Komercyjne transfery danych osobowych do państw trzecich (Wolters Kluwer Polska SA)

Tytuł Komercyjne transfery informacji osobowych do państw trzecich Autor Damian Karwala Język polski Wydawnictwo Wolters Kluwer Polska SA ISBN 978-83-8160-011-8 seria Monografie Rok wydania 2018 ilość stron 488 Format pdf Spis treści Wykaz ważniejszych skrótów | str. 15

Wstęp | str. 17

Rozdział I
Zagadnienia wprowadzające – między podejściem terytorialnym a organizacyjnym | str. 25
1. Uwagi wstępne | str. 25
2. Przyczyny wprowadzania transferowych regulacji ochronnych | str. 27
3. Realne podejścia do regulacji transferów informacji osobowych | str. 30
3.1. Pozycje wyjściowe w zakresie regulacji transferów informacji osobowych | str. 30
3.2. Istota podejścia terytorialnego | str. 33
3.3. Istota podejścia organizacyjnego | str. 35
3.3.1. Oparcie na organizacji | str. 35
3.3.2. Zasada rozliczalności | str. 37
4. Podejście terytorialne i organizacyjne – uwagi historyczne | str. 41
5. Przenikanie się odmiennych podejść do regulacji transferowej | str. 46
6. Podejście terytorialne i organizacyjne w dyrektywie 95/46 | str. 50

Rozdział II
Kwestie definicyjne, a także zakres podmiotowy unijnej transferowej regulacji ochronnej | str. 54
1. Pojęcie państwa trzeciego | str. 54
2. Pojęcie przekazywania danych osobowych do państwa trzeciego | str. 58
2.1. Przykłady transgranicznego przekazywania informacji | str. 60
2.2. Wyrok ETS w sprawie B. Lindqvist | str. 61
2.3. Próba zdefiniowania pojęcia przekazywania informacji osobowych do państwa trzeciego | str. 68
3. Problem tranzytu informacji osobowych poprzez państwo trzecie | str. 75
4. Problem tzw. Reeksportu (zwrotnego przekazywania) informacji osobowych | str. 79
5. Problem tzw. Transferów dalszych (onward transfers) | str. 81
5.1. Transfery dalsze w przypadku posłużenia się wzorcowymi klauzulami umownymi | str. 86
5.2. Transfery dalsze z wykorzystaniem programu Bezpiecznej Przystani | str. 90
6. Zakres podmiotowy używania unijnej transferowej regulacji ochronnej | str. 96
7. Przekazywanie danych osobowych do państw trzecich jako operacja przetwarzania danych | str. 103

Rozdział III
Podejście terytorialne, a także optymalność ochrony jako podstawy unijnej transferowej regulacji ochronnej | str. 109
1. Przekazywanie informacji osobowych we wnętrzu Europejskiego Obszaru Gospodarczego | str. 109
2. Cele unijnej transferowej regulacji ochronnej | str. 112
3. Problem miernika – „adekwatność” czy „równoważność” ochrony | str. 114
4. Kryteria oceny „stosownej” ochrony | str. 117
4.1. Kryteria oceny w świetle art. 25 ust. 2 dyrektywy 95/46 | str. 117
4.2. Model oceny skonkretyzowanej (metodologia organu brytyjskiego) | str. 123
4.3. Model oceny abstrakcyjnej (metodologia Grupy Roboczej Art. 29) | str. 127
4.4. Międzynarodowe zobowiązania państwa trzeciego | str. 132
5. Ocena całości ustawodawstwa czy ocena cząstkowa (sektorowa)? | str. 135
6. Ocena optymalności ochrony – czy jednak skonkretyzowana? | str. 137
7. Próba definicji i charakter prawny warunku trafnej ochrony | str. 139
8. Podmioty dokonujące oceny optymalności | str. 144
8.1. Oceny dokonywane poprzez Komisję Europejską (Commission findings) | str. 144
8.2. Oceny dokonywane na poziomie krajowym (national findings) | str. 145
8.2.1. Rola administratorów danych | str. 146
8.2.2. Rola krajowych organów nadzorczych | str. 148
9. Decyzje Komisji Europejskiej w sprawie stosowności (adequacy findings) | str. 150
9.1. Istota decyzji Komisji w sprawie trafności | str. 150
9.2. Decyzje pozytywne (tzw. Biała lista) | str. 152
9.2.1. Kwestie proceduralne | str. 152
9.2.2. Klasyfikacja decyzji pozytywnych | str. 155
9.2.3. Decyzje dotyczące państw | str. 156
9.2.4. Inne kategorie decyzji | str. 158
9.3. Program Bezpiecznej Przystani – rozwiązanie „hybrydowe” | str. 161
9.4. Ocena stosowności państw trzecich w praktyce Komisji Europejskiej i Grupy Roboczej Art. 29 | str. 165
9.5. Decyzje negatywne (tzw. Czarna lista) | str. 172

Rozdział IV
Instrumenty transferowe właściwe dla podejścia organizacyjnego w okresie obowiązywania dyrektywy 95/46 | str. 176
1. Istota „odpowiednich zabezpieczeń” | str. 176
2. Autoryzacje krajowe w przypadku „zapewnienia adekwatnych zabezpieczeń” | str. 179
3. Umowy transferowe | str. 183
3.1. Geneza umów transferowych | str. 183
3.2. Istota, a także znaczenie rozwiązań kontraktowych w zakresie operacji transferowych | str. 186
3.3. Rodzaje umów transferowych | str. 187
3.4. Unijne modelowe klauzule umowne | str. 189
3.5. Klauzule modelowe controller-to-controller | str. 191
3.5.1. Pierwszy zestaw klauzul modelowych (decyzja Komisji 2001/497/WE) | str. 191
3.5.1.1. Obowiązki stron umowy transferowej | str. 191
3.5.1.2. Klauzula beneficjenta (third-party beneficiary clause) | str. 195
3.5.1.3. Zasady odpowiedzialności stron i pozostałe klauzule | str. 196
3.5.2. Alternatywny komplet klauzul modelowych (decyzja Komisji 2004/915/WE) | str. 198
3.6. Klauzule controller-to-processor (decyzja Komisji 2010/87/UE) | str. 205
3.7. Klauzule processor-to-subprocessor | str. 216
3.8. Modelowe klauzule umowne w praktyce | str. 221
3.9. Umowy transferowe i modelowe klauzule umowne w prawie wybranych państw UE | str. 225
3.10. Ocena umów transferowych | str. 230
3.11. Komponenty właściwe dla podejścia terytorialnego, a także organizacyjnego w kontekście umów transferowych | str. 232
4. Wiążące reguły korporacyjne | str. 234
4.1. Geneza i przyczyny wprowadzenia wiążących reguł korporacyjnych | str. 234
4.2. „zestaw narzędzi” Grupy Roboczej Art. 29 | str. 236
4.3. Istota wiążących reguł korporacyjnych | str. 239
4.4. Wymóg związania przez reguły korporacyjne | str. 240
4.4.1. Związanie w relacjach wewnętrznych | str. 241
4.4.2. Związanie w relacjach zewnętrznych | str. 243
4.4.3. Związanie w aspekcie prawnym oraz funkcjonalnym | str. 246
4.5. Rola podmiotu delegowanego na obszarze UE | str. 247
4.6. Części definicyjne BCR: „reguły”, „korporacyjne”, „dla operacji transferów danych” | str. 248
4.7. Kompozycja i zawartość wiążących reguł korporacyjnych | str. 251
4.8. Procedura zatwierdzania BCR | str. 255
4.8.1. Organ wiodący | str. 256
4.8.2. Wniosek o zatwierdzenie wiążących reguł korporacyjnych | str. 258
4.8.3. Etap dyskusji i procedura współpracy | str. 259
4.8.4. Porozumienie o wzajemnym uznawaniu | str. 261
4.8.5. Zatwierdzenie wiążących reguł korporacyjnych | str. 263
4.8.6. Krajowa autoryzacja zatwierdzonych BCR | str. 265
4.9. Wiążące reguły korporacyjne dla podmiotów przetwarzających (Processor Binding Corporate Rules) | str. 272
4.9.1. Geneza i przebieg prac nad instrumentem | str. 272
4.9.2. Istota BCR dla przetwarzających informacje | str. 275
4.9.3. Wymóg krajowej autoryzacji | str. 277
4.9.4. Moc wiążąca oraz zawartość (treść) reguł korporacyjnych dla przetwarzających dane | str. 279
4.9.5. Kwestie proceduralne | str. 284
4.10. Problem zmian w strukturze korporacji, a także zmian w BCR | str. 285
4.11. Wiążące reguły korporacyjne w prawie wybranych państw UE | str. 287
4.12. Ocena wiążących reguł korporacyjnych | str. 288
4.13. Elementy podejścia terytorialnego i organizacyjnego na gruncie BCR | str. 293
5. Odstępstwa od zakazu transferu informacji | str. 295
5.1. Uwagi wprowadzające | str. 295
5.2. Zalecenia Grupy Roboczej Art. 29 | str. 299
5.3. Zgoda podmiotu danych | str. 302
5.4. Realizacja umowy zawartej poprzez osobę, której dotyczą informacje | str. 308
5.5. Umowa zawarta w interesie osoby, której dotyczą informacje | str. 311
5.6. Ważne względy publiczne, tytuł prawny | str. 313
5.7. Żywotne interesy osoby, której dotyczą dane | str. 315
5.8. Dane pochodzące z rejestru publicznego | str. 316
5.9. Ocena odstępstw od zakazu transferu informacji | str. 317

Rozdział V
Reforma unijnych ram prawnych w zakresie przekazywania danych osobowych do państw trzecich | str. 319
1. Potrzeba zmian | str. 319
2. Zasada rozliczalności według propozycji Grupy Roboczej Art. 29 | str. 323
3. Przegląd innych propozycji | str. 327
4. Wybór metody regulacji (rozporządzenie unijne) i jego znaczenie dla operacji transferowych | str. 332
5. Utrzymanie zakazu transferu danych jako reguły | str. 336
6. Części właściwe dla podejścia terytorialnego na gruncie rozporządzenia 2016/679 | str. 338
6.1. Adekwatność ochrony – czy nadal zasadą? | str. 338
6.2. Centralizacja procesu oceny trafności | str. 339
6.3. Decyzje sektorowe, a także dotyczące terytorium | str. 343
6.4. Kryteria oceny stosowności | str. 344
6.5. Obowiązek monitorowania sytuacji w państwach trzecich | str. 347
6.6. Decyzje o charakterze negatywnym | str. 348
6.7. Problem dotychczasowych decyzji Komisji i pozostałe kwestie | str. 351
7. Komponenty właściwe dla podejścia organizacyjnego na gruncie rozporządzenia 2016/679 | str. 353
7.1. Przekazywanie informacji „z zastrzeżeniem optymalnych zabezpieczeń” | str. 353
7.2. Instrumenty niewymagające dodatkowej autoryzacji krajowej | str. 356
7.2.1. Standardowe klauzule ochrony informacji | str. 357
7.2.2. Wiążące reguły korporacyjne | str. 359
7.2.3. Kodeksy postępowania (prawidłowych praktyk) | str. 368
7.2.4. Mechanizmy certyfikacyjne | str. 374
7.3. Klauzule umowne ad hoc – instrument wymagający uzupełniającej krajowej autoryzacji | str. 377
7.4. Instrumenty dedykowane dla podmiotów publicznych | str. 380
7.5. „Wyjątki w szczególnych sytuacjach” | str. 382
7.5.1. Klauzula prawnie uzasadnionych interesów eksportera danych | str. 382
7.5.2. Pozostałe odstępstwa od zakazu transferu informacji do państw trzecich | str. 386
8. Pozostałe uwagi w kontekście rozdziału V rozporządzenia 2016/679 | str. 393
8.1. Definicja pojęcia przekazywania danych do państw trzecich | str. 393
8.2. Objęcie transferową regulacją ochronną podmiotów przetwarzających | str. 395
8.3. Problem transferów dalszych | str. 401
8.4. Obowiązki informacyjne związane z transferami danych | str. 406
8.5. Transfery niedozwolone na mocy prawa UE, a także ograniczenia w zakresie transferu informacji | str. 408
9. Wyrok w sprawie M. Schrems i jego znaczenie dla unijnej transferowej regulacji ochronnej | str. 410
9.1. Uwagi wprowadzające | str. 410
9.2. Sprawa E. Snowdena i M. Schremsa | str. 411
9.3. Opinia Rzecznika Generalnego | str. 413
9.4. Wyrok TS w sprawie M. Schrems | str. 415
9.5. Bezpośrednie i pośrednie znaczenie wyroku w sprawie M. Schrems | str. 419
9.5.1. Afirmacja praw podstawowych do ochrony i wymóg „zasadniczej równoważności” | str. 421
9.5.2. Wpływ wyroku w sprawie M. Schrems na nową unijną transferową regulację ochronną | str. 430
10. Program Tarcza Prywatności UE–USA | str. 435
11. Podsumowanie, postulaty de lege ferenda | str. 444

Zakończenie | str. 455

Wykaz źródeł | str. 459