Temat: Gdy podmiot z państwa trzeciego dane w kraju jednak...

Ustawa o ochronie danych osobowych wyłącza ze stosowania podmioty spoza EOG, jeśli dane jedynie przesyłają przez teren Polski - art 3a ust 1 pkt 1:

1. Ustawy nie stosuje się do:
(...)
2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych.

Interesujące jest tutaj zagadnienie przetwarzania danych na terenie Polski przez podmioty z państw trzecich – np. które kupowałyby u krajowych hostingodawców usługi stron internetowych i zbierały na nich dane.

Kto i na jakiej podstawie byłby tutaj ścigany i przez kogo i z jakiego paragrafu? Podmiot z państwa trzeciego wydaje się być poza regionalną jurysdykcją polskiego prawa, bo ... jest w państwie trzecim. Pozostaje jedynie usługodawca, ale jaki paragraf na niego można "stosować", o ile jakiś można?Leszek K. edytował(a) ten post dnia 26.04.11 o godzinie 19:21

Temat: Gdy podmiot z państwa trzeciego dane w kraju jednak...

A o jakie "ściganie" chodzi?

Temat: Gdy podmiot z państwa trzeciego dane w kraju jednak...

Rzeczywiście nie dość jasno sformułowałem pytanie.

Zapisy ustawy rozumiem tak, że jeśli podmiot z państwa trzeciego (nie posiadający w Polsce oddziału ani przedstawiciela) będzie przetwarzał dane na terenie Polski (np. w ramach kolokacji - postawi swój własny serwer, a polski dostawca dostarczy jedynie zasilanie i łącze telekomunikacyjne) to będzie podlegał ustawie o ochronie danych osobowych.

Jak wobec takiego zagranicznego podmiotu egzekwować stosowanie ustawy o ochronie danych osobowych?

Temat: Gdy podmiot z państwa trzeciego dane w kraju jednak...

Tak, podmiot z państwa trzeciego rzeczywiście podlega polskiej ustawie, jeżeli przetwarza dane w Polsce. I rzeczywiście, jest poważny problem z ew. odpowiedzialnością takiego podmiotu.
Odpowiedzialność karną i cywilną jeszcze jakoś sobie wyobrażam, są konwencje i umowy międzynarodowe. Choć jak działa tzw. pomoc prawna, pokazuje przykład postępowań w zw. z katastrofą smoleńską. Ale najpoważniejszym problemem będzie odpowiedzialność administracyjna, bo tu w zasadzie nie ma umów międzynarodowych, więc możliwość np. kontroli przez GIODO podmiotu w państwie trzecim jest w zasadzie żadna. Pewną pomocą natomiast jest instytucja z art. 31a uodo, czyli tzw. przedstawiciel. Jak piszą osoby mądrzejsze ode mnie (por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona..., s. 627; A. Drozd, Ustawa…, s. 213), przedstawiciel administratora danych wykonuje obowiązki administratora wynikające z ustawy m.in. obowiązki informacyjne, zabezpieczenia danych, zarejestrowania zbioru, spełnienia obowiązków wynikających z uprawnień informacyjnych osoby, której dane dotyczą. Działalność przedstawiciela administratora może być także przedmiotem kontroli GIODO, a przedstawiciel może być adresatem decyzji dotyczącej przywrócenia stanu zgodnego z prawem na podstawie art. 18. I ja się z tym całkowicie zgadzam, aczkolwiek znów nie powołanie przedstawiciela jest naruszeniem uodo, a możliwość jego ścigania wobec podmiotu z państwa trzeciego jest w zasadzie żadna...