Ochrona danych osobowych w Unii Europejskiej

Monografia przedstawia kompleksowo europejskie prawo ochrony danych osobowych, w tym: zasady dotyczące przetwarzania danych, obowiązki i odpowiedzialność administratorów danych i podmiotów je przetwarzających oraz uprawnienia osób, których dane dotyczą. Atutem opracowania jest nowatorskie porównanie obecnego i przyszłego stanu prawnego, ułatwiające spełnianie aktualnych obowiązków i dostosowanie się do nadchodzących, takich jak zapewnienie "prawa do bycia zapomnianym" czy ograniczenia profilowania. W publikacji omówiono ponadto zasady transferów danych osobowych dokonywanych przez firmy europejskie poza Unię Europejską, zwłaszcza do Stanów Zjednoczonych. Zaprezentowany został m.in. transfer danych na podstawie klauzul umownych lub wiążących reguł korporacyjnych (BCR) oraz w ramach transatlantyckiego programu "Safe Harbor". Adresaci: Książka będzie przydatna osobom odpowiedzialnym w firmach za zarządzanie danymi i transfer danych - menedżerom, pracownikom departamentów prawnych i compliance, działów personalnych, informatycznych i innych.

Spis treści

Wykaz skrótów | str. 15 Wstęp | str. 19 Rozdział 1 Geneza, definicje i zakres prawa do prywatności, jego podstawy prawne w Unii Europejskiej i Stanach Zjednoczonych, orzecznictwo europejskie i amerykańskie | str. 33 1.1. Podstawy prawne prawa do prywatności | str. 33 1.2. Definicje prawa do prywatności; ochrona danych osobowych jako aspekt tego prawa | str. 36 1.3. Zakres prawa do prywatności w orzecznictwie europejskim | str. 40 1.4. Podstawy prawne prawa do prywatności w Unii Europejskiej | str. 45 1.5. Podstawy prawne prawa do prywatności i orzecznictwo w Stanach Zjednoczonych | str. 47 1.6. Znaczenie ochrony danych osobowych dla prawa do prywatności | str. 51 Rozdział 2 Ramy prawne i podstawowe zasady przekazywania danych osobowych z Unii Europejskiej do państw trzecich | str. 53 2.1. Definicja państw trzecich | str. 53 2.2. Definicja przekazywania danych osobowych | str. 58 2.3. Definicja odbiorcy danych | str. 59 2.4. Wyłączenie stosowania przepisów państwa członkowskiego Unii Europejskiej do zwrotu danych ich administratorowi w państwie trzecim | str. 60 2.5. Umieszczenie danych osobowych na stronie internetowej jako wyjątek od przekazywania danych do państw trzecich | str. 62 Rozdział 3 Geneza i założenia ogólnego rozporządzenia o ochronie danych | str. 64 3.1. Geneza ogólnego rozporządzenia o ochronie danych | str. 64 3.2. Przejście od harmonizacji do ujednolicenia zasad ochrony danych osobowych w Unii Europejskiej | str. 70 3.3. Założenia ogólnego rozporządzenia o ochronie danych | str. 73 Rozdział 4 Odpowiedni stopień ochrony jako warunek transferu danych osobowych z Unii Europejskiej | str. 80 4.1. Definicja odpowiedniego stopnia ochrony danych osobowych | str. 80 4.2. Kryteria oceny stopnia ochrony zapewnianej przez państwo trzecie | str. 89 Rozdział 5 Naczelne zasady przetwarzania danych osobowych | str. 102 5.1. Zasady przetwarzania danych osobowych | str. 102 5.2. Zasada legalności i rzetelności | str. 103 5.3. Zasada celowości | str. 105 5.4. Zasada jakości danych | str. 108 5.5. Zasada adekwatności danych | str. 110 5.6. Zasada ograniczenia czasowego | str. 114 5.7. Zasada zapewnienia możliwości dochodzenia praw i zasada zapewnienia bezpieczeństwa danych | str. 118 Rozdział 6 Obowiązek informacyjny wobec podmiotu danych | str. 119 6.1. Obowiązek zapewnienia informacji dotyczących przetwarzania danych | str. 119 6.2. Wpływ obowiązku informacyjnego na zgodność przetwarzania z prawem | str. 121 6.3. Zakres obowiązku informacyjnego | str. 122 6.4. Przesłanka powstania obowiązku informacyjnego | str. 127 6.5. Wyłączenia od obowiązku informacyjnego | str. 129 6.6. Formy spełniania obowiązku informacyjnego | str. 136 6.7. Zasada przejrzystości | str. 136 6.8. Forma graficzna przekazania informacji | str. 137 Rozdział 7 Prawo dostępu do danych, poprawiania danych oraz sprzeciwu wobec ich przetwarzania | str. 139 7.1. Zakres prawa dostępu do danych, poprawiania danych oraz sprzeciwu wobec ich przetwarzania | str. 139 7.2. Prawo dostępu do danych | str. 143 7.3. Prawo poprawiania danych | str. 149 7.4. Prawo sprzeciwu wobec przetwarzania danych | str. 152 7.4.1. Zakres prawa sprzeciwu wobec przetwarzania danych | str. 152 7.4.2. Prawo żądania usunięcia danych i "prawo do bycia zapomnianym" | str. 152 7.4.2.1. "Prawo do bycia zapomnianym" a prawo do żądania usunięcia danych | str. 155 7.4.2.2. "Prawo do bycia zapomnianym" w internecie na podstawie wyroku Trybunału Sprawiedliwości UE z dnia 13 maja 2014 r. w sprawie C-131/12 | str. 163 7.4.2.3. Zapewnienie rzeczywistej skuteczności "prawu do bycia zapomnianym" | str. 168 7.4.3. Warunki uwzględnienia sprzeciwu wobec przetwarzania danych | str. 172 7.4.4. Wyjątki od obowiązku usunięcia danych | str. 174 7.5. Prawo do uzyskania kopii danych w formacie elektronicznym oraz przeniesienia ich | str. 178 7.6. Profilowanie | str. 180 Rozdział 8 Bezpieczeństwo danych | str. 185 8.1. Adekwatność środków zabezpieczających dane w kontekście risk-based approach | str. 185 8.2. Wymogi uzupełniające środki bezpieczeństwa przetwarzania | str. 189 8.3. Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu i podmiotowi danych | str. 192 Rozdział 9 Dochodzenie praw przez podmiot danych | str. 195 9.1. Zakres środków ochrony prawnej, odpowiedzialności i sankcji | str. 195 9.2. Środki ochrony prawnej | str. 197 9.3. Odpowiedzialność wobec podmiotu danych | str. 202 9.4. Sankcje | str. 203 Rozdział 10 Zasady transferu danych osobowych z Unii Europejskiej do państw trzecich niezapewniających odpowiedniego stopnia ochrony danych | str. 207 10.1. Wyjątki od zakazu transferu danych do państw trzecich niezapewniających odpowiedniego stopnia ochrony | str. 207 10.2. Hierarchia wyjątków od zakazu transferu danych do państw trzecich niezapewniających odpowiedniego stopnia ochrony | str. 210 Rozdział 11 Transfer danych do państw trzecich na podstawie standardowych klauzul umownych | str. 215 11.1. Standardowe klauzule umowne jako środki zapewniające odpowiedni poziom ochrony danych po transferze do państwa trzeciego | str. 215 11.2. Standardowe klauzule w umowach między administratorami danych | str. 222 11.3. Standardowe klauzule w umowach powierzenia przetwarzania danych osobowych | str. 235 Rozdział 12 Transfer danych do państw trzecich na podstawie wiążących reguł korporacyjnych (BCR) | str. 247 12.1. Wiążące reguły korporacyjne jako środki zapewniające odpowiedni poziom ochrony danych po transferze do państwa trzeciego | str. 247 12.2. Zapewnienie skuteczności wiążącym regułom korporacyjnym | str. 252 12.3. Procedura zatwierdzania wiążących reguł korporacyjnych przez organy ochrony danych | str. 255 Rozdział 13 Odstępstwa od zakazu transferu danych do państw trzecich niezapewniających adekwatnej ochrony | str. 268 13.1. Różnica między odstępstwami a wyjątkami od zakazu transferu danych do państw trzecich niezapewniających adekwatnej ochrony | str. 268 13.2. Zgoda podmiotu danych | str. 269 13.3. Realizacja umowy lub działania poprzedzające zawarcie umowy | str. 274 13.4. Istotne dobro publiczne lub roszczenia prawne | str. 277 13.5. Żywotne interesy podmiotu danych | str. 280 13.6. Rejestry publiczne | str. 281 13.7. Uzasadnione interesy administratora lub processora | str. 282 Rozdział 14 Zezwolenie organu nadzorczego na transfer danych do państw trzecich niezapewniających adekwatnej ochrony | str. 285 14.1. Przypadki wymagające zezwolenia organu ochrony danych na transfer danych do państwa trzeciego na podstawie BCR i klauzul umownych | str. 285 14.2. Warunki udzielenia przez organ nadzorczy zezwolenia na transfer danych do państwa trzeciego | str. 289 Rozdział 15 Decyzja Komisji 2000/520/WE z dnia 26 lipca 2000 r. w sprawie adekwatności ochrony danych osobowych w Stanach Zjednoczonych w ramach Safe Harbor | str. 292 15.1. Charakterystyka Safe Harbor | str. 292 15.2. Krytyczna ocena funkcjonowania Safe Harbor | str. 298 15.3. Zgodność zasad Safe Harbor z dyrektywą 95/46/WE | str. 305 15.3.1. Zasady celowości, jakości danych oraz ich adekwatności | str. 307 15.3.2. Zasada zapewnienia obowiązku informacyjnego | str. 308 15.3.3. Zasada zapewnienia prawa dostępu do danych, poprawiania ich oraz sprzeciwu wobec ich przetwarzania | str. 310 15.3.4. Zasada zapewnienia bezpieczeństwa danych | str. 317 15.3.5. Zasada ograniczenia dalszego przekazywania danych | str. 318 15.3.6. Zasada zapewnienia osobom, których dane dotyczą, możliwości dochodzenia praw | str. 320 15.4. Wnioski | str. 328 Rozdział 16 Umowa między Unią Europejską a Stanami Zjednoczonymi o przekazywaniu danych z komunikatów finansowych w systemie SWIFT oraz amerykańska ustawa o ujawnianiu informacji o rachunkach zagranicznych do celów podatkowych (FATCA) | str. 330 16.2. Charakterystyka Umowy o przekazywaniu danych z komunikatów finansowych w systemie SWIFT | str. 330 16.2. Krytyczna ocena funkcjonowania Umowy o przekazywaniu danych z komunikatów finansowych w systemie SWIFT | str. 333 16.4. Zgodność dyrektywy 95/46 z Umową o przekazywaniu danych z komunikatów finansowych w systemie SWIFT | str. 341 16.3.1. Zasady dotyczące jakości danych | str. 343 16.3.2. Prawo dostępu do danych | str. 347 16.4. Amerykańska ustawa o ujawnianiu informacji o rachunkach zagranicznych do celów podatkowych (FATCA) | str. 349 Zakończenie. Prywatność w epoce internetu - zagrożenia i wyzwania | str. 353 Wykaz dokumentów Grupy Roboczej Art. 29 | str. 385 Orzecznictwo | str. 391 Bibliografia | str. 403