Artykuł ten postanowiłem napisać z dwóch powodów:
Po złożeniu pytania na elektroniczną skrzynkę podawczą:
Czy sklep internetowy utrzymywany na hostingu zagranicznym podlega rejestracji w GIODO ?
Otrzymałem odpowiedź na piśmie (fragment odpowiedzi GIODO):
„(…) Należy uznać, że w przedstawionym przez Pana stanie faktycznym okolicznością przesądzającą o zastosowaniu przepisów polskiej ustawy o ochronie danych osobowych będzie lokalizacja siedziby spółki (terytorium RP), a nie lokalizacja serwerów wykorzystywanych przez ten podmiot (…)”
Na uwagę należy zwrócić także:
„(…) w przedstawionym przypadku spółka prowadząca sklep internetowy lub serwis jest podmiotem polskim (z siedzibą w Polsce) i w związku z tym podlegającym przepisom polskiej ustawy o ochronie danych osobowych. Podmiot taki jest m. in. zobowiązany zgłosić do rejestracji zbiór danych swoich klientów/ użytkowników Generalnemu Inspektorowi Ochrony Danych Osobowych (art. 40 ustawy), z zastosowaniem zasad wynikających z przepisów rozdziału 6 ustawy, jaki i realizować pozostałe obowiązki wynikające z powszechnie obowiązujących przepisów prawa, w tym ustawy o ochronie danych osobowych i wydanych na jej podstawie aktów wykonawczych (…)”
Całą treść znajdziesz w artykule na moim blogu.
Należy rozumieć to następująco. Jeżeli posiadamy stały adres zameldowania w Polsce, lub też nasza firma jest zarejestrowana w naszym kraju, występuje obowiązek zgłoszenia swojej bazy do GIODO, gdyż zachodzą przesłanki z art. 40 ustawy.
Na podstawie tej informacji, można zdementować informacje często słyszane lub czytane na różnych stronach internetowych, że takiej konieczności nie ma, ponieważ serwer zagraniczny podlega pod prawo kraju, w którym się znajduje. Jednak z racji tej, że firma bądź osoba jest z Polski, przesądza o tym, iż nasze działania podlegają pod prawo polskie, a co za tym idzie – ustawę o ochronie danych osobowych.
W myśl ustawy powinniśmy posiadać umowę powierzenia przetwarzania danych osobowych. Czy zagraniczna firma ją podpisze? Tego jednoznacznie nie powiem, gdyż nie mam takiego doświadczenia. Sądzę jednak, że umowa taka powinna być napisana w języku zrozumiałym dla obu stron, np. angielskim, oraz przetłumaczona na język polski przez tłumacza przysięgłego, aby zadowolić naszych urzędników w przypadku chęci obejrzenia tej umowy.
Przy kontakcie z zagraniczną firmą hostingową z terenu Unii Europejskiej możemy się powołać na dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych art. 17 pkt 3 – 4. Jest tam zapis o powierzeniu przetwarzania danych osobowych oraz stosownej umowie.
Uzasadnienie GIODO nie jest jednak decyzją administracyjną, czyli oficjalnym stanowiskiem Generalnego Inspektora w tej sprawie. Możemy jednak uznać, że gdyby odbyła się kontrola GIODO, to na podstawie tej opinii GIODO wydałby stosowną decyzję w tej sprawie, o treści podanej w odpowiedzi, którą otrzymałem.
Życzę miłego dnia i pozdrawiam,
Podobne wpisy na ebiznesy.pl:
Czyli w zasadzie jedynym sposobem aby nie zgłaszać sklepu do GIODO to rejestracja firmy poza terytorium RP.
Oczywiście, jednak trzeba wziąć pod uwagę, że rejestrując firmę zagranicą np. bardzo modne jest rejestrowanie firmy w UK, podlegasz pod prawo Wielkiej Brytanii. Jeżeli nie jest się mieszkańcem tego kraju to koszt utrzymania firmy zagranicą dla samego ominięcia rejestracji w GIODO jest spory tak mi się wydaje. Z tego co się kiedyś orientowałem można tam zarejestrować spółkę – Limited w skrócie Ltd., odpowiednik naszej spółki z o.o. musisz mieć siedzibę czyli wynająć sobie adres. Kolejna sprawa to księgowość, tam w sumie jest łatwiej ale inaczej niż u nas, więc albo szybki kurs księgowości w Anglii, albo księgowy. Są firmy specjalizujące się w zakładaniu firm w Anglii, mogą tam reprezentować Ciebie przed urzędami, mogą prowadzić księgowość, mogą użyczyć adresu na siedzibę wszystko kwestią ceny. Według mnie dla samego GIODO za drogo, bo tańsze będzie kompleksowe wdrożenie przez firmę specjalizującą się w tej dziedzinie np. taka jak moja
Zastanawiam się czy w przypadku hostingu w innym kraju nie powstanie trudny do rozwiązania problem z prywatnością. W przypadku USA istniał na przykład Patriot Act i inne podobne regulacje antyterrorystyczne, które pozwalały podejmować dyskusyjne pod względem prawnym działania (szczególnie wobec obywateli innych krajów). Czy na podobnej zasadzie nie zostaną ujawnione różne tajemnice (może nawet bez wyroku sądowego) lub na podstawie prawa innego kraju niż Polska?
Generalnie na terenie UE obowiązuje unijna dyrektywa, którą muszą respektować wszystkie kraje członkowskie. Dostosowanie przepisów ochrony danych osobowych w poszczególnych państwach członkowskich musi się opierać na tejże dyrektywie
Bardzo fajna inicjatywa bloga ebiznesy z rozwiewaniem wszystkich wątpliwości związanych z GIODO.
ja mam tych wątpliwości, za każdym razem, więcej. Zadałem pytanie tutaj (raczej stwierdziłem parę swoich spostrzeżeń): http://ebiznesy.pl/moj-e-biznes/prawo-e-biznes/dlaczego-baza-adresowa-podlega-rejestracji-w-giodo i nikt nie raczy skomentować tego, co wyskrobałem…
Marcinie,
Nie denerwuj się, bo zaczniesz więcej palić
A tak poważniej: Krzysiek Krawczyk pewnie gdzieś wybył na kilka dni i jak wróci to oczywiście doniesie się do twojego komentarza pod wspomnianym wpisem. Już mu o tym 2 razy przypominałem. Jak mówię: pojawi się, to odpowie.
Tak miałem trochę kłopotów prywatnych, ale odpisałem na komentarz.