Podczas wysłuchania publicznego w Sejmie ws. projektu prawa komunikacji elektronicznej przedstawiciele biznesu postulowali, by odejść od nakazu przechowywania danych telekomunikacyjnych tylko na terenie Polski. Dlaczego to ważne, gdzie stoi serwer z danymi?
Wymóg korzystania wyłącznie z usług polskich dostawców może być uznany za sprzeczny z prawem Unii Europejskiej, bo narusza zasadę swobody świadczenia usług. Więc przedsiębiorcy mają przynajmniej częściowo rację. Z drugiej strony ten obowiązek (przechowywanie danych, by przekazać je w razie potrzeby odpowiednim służbom) wiąże się z kwestią zapewnienia bezpieczeństwa narodowego. A ono nie jest objęte prawem UE. Więc z tej perspektywy można wątpić, czy prawo unijne znajdzie tu zastosowanie. Ale jeśli już ograniczać możliwość przechowywania danych, to lepiej posłużyć się pojęciem Europejskiego Obszaru Gospodarczego.
A druga płaszczyzna?
Trzeba na sprawę spojrzeć pod kątem bezpieczeństwa danych. Przechowywanie ich tylko w Polsce je zmniejsza. Są bardziej zagrożone „tradycyjnym” cyberatakiem. Ale kij ma dwa końce, bo problemem nie jest to, gdzie dane są, tylko kto ma do nich dostęp. Prosty przykład: dostawcy amerykańscy, bo to od nich zaczął się problem, są objęci ustawą CLOUD Act, która zobowiązuje ich do udostępniania danych służbom USA, niezależnie od tego, gdzie są dane. Czyli jeśli nawet będą w Polsce, ale dostawca chmury, w której są przechowywane, jest z USA, to będzie zobowiązany je udostępniać amerykańskim służbom. Podobne niebezpieczeństwo istnieje w przypadku dostawców np. z Chin, choć tu oczywiście regulacje są mniej jawne. Dlatego, gdybym miał wskazać właściwy kierunek ograniczeń, uznałbym, że dane mogą być przechowywane u dostawców podlegających prawu UE. W tym kierunku należy iść, a nie wskazywać, gdzie fizycznie mają się znajdować dane. Dziś to ślepy zaułek.
Tu dochodzimy do kwestii transferowania danych poza EOG. Są obecnie negocjowane porozumienia z USA, a jak wygląda to w przypadku pozostałych krajów?
