Under en offentlig høring i Sejm om utkastet til lov om elektronisk kommunikasjon postulerte næringslivsrepresentanter at kravet om å lagre telekommunikasjonsdata bare i Polen burde forkastes. Hvorfor er det viktig hvor dataserveren er plassert?

Kravet om å kun bruke tjenestene til polske leverandører kan anses i strid med EU-retten, da det bryter med prinsippet om frihet til å yte tjenester. Så gründerne har i hvert fall delvis rett. På den annen side er denne forpliktelsen (lagring av data for å overføre dem til relevante tjenester om nødvendig) knyttet til spørsmålet om å sikre nasjonal sikkerhet. Og det er ikke omfattet av EU-retten. Så fra dette perspektivet er det tvilsomt om EU-retten vil være gjeldende her. Men hvis vi skal begrense muligheten for å lagre data, er det bedre å bruke begrepet EØS.

Og det andre flyet?

Man må se på saken fra et datasikkerhetssynspunkt. Å lagre dem bare i Polen reduserer dem. De er mer utsatt for et «tradisjonelt» nettangrep. Men pinnen har to ender, for problemet er ikke hvor dataene er, men hvem som har tilgang til dem. Et enkelt eksempel: Amerikanske leverandører, fordi de startet problemet, er omfattet av CLOUD Act, som forplikter dem til å dele data med amerikanske tjenester, uavhengig av hvor dataene er. Så selv om de er i Polen, men leverandøren av skyen de er lagret i er fra USA, vil han være forpliktet til å gjøre dem tilgjengelige for amerikanske tjenester. En lignende fare eksisterer for leverandører fra for eksempel Kina, selv om regelverket her er mindre eksplisitt. Derfor, hvis jeg skulle peke begrensningen i riktig retning, vil jeg vurdere at data kan lagres hos tilbydere underlagt EU-lovgivning. Dette er retningen du bør gå, og ikke angi hvor dataene fysisk skal være plassert. I dag er det en blindvei.

Det er her vi kommer til spørsmålet om dataoverføring utenfor EØS. Avtaler med USA forhandles for tiden, men hva med andre land?