GDPR pre SaaS

Situacia - som prevadzkovatel API-centrickeho SaaS kde je pristup pre obcanov EU kvoli GDPR zakazny. Prakticky su vsetky requesty na zaklade ip/krajiny zablokovane. Ak moj klient, ktory je mimo EU, umozni pristup/vyuzitie sluzby uzivatelom z EU cez jeho mimo-europsky server, znamena to ze som subjektom GDPR alebo to mozem nejak zmluvne osetrit v podmienkach pouzitia mojej sluzby? V skutocnosti skoncia osobne udaje obcana EU na mojom servery, i ked to nechcem.

Je to jeho problém. On by s tebou měl mít zpracovatelskou smlouvu, kde je definováno, jakým způsobem jsou zpracovávány osobní údaje.

Samozřejmě, že toto platí, pokud je vztah mezi koncovým uživatelem a tvým klientem (nikoliv tebou).

Chceš použitím proxy v třetí zemi obejít GDPR ? :-)

vaclav: no ok, ja to mozem mat v OP ale tie udaje mozu aj tak skoncit u mna, i ked o tom neviem. cize zjednodusene povedane tu ide o skutkovu podstatu, nie o podmienky za ktorych k tomu doslo. moj klient sa pri ziadosti od jeho zakaznika o niektoru z gdpr blbosti moze zacat vyhovarat na mna ze ja som procesor/sprostredkovatel riesnia a ze on je iba prostrednik alebo nieco take....

Původně odeslal node ↪

vaclav: no ok, ja to mozem mat v OP ale tie udaje mozu aj tak skoncit u mna, i ked o tom neviem. cize zjednodusene povedane tu ide o skutkovu podstatu, nie o podmienky za ktorych k tomu doslo. moj klient sa pri ziadosti od jeho zakaznika o niektoru z gdpr blbosti moze zacat vyhovarat na mna ze ja som procesor/sprostredkovatel riesnia a ze on je iba prostrednik alebo nieco take....

Každý, kdo prodává občanům EU, musí mít se svými dodavateli služeb zprostředkovatelskou smlouvu. Zvlášť v případě, kdy data jeho uživatelů skončí u někoho jiného.

On je zodpovědný za to, že ji nemá a data jsou u tebe. Je povinen tohle řešit.

Ty bys byl zodpovědný ve chvíli, kdybys tvrdil, že jsi GDPR-compliant, ale sám bys neměl stejné zajištění třeba u svých serverů.