Jakie prawo będzie miało zastosowanie do świadczenia usług online
i wymagania prawne jakiego państwa musi spełnić Microsoft jako
przetwarzający dane?

Odpowiedź na to pytanie wymaga analizy na dwóch płaszczyznach. Pierwsza
to prawo właściwe dla zobowiązań umownych. W relacjach biznesowych, tj. gdy
i usługodawca, i usługobiorca są przedsiębiorcami, mogą oni swobodnie określić
w umowie na usługi online prawo jakiemu będzie podlegała taka umowa. W przy-
padku umów na usługi online Microsoft zawierane w Europie jest to zwykle prawo
irlandzkie. Jeżeli jednak strony nie wybrałyby prawa właściwego dla umowy, pra-
wo to należałoby ustalić na podstawie np. Rozporządzenia Rzym I lub prawa pry-
watnego międzynarodowego. Tytułem przykładu, gdyby usługi online świadczył
podmiotowi polskiemu podmiot z siedzibą w Irlandii, to zgodnie z Rozporządze-
niem Rzym I, w przypadku gdyby strony nie dokonały wyboru prawa dla umowy,
prawem właściwym byłoby prawo siedziby usługodawcy czyli w tym przypadku
– również prawo irlandzkie.

Druga płaszczyzna, na której należy dokonywać oceny to prawo administra-
cyjne. Przepisy ustawy o ochronie danych osobowych mają właśnie taki cha-
rakter. Podmioty, które podlegają tej ustawie, nie mogą umówić się i wyłączyć
stosowania przepisów tej ustawy, jeśli zgodnie z jej brzmieniem, podlegają jej
przepisom. Zakres podmiotowy zastosowania ustawy określa przede wszystkim
art. 3, z którego wynika że ustawę stosują podmioty z siedzibą na terytorium
Polski, oraz w określonych sytuacjach – podmioty z państw trzecich tj. państw
spoza EOG. Jeśli chodzi o podmioty z siedzibą na terytorium EOG to przyjmuje
się, że skoro ustawa jest wdrożeniem Dyrektywy 95/46/WE Parlamentu Euro-
pejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania
danych osobowych i swobodnego przepływu tych danych, to poziom ochrony
we wszystkich państwach EOG nie jest gorszy niż ten wynikający z tej Dyrekty-
wy. Dodatkowo, w odniesieniu do podmiotów przetwarzających dane osobowe
w imieniu administratora, z art. 17 ust. 3 Dyrektywy wynika wyraźnie, że prze-
twarzających dotyczą obowiązki w zakresie zabezpieczenia danych określone
przez ustawodawstwo państwa członkowskiego, w którym taki przetwarzający
prowadzi działalność. Nie ma zatem podstaw prawnych, aby od przetwarzają-
cego prowadzącego działalność w Irlandii, polski administrator wymagał speł-
nienia wymogów zabezpieczenia danych osobowych określonych w polskim
Rozporządzeniu MSWiA w sprawie dokumentacji przetwarzania danych oso-
bowych oraz warunków technicznych i organizacyjnych, jakim powinny odpo-
wiadać urządzenia i systemy informatyczne służące do przetwarzania danych
osobowych.