcza Prywatności UE–USA | str. 435
11. Podsumowanie, postulaty de lege ferenda | str. 444

Zakończenie | str. 455

Wykaz źródeł | str. 459