Ciekawy artykuł opisujący problemy związane z przetwarzaniem danych osobowych "w chmurze". http://www.rp.pl/artykul/55756,769989-Cloud-computing--Przetwarzanie-danych-osobowych-przez-prawnikow.html?p=1 Fragment:
Podmioty zlokalizowane poza EOG, a zbierające dane osobowe obywateli tego obszaru wymykają się unijnym regulacjom ochrony danych osobowych, jeśli nie wykorzystują środków technicznych (np. serwerów, ruterów) na terytorium EOG. Choć takie działanie może być postrzegane jako kontrowersyjne, to jednak trudno rozciągnąć unijne regulacje na cały świat. Ten aspekt nie jest też niczym nowym, bowiem funkcjonuje on również choćby przy wyszukiwarkach internetowych, które najczęściej działają spoza EOG. W tym transgranicznym kontekście istotny jest również fakt, iż duża liczba usługodawców dostarczających usługi na podstawie modelu cloud computing będzie pochodziła z krajów położonych poza EOG (tzw. kraje trzecie). W takich sytuacjach dojdzie do tzw. transferu danych osobowych do krajów trzecich, który – aby miał charakter transferu legalnego – musi uwzględniać dodatkowe wymogi przewidziane w ustawie o ochronie danych osobowych (uodo). W wypadku cloud computing powołanie się na jedną z przesłanek wymienioną w art. 47 uodo, np. pisemną zgodę osoby, której dane będą przedmiotem transferu, będzie co do zasady bardzo skomplikowane lub nawet niemożliwe. Podobnie wykorzystanie wzorcowych klauzul umownych przyjętych przez Komisję Europejską zawieranych między eksporterem danych – usługobiorcą a importerem danych – usługodawcą byłoby w większości wypadków niemożliwe lub trudne do zastosowania w modelu cloud computing. Rozwiązaniem dla tych bolączek, przy zachowaniu legalności takiego transferu danych, mogłoby być wdrożenie przez usługodawcę tzw. Binding Corporate Rules, czyli wiążących reguł korporacyjnych. Alternatywą dla powyższego rozwiązania, gdy chodzi o usługodawców pochodzących z USA, mogłoby być przystąpienie do tzw. programu bezpiecznej przystani (program Safe Harbour). Z perspektywy polskiego przedsiębiorcy weryfikacja, czy takie rozwiązania zostały wdrożone, może mieć kluczowe znaczenie dla jego odpowiedzialności. W sytuacji, w której przedsiębiorca (usługobiorca) korzystałby z usług, w ramach których doszłoby do przekazania danych osobowych usługodawcy zlokalizowanemu poza EOG i który nie wdrożył żadnych z ww. środków zapewniających właściwy poziom ochrony, mógłby on (ten usługobiorca) spotkać się z reakcją generalnego inspektora ochrony danych osobowych. W takim wypadku GIODO mógłby co najmniej nakazać wstrzymanie transferu danych do takiego usługodawcy.Stanowisko Zoho na temat polityki prywatności znajduje się tutaj: https://www.zoho.com/privacy.html w tym klauzula dotycząca regulacji pomiędzy UE a USA w obszarze ochrony danych osobowych tzw. Safe Harbour.