Temat: Baza danych za granicą?

Witam,

Mam proste pytanie - czy jest jakaś regulacja nakazująca trzymanie bazy danych polskich konsumentów w Polsce tak, aby teoretycznie GIODO miało nad nimi kontrolę?

Jeśli zbieram dane polskich konsumentów, ale przechowuję je na serwerze w kraju X (podejrzewam, że nie ma znaczenia prawnego czy kraj X to Litwa czy Wyspy Togo) to to jest w ogóle legalne? Teoretycznie jest to jakiś "sposób" na obejście regulacji GIODO'wych, więc zastanawiam się czy to nie jest jakoś regulowane?

B.

Temat: Baza danych za granicą?

Nie ma regulacji nakazującej lokalizowanie fizycznie zbioru danych na terenie Polski.

Ustawę o ochronie danych osobowych stosuje się również do "podmiotów" które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.

Nie jest więc obejściem przepisów uodo, umieszczanie zbioru danych poza terytorium RP, jeśli Administrator danych (czyt: Ty, w opisanym przez Ciebie przypadku) ma siedzibe w RP i przetwarza dane przy uzyciu środków znajdujących sie w RP. Przetwarzanie to jakiekolwiek operacje wykonywane na danych osobowych, w tym np. zbieranie danych i wprowadzanie ich do systemu informatycznego/zbioru danych.

Pozdrawiam

Temat: Baza danych za granicą?

To nie jest takie proste, jak można by sądzić z poprzedniej wypowiedzi.

Generalnie nie ma znaczenia kraj, jeżeli tym krajem jest państwo z Europejskiego Obszaru Gospodarczego. Wówczas można swobodnie przekazywać dane do takiego państwa, a więc i "trzymać bazę" w takim państwie. Czyli np. z Litwą będzie OK.
Ale "trzymanie bazy" poza EOG już wymaga spełnienia pewnych przesłanek (art. 47 i 48 ustawy o ochronie danych osobowych), co czasami prowadzi do konieczności uzyskania zgody GIODO. Więc z Togo już tak łatwo nie będzie.
I na tym można by zakończyć, gdyby nie fakt, że ustawę o ochronie danych osobowych stosujemy do podmiotów polskich (siedziba w Polsce) niezależnie od tego, gdzie "trzymają bazę". Czyli tak w gruncie rzeczy, to takie wyeksportowanie bazy nie na wiele się przydaje. No może jedynie to, że GIODO fizycznie nie skontroluje podmiotu zagranicznego. Ale trzeba spełnić wszystkie przesłanki legalności przetwarzania danych, zbiór trzeba zgłosić do rejestracji, trzeba opracować dokumentację itd. I jeszcze jeden "drobiazg" - umowę z podmiotem przetwarzającym dane na zlecenie zawieramy na piśmie. Czyli w praktyce raczej umowa on-line odpada, no chyba, że macie bezpieczne podpisy elektroniczne.

Temat: Baza danych za granicą?

Witam,
Tak jak wspomnieli już przedmówcy, w grę wchodzi spełnienie warunków z art. 47.
„Art. 47. 1. Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeśli
państwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium
przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej.”. Czyli np. USA będą w przypadku sporej części stanów odpadać. W krajach należących do UE nie powinno być problemu. Do krajów które nie spełniają wymogów z art. 47.1 można przekazać po uzyskaniu zgody Generalnego Inspektora (przy spełnieniu przesłanek wynikających z art. 47.2 lub 47.3).
Dalej taki ja wspomniano, zgodnie z art. 31 Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Ponadto podmiot któremu powierzono dane musi spełniać wymagania z art. 36 -39 ustawy.

Przypuszczam, że chodzi o hosting aplikacji webowej i bazy danych w kraju trzecim w ramach grupy kapitałowej, więc powinno być łatwiej. Generalnie jest to do przejścia, ale będzie się wiązało z nakładami organizacyjnymi i kosztami.

Pozdr.

Temat: Baza danych za granicą?

Super, bardzo dziękuję za pomoc - już wszystko jasne. Tak, żeby wyjaśnić celem mojego pytania nie była chęć "obejścia" regulacji, a bardziej sprawdzenia czy nie ma z tego typu ćwiczeniami większych problemów ze strony prawnej.

Jeszcze raz wielkie dzięki,

Pozdrawiam,

BL