Komercyjne transfery danych osobowych do państw trzecich

Publikacja stanowi pierwsze tak kompleksowe ujęcie problematyki ponadgranicznych transferów danych osobowych do państw trzecich w kontekście prawa unijnego, w tym przepisów RODO. Autor szczegółowo omówił m.in.: konstrukcje i mechanizmy komercyjnych operacji transferowych, instrumenty wspierające operacje ponadgranicznego przekazywania danych osobowych, takie jak: decyzje Komisji w sprawie adekwatności, umowy transferowe (w szczególności bazujące na modelowych klauzulach umownych), wiążące reguły korporacyjne oraz wyjątki od zakazu transferu. W książce zaprezentowano też poszczególne mechanizmy w ramach podejścia terytorialnego oraz podejścia organizacyjnego, co ma duże znaczenie w kontekście reformy unijnej regulacji transferowej. W publikacji omówiono ponadto wyrok Trybunału Sprawiedliwości UE w sprawie M. Schrems, który doprowadził m.in. do zastąpienia programu Bezpieczna Przystań przez Tarczę Prywatności, a w dalszej perspektywie stawia pod znakiem zapytania instrumenty właściwe dla podejścia organizacyjnego, takie w szczególności jak modelowe klauzule umowne. Adresaci: Zaprezentowana reforma unijnych regulacji międzynarodowego przetwarzania danych osobowych jest szczególnie istotna dla praktyki stosowania prawa. Publikacja zainteresuje adwokatów, radców prawnych, a także inspektorów danych osobowych oraz specjalistów zajmujących się ochroną prywatności i danych osobowych.

Spis treści

Wykaz ważniejszych skrótów | str. 15 Wstęp | str. 17 Rozdział I Zagadnienia wprowadzające – pomiędzy podejściem terytorialnym a organizacyjnym | str. 25 1. Uwagi wstępne | str. 25 2. Przyczyny wprowadzania transferowych regulacji ochronnych | str. 27 3. Możliwe podejścia do regulacji transferów danych osobowych | str. 30 3.1. Pozycje wyjściowe w zakresie regulacji transferów danych osobowych | str. 30 3.2. Istota podejścia terytorialnego | str. 33 3.3. Istota podejścia organizacyjnego | str. 35 3.3.1. Oparcie na organizacji | str. 35 3.3.2. Zasada rozliczalności | str. 37 4. Podejście terytorialne oraz organizacyjne – uwagi historyczne | str. 41 5. Przenikanie się odmiennych podejść do regulacji transferowej | str. 46 6. Podejście terytorialne i organizacyjne w dyrektywie 95/46 | str. 50 Rozdział II Kwestie definicyjne oraz zakres podmiotowy unijnej transferowej regulacji ochronnej | str. 54 1. Pojęcie państwa trzeciego | str. 54 2. Pojęcie przekazywania danych osobowych do państwa trzeciego | str. 58 2.1. Przykłady transgranicznego przekazywania danych | str. 60 2.2. Wyrok ETS w sprawie B. Lindqvist | str. 61 2.3. Próba zdefiniowania pojęcia przekazywania danych osobowych do państwa trzeciego | str. 68 3. Problem tranzytu danych osobowych przez państwo trzecie | str. 75 4. Problem tzw. reeksportu (zwrotnego przekazywania) danych osobowych | str. 79 5. Problem tzw. transferów dalszych (onward transfers) | str. 81 5.1. Transfery dalsze w sytuacji posłużenia się wzorcowymi klauzulami umownymi | str. 86 5.2. Transfery dalsze z wykorzystaniem programu Bezpiecznej Przystani | str. 90 6. Zakres podmiotowy stosowania unijnej transferowej regulacji ochronnej | str. 96 7. Przekazywanie danych osobowych do państw trzecich jako operacja przetwarzania danych | str. 103 Rozdział III Podejście terytorialne oraz adekwatność ochrony jako podstawy unijnej transferowej regulacji ochronnej | str. 109 1. Przekazywanie danych osobowych wewnątrz Europejskiego Obszaru Gospodarczego | str. 109 2. Cele unijnej transferowej regulacji ochronnej | str. 112 3. Problem miernika – „adekwatność” czy „równoważność” ochrony | str. 114 4. Kryteria oceny „adekwatnej” ochrony | str. 117 4.1. Kryteria oceny w świetle art. 25 ust. 2 dyrektywy 95/46 | str. 117 4.2. Model oceny skonkretyzowanej (metodologia organu brytyjskiego) | str. 123 4.3. Model oceny abstrakcyjnej (metodologia Grupy Roboczej Art. 29) | str. 127 4.4. Międzynarodowe zobowiązania państwa trzeciego | str. 132 5. Ocena całości ustawodawstwa czy ocena cząstkowa (sektorowa)? | str. 135 6. Ocena adekwatności ochrony – czy jednak skonkretyzowana? | str. 137 7. Próba definicji oraz charakter prawny warunku adekwatnej ochrony | str. 139 8. Podmioty dokonujące oceny adekwatności | str. 144 8.1. Oceny dokonywane przez Komisję Europejską (Commission findings) | str. 144 8.2. Oceny dokonywane na poziomie krajowym (national findings) | str. 145 8.2.1. Rola administratorów danych | str. 146 8.2.2. Rola krajowych organów nadzorczych | str. 148 9. Decyzje Komisji Europejskiej w sprawie adekwatności (adequacy findings) | str. 150 9.1. Istota decyzji Komisji w sprawie adekwatności | str. 150 9.2. Decyzje pozytywne (tzw. biała lista) | str. 152 9.2.1. Kwestie proceduralne | str. 152 9.2.2. Klasyfikacja decyzji pozytywnych | str. 155 9.2.3. Decyzje dotyczące państw | str. 156 9.2.4. Inne kategorie decyzji | str. 158 9.3. Program Bezpiecznej Przystani – rozwiązanie „hybrydowe” | str. 161 9.4. Ocena adekwatności państw trzecich w praktyce Komisji Europejskiej oraz Grupy Roboczej Art. 29 | str. 165 9.5. Decyzje negatywne (tzw. czarna lista) | str. 172 Rozdział IV Instrumenty transferowe właściwe dla podejścia organizacyjnego w okresie obowiązywania dyrektywy 95/46 | str. 176 1. Istota „odpowiednich zabezpieczeń” | str. 176 2. Autoryzacje krajowe w sytuacji „zapewnienia odpowiednich zabezpieczeń” | str. 179 3. Umowy transferowe | str. 183 3.1. Geneza umów transferowych | str. 183 3.2. Istota oraz znaczenie rozwiązań kontraktowych w zakresie operacji transferowych | str. 186 3.3. Rodzaje umów transferowych | str. 187 3.4. Unijne modelowe klauzule umowne | str. 189 3.5. Klauzule modelowe controller-to-controller | str. 191 3.5.1. Pierwszy zestaw klauzul modelowych (decyzja Komisji 2001/497/WE) | str. 191 3.5.1.1. Obowiązki stron umowy transferowej | str. 191 3.5.1.2. Klauzula beneficjenta (third-party beneficiary clause) | str. 195 3.5.1.3. Zasady odpowiedzialności stron oraz pozostałe klauzule | str. 196 3.5.2. Alternatywny zestaw klauzul modelowych (decyzja Komisji 2004/915/WE) | str. 198 3.6. Klauzule controller-to-processor (decyzja Komisji 2010/87/UE) | str. 205 3.7. Klauzule processor-to-subprocessor | str. 216 3.8. Modelowe klauzule umowne w praktyce | str. 221 3.9. Umowy transferowe i modelowe klauzule umowne w prawie wybranych państw UE | str. 225 3.10. Ocena umów transferowych | str. 230 3.11. Elementy właściwe dla podejścia terytorialnego oraz organizacyjnego w kontekście umów transferowych | str. 232 4. Wiążące reguły korporacyjne | str. 234 4.1. Geneza oraz przyczyny wprowadzenia wiążących reguł korporacyjnych | str. 234 4.2. „Zestaw narzędzi” Grupy Roboczej Art. 29 | str. 236 4.3. Istota wiążących reguł korporacyjnych | str. 239 4.4. Wymóg związania przez reguły korporacyjne | str. 240 4.4.1. Związanie w relacjach wewnętrznych | str. 241 4.4.2. Związanie w relacjach zewnętrznych | str. 243 4.4.3. Związanie w aspekcie prawnym oraz praktycznym | str. 246 4.5. Rola podmiotu delegowanego na obszarze UE | str. 247 4.6. Elementy definicyjne BCR: „reguły”, „korporacyjne”, „dla operacji transferów danych” | str. 248 4.7. Konstrukcja i zawartość wiążących reguł korporacyjnych | str. 251 4.8. Procedura zatwierdzania BCR | str. 255 4.8.1. Organ wiodący | str. 256 4.8.2. Wniosek o zatwierdzenie wiążących reguł korporacyjnych | str. 258 4.8.3. Etap dyskusji i procedura współpracy | str. 259 4.8.4. Porozumienie o wzajemnym uznawaniu | str. 261 4.8.5. Zatwierdzenie wiążących reguł korporacyjnych | str. 263 4.8.6. Krajowa autoryzacja zatwierdzonych BCR | str. 265 4.9. Wiążące reguły korporacyjne dla podmiotów przetwarzających (Processor Binding Corporate Rules) | str. 272 4.9.1. Geneza i przebieg prac nad instrumentem | str. 272 4.9.2. Istota BCR dla przetwarzających dane | str. 275 4.9.3. Wymóg krajowej autoryzacji | str. 277 4.9.4. Moc wiążąca oraz zawartość (treść) reguł korporacyjnych dla przetwarzających dane | str. 279 4.9.5. Kwestie proceduralne | str. 284 4.10. Problem zmian w strukturze korporacji oraz zmian w BCR | str. 285 4.11. Wiążące reguły korporacyjne w prawie wybranych państw UE | str. 287 4.12. Ocena wiążących reguł korporacyjnych | str. 288 4.13. Elementy podejścia terytorialnego oraz organizacyjnego na gruncie BCR | str. 293 5. Odstępstwa od zakazu transferu danych | str. 295 5.1. Uwagi wprowadzające | str. 295 5.2. Zalecenia Grupy Roboczej Art. 29 | str. 299 5.3. Zgoda podmiotu danych | str. 302 5.4. Realizacja umowy zawartej przez osobę, której dotyczą dane | str. 308 5.5. Umowa zawarta w interesie osoby, której dotyczą dane | str. 311 5.6. Ważne względy publiczne, tytuł prawny | str. 313 5.7. Żywotne interesy osoby, której dotyczą dane | str. 315 5.8. Dane pochodzące z rejestru publicznego | str. 316 5.9. Ocena odstępstw od zakazu transferu danych | str. 317 Rozdział V Reforma unijnych ram prawnych w zakresie przekazywania danych osobowych do państw trzecich | str. 319 1. Potrzeba zmian | str. 319 2. Zasada rozliczalności według propozycji Grupy Roboczej Art. 29 | str. 323 3. Przegląd innych propozycji | str. 327 4. Wybór metody regulacji (rozporządzenie unijne) i jego znaczenie dla operacji transferowych | str. 332 5. Utrzymanie zakazu transferu danych jako reguły | str. 336 6. Elementy właściwe dla podejścia terytorialnego na gruncie rozporządzenia 2016/679 | str. 338 6.1. Adekwatność ochrony – czy nadal zasadą? | str. 338 6.2. Centralizacja procesu oceny adekwatności | str. 339 6.3. Decyzje sektorowe oraz dotyczące terytorium | str. 343 6.4. Kryteria oceny adekwatności | str. 344 6.5. Obowiązek monitorowania sytuacji w państwach trzecich | str. 347 6.6. Decyzje o charakterze negatywnym | str. 348 6.7. Problem dotychczasowych decyzji Komisji oraz pozostałe kwestie | str. 351 7. Elementy właściwe dla podejścia organizacyjnego na gruncie rozporządzenia 2016/679 | str. 353 7.1. Przekazywanie danych „z zastrzeżeniem odpowiednich zabezpieczeń” | str. 353 7.2. Instrumenty niewymagające dodatkowej autoryzacji krajowej | str. 356 7.2.1. Standardowe klauzule ochrony danych | str. 357 7.2.2. Wiążące reguły korporacyjne | str. 359 7.2.3. Kodeksy postępowania (dobrych praktyk) | str. 368 7.2.4. Mechanizmy certyfikacyjne | str. 374 7.3. Klauzule umowne ad hoc – instrument wymagający dodatkowej krajowej autoryzacji | str. 377 7.4. Instrumenty przeznaczone dla podmiotów publicznych | str. 380 7.5. „Wyjątki w szczególnych sytuacjach” | str. 382 7.5.1. Klauzula prawnie uzasadnionych interesów eksportera danych | str. 382 7.5.2. Pozostałe odstępstwa od zakazu transferu danych do państw trzecich | str. 386 8. Pozostałe uwagi w kontekście rozdziału V rozporządzenia 2016/679 | str. 393 8.1. Definicja pojęcia przekazywania danych do państw trzecich | str. 393 8.2. Objęcie transferową regulacją ochronną podmiotów przetwarzających | str. 395 8.3. Problem transferów dalszych | str. 401 8.4. Obowiązki informacyjne związane z transferami danych | str. 406 8.5. Transfery niedozwolone na mocy prawa UE oraz ograniczenia w zakresie transferu danych | str. 408 9. Wyrok w sprawie M. Schrems i jego znaczenie dla unijnej transferowej regulacji ochronnej | str. 410 9.1. Uwagi wprowadzające | str. 410 9.2. Sprawa E. Snowdena oraz M. Schremsa | str. 411 9.3. Opinia Rzecznika Generalnego | str. 413 9.4. Wyrok TS w sprawie M. Schrems | str. 415 9.5. Bezpośrednie oraz pośrednie znaczenie wyroku w sprawie M. Schrems | str. 419 9.5.1. Afirmacja praw podstawowych do ochrony danych oraz wymóg „zasadniczej równoważności” | str. 421 9.5.2. Wpływ wyroku w sprawie M. Schrems na nową unijną transferową regulację ochronną | str. 430 10. Program Tarcza Prywatności UE–USA | str. 435 11. Podsumowanie, postulaty de lege ferenda | str. 444 Zakończenie | str. 455 Wykaz źródeł | str. 459