Przed rozpoczęciem pracy nad aplikacją webową na platformie Bubble.io, istotne jest zrozumienie, w jakim stopniu to rozwiązanie spełnia wymogi europejskiego Ogólnego Rozporządzenia o Ochronie Danych (RODO, ang. GDPR), które jest kluczowym aktem prawnym dla firm działających w Polsce. Poniższa analiza przedstawia obecną sytuację zgodności Bubble.io z RODO oraz możliwe rozwiązania problemów.
Bubble.io jako amerykańska firma posiada wdrożone pewne mechanizmy mające na celu zapewnienie zgodności z RODO. Oficjalnie deklarują, że "wdrożyli środki zaprojektowane w celu spełnienia standardów obowiązujących przepisów o ochronie prywatności danych, w tym Ogólnego Rozporządzenia o Ochronie Danych w UE i Wielkiej Brytanii"[1]. Niemniej jednak, samo korzystanie z platformy Bubble.io nie gwarantuje automatycznej zgodności Twojej aplikacji z RODO.
Kluczową kwestią jest transfer danych z UE do USA. Bubble.io wdrożyło Standardowe Klauzule Umowne (SCC) do swojej umowy o przetwarzanie danych (DPA) jako mechanizm prawny umożliwiający transfer danych z UE do USA[1]. Firma twierdzi, że skoro ich DPA jest publicznie dostępna, obowiązuje ona wszystkich klientów.
Należy jednak zaznaczyć, że po wyroku w sprawie Schrems II z 2020 roku, który unieważnił porozumienie Privacy Shield, samo korzystanie z SCC nie jest uznawane za wystarczające zabezpieczenie przy transferze danych osobowych z UE do USA[8]. Wynika to z faktu, że amerykańskie przepisy, w tym FISA 702, umożliwiają władzom USA dostęp do danych obywateli UE, co stoi w sprzeczności z podstawowymi zasadami RODO.
Domyślnie dane w aplikacjach Bubble.io są przechowywane na serwerach w USA, co stanowi główne wyzwanie dla zgodności z RODO[5][8]. Jak potwierdzono w wielu dyskusjach na forum Bubble.io, "jeśli zbierasz dane użytkowników europejskich i nie korzystasz z dedykowanej europejskiej instancji, twoja instancja Bubble nie jest zgodna z RODO"[8].
Dodatkowy problem stanowi fakt, że Bubble.io nie posiada europejskiego podmiotu prawnego. Oznacza to, że jako polski przedsiębiorca będziesz "eksporterem danych" i poniesiesz pełne ryzyko za wszelkie naruszenia przepisów o ochronie danych, które mogą wystąpić poza UE[9].
Istnieje kilka strategii, które możesz rozważyć, aby zwiększyć zgodność swojej aplikacji Bubble.io z RODO:
Bubble.io oferuje możliwość hostowania aplikacji na serwerach w Unii Europejskiej w ramach planów dedykowanych[5]. Jest to najbardziej bezpośrednie rozwiązanie, które zapewnia pełną zgodność z wymogami lokalizacji danych RODO. Jednakże, koszt takiego rozwiązania jest znaczący - kilka tysięcy euro miesięcznie, co czyni go niedostępnym dla wielu małych przedsiębiorców i startupów[8][9].
Alternatywnym rozwiązaniem jest korzystanie z zewnętrznej bazy danych hostowanej w UE, takiej jak Xano[5]. W tym podejściu Bubble.io służy głównie jako warstwa prezentacji, podczas gdy wrażliwe dane są przechowywane na europejskich serwerach. Wymaga to dodatkowej konfiguracji i integracji, ale może być bardziej ekonomicznym rozwiązaniem niż dedykowany plan.