Kontrola transgranicznych procesów przetwarzania danych osobowych - problemy prawno-administracyjne

Tematem niniejszej pracy jest problemu kontroli międzynarodowych (transgranicznych) procesów przetwarzania danych osobowych, tj. kontroli zgodności procesów przetwarzania danych przekazywanych poza teren EOG do tzw. państw trzecich. Temat ten jest niezwykle ważny, gdyż z jednej strony transfery są niezbędne dla zapewnienia współpracy międzynarodowej, m.in. gospodarczej czy naukowej – z drugiej wiążą się z ogromnymi wyzwaniami dla prawa administracyjnego. Głównym problemem badawczym pracy było ustalenie, czy podmiotom danym, w przypadku transferu ich danych do państwa trzeciego, przysługuje jednakowa ochrona jak w przypadku przetwarzania danych na terenie EOG, oraz jakie możliwe rozwiązania mogą tę ochronę wzmocnić. W rozprawie wykorzystano kilka metod badawczych, tj. metodę dogmatyczną, przegląd literatury prawniczej, orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej. Posiłkowo wykorzystywana jest metoda komparatystyczna i historyczna. W rozdziale I przedstawiłam wprowadzenie do problematyki ochrony prywatności i ochrony danych osobowych, zarys ich znaczenia historycznie oraz istotę we współczesnym świecie. Omówiłam w nim także znaczenie koncepcji publicznych praw podmiotowych oraz porównałam prawno-administracyjną ochronę do ochrony prawnocywilnej. W rozdziale II dokonałam przeglądu aktów prawnych dotyczących ochrony prywatności i ochrony danych osobowych, pokazałam ich rozwój oraz wyraźną tendencję do wyboru prawno-administracyjnych środków ochrony. W rozdziale III omówiłam szczegółowo zasady przekazywania danych do państw trzecich, zarówno historyczne jak i obowiązujące na kanwie obecnych przepisów. Zasady te różnią się w zależności od tego, czy dochodzi do przekazywania danych do państw należących do EOG czy spoza EOG. W rozdziale IV dokonałam analizy znaczenia ochrony instytucjonalnej, bowiem istnienie odpowiednio umocowanego i niezależnego organu nadzorczego, właściwego w sprawach ochrony danych osobowych, ma kluczowe znaczenie dla ochrony podmiotów danych. W rozdziale V omówiłam środki ochrony materialno-prawnej jakie przysługują podmiotom danych w przypadku transferu ich danych. Rozdział VI poświeciłam natomiast na ocenę międzynarodowej współpracy na rzecz ochrony danych oraz rozważyłam kierunku rozwoju tej współpracy w przyszłości. Nie jest możliwe zapewnienie ochrony danych osobowych w przypadku transferów bez współpracy z partnerami na terenie EOG czy w innych krajach. Obecnie jednak współpraca w tym zakresie jest z jednej strony szeroka, patrząc z perspektywy politycznych celów jakie stawia sobie UE, z drugiej strony wciąż niewystraczająca w ocenie Trybunału Sprawiedliwości. Całość rozprawy została zwieńczona zwięzłym podsumowaniem wniosków i wyzwań oraz bibliografią. Realizacja postawionych celów badawczych stanowiła podstawę oceny obowiązującego modelu ochrony podmiotów danych w przypadku transferów, i sformułowania wniosków de lege ferenda oraz de sententia ferenda. Dokonana analiza potwierdziła przyjętą dla rozprawy tezę o braku odpowiednich środków ochrony dla transferów danych oraz wskazała na konieczność powrotu do dyskusji na temat założeń systemu ochrony danych osobowych w Europie.

The subject of this dissertation revolves around the issue of supervising international (cross-border) personal data processing processes, specifically focusing on assuring compliance of data transferred beyond the EEA territory to so-called third countries. This topic is of utmost importance, as on one hand, transfers are essential for fostering international cooperation, be it economic, scientific, or other; while on the other hand, they present significant challenges for administrative law. The primary research question was whether data subjects, in the case of their data being transferred to a third country, are entitled to the same level of protection as when processing data within the EEA territory, and what possible solutions could enhance this protection. Several research methods were used in the dissertation, including the doctrinal method, review of legal literature, and judgments of the Court of Justice of the European Union. Additionally, the comparative and historical methods were utilized selectively. In Chapter I, an introduction to the issues of privacy protection and personal data protection was presented, outlining their historical significance and their essence in the modern world. The chapter also discussed the importance of the concept of public rights and compared administrative legal protection with civil legal protection. Chapter II conducted a review of legal acts concerning privacy protection and personal data protection, showcasing their development and a clear tendency toward the adoption of administrative legal protective measures. In Chapter III, the principles of transferring data to third countries were thoroughly discussed, encompassing both historical practices and the regulations currently in force. These principles vary depending on whether data is being transferred to EEA or non-EEA countries. Chapter IV analyzed the significance of institutional protection, as the existence of an empowered and independent supervisory authority for data protection plays a crucial role in safeguarding data subjects. In Chapter V, the material-legal protection measures available to data subjects in case of data transfer were discussed. Chapter VI was dedicated to evaluating international cooperation for data protection and considering the direction of its future development. Ensuring personal data protection in transfers necessitates collaboration with partners within the EEA territory and other countries. Currently, this cooperation is comprehensive from the perspective of the political goals set by the EU, but still insufficient according to the assessment of the Court of Justice. The dissertation culminated in a concise summary of conclusions and challenges, along with a bibliography. The accomplishment of the set research objectives formed the basis for evaluating the existing model of data subjects' protection in transfer scenarios and formulating recommendations de lege ferenda and de sententia ferenda. The conducted analysis confirmed the thesis of the dissertation regarding the lack of adequate protection measures for data transfers and pointed out the necessity to revisit the foundations of the European personal data protection system.