Polskie serwery i RODO

Jakiś czas temu ukończyłem pewne szkolenie i miałem otrzymać pewien przedmiot pocztą.

Organizator szkolenia twierdzi, że uruchomi jakiś formularz na zagranicznym serwerze, bo nie chce mieć adresów klientów na polskim serwerze ze względu na przepisy RODO i ochronę danych. Może organizator przesadza, ale jaki jest problem w samym fakcie istnienia mojego adresu zamieszkania na moim serwerze.

Jeżeli dobrowolnie podaję swój adres w celu wysyłki czegokolwiek do mnie, to jest to oczywiste, że ja wyrażam zgodę na wykorzystanie moich danych osobowych w zakresie niezbędnym do wykonania tej czynności. Oczywiście, że nie chciałbym, żeby moje nazwisko i adres był gdzieś na serwerach bez potrzeby, ale tak naprawdę liczy się, w jaki sposób i do czego będą wykorzystywane te informacje, a nie sam fakt ich istnienia.

Jeżeli firma jest uczciwa, a moje nazwisko leży w jakiejś bazie danych, ale nic z tym nie jest robione, to co mi szkodzi, że tam jest? Ewentualnie, zawsze mam prawo żądać usunięcia moich danych i po to m. in. wymyślono RODO. Zupełnie inaczej sprawa by wyglądała, gdyby firma odsprzedawała te informacje innym firmom lub wysyłała korespondencję handlową bez mojej wiedzy i zgody, wtedy to już jest bezprawne wykorzystanie moich danych.

O co tak naprawdę chodzi z tymi danymi osobowymi i skąd ten strach przed samym leżakowaniem danych osobowych na polskim serwerze?

Ogólnie to jakiś niezły WTF - na ogól ludziom zależy, żeby dane BYŁY trzymane na serwerach w naszym kraju, albo chociaż w UE - czyli na obszarze obowiązywania RODO/GDPR. Czy jesteś pewien, że dobrze zrozumiałeś i ten ktoś chce trzymać dane na serwerze w jakimś dziwnym kraju? Zresztą - jeśli to jest polska (albo działająca w UE) firma to i tak podlega pod przepisy o ochronie danych osobowych, także gromadząc dane jest zobowiązany do ich skutecznej ochrony. Trzymanie danych na serwerze poza zasięgiem GDPR, u dostawcy którego przepisy o ochronie danych mogą nie obowiązywać, jest naruszeniem zasad bezpieczeństwa i potencjalną dziurą mogącą doprowadzić do wycieku. Oczywiście - mówimy o teorii, bo w praktyce to, na jakim serwerze to trzymasz nie ma większego znaczenia. Ale liczy się papier/dupochron - jeśli coś się stanie, to pokażesz dokument że trzymałeś dane na serwerze firmy, która stosuje się do wytycznych RODO i jesteś czysty. W przeciwnym razie - będziesz się tłumaczył z tego, że nie dochowałeś należytej staranności itp. Głupota, ale może być bolesna i kosztowna.

To w takim razie o obowiązkach związanymi z danymi decyduje miejsce siedziby firmy, czy miejsce spoczywania tych danych?

Załóżmy takie sytuacje:

1. Firma (spółka z ograniczoną odpowiedzialnością) ma siedzibę w Polsce, a serwer wynajmuje w Zimbabwe, czy innym egzotycznym państwie.
2. Firma (zagraniczny odpowiednik najbardziej podobny do s.a. lub z o.o.) ma siedzibę w Zimbabwe, a serwer wynajmuje w Polsce lub w innym kraju UE.

Kogo obowiązuje RODO z dwóch powyższych?

obowiązkach związanymi z danymi decyduje miejsce siedziby firmy, czy miejsce spoczywania tych danych?

Ogólnie liczą się dwa czynniki:

• czy firma jest zarejestrowana w UE czy gdzieś na zewnątrz
• do kogo jest oferowana usługa.

Pierwszego myślnika nie muszę tłumaczyć.
Co do drugiego - chodzi o to, że nawet jeśli firmę zarejestrujesz w Honolulu albo Etiopii, ale będziesz świadczyć usługi na rzecz mieszkańców UE to powinieneś przestrzegać unijnych przepisów dot. danych osobowych.

Więc, odpowiadając na Twoje pytanie:
pkt. 1 czyli firma z siedzibą w PL - podlega pod RODO
pkt.2 - firma spoza PL wynajmująca serwery w PL: tutaj to zależy od 2 rzeczy:

• czy Zimbabwe należy do UE? Jeśli tak, to podlegamy pod RODO, jeśli nie - to patrz myślnik niżej
• czy ta firma z Zimbabwe kieruje swoje usługi do mieszkańców UE? Jeśli tak - podlega, jeśli nie - to nie.