To co trzyma i co robi sam serwer obowiązuje w kraju gdzie te dane są umieszczone i przetwarzane, ale samo świadczenie usług obowiązuje w kraju w którym te usługi świadczysz. Dlatego globalne usługi wchodzą stopniowo do kolejnych państw bo muszą swój regulamin i przetwarzanie danych userów z tego kraju dostosować do przepisów konkretnego kraju, a z drugiej strony masz takie wymogi jak to, że dane ludzi z ue muszą być trzymane na terenie ue.
W przypadku opisywanym przez ciebie czyli user z polski a serwer w rosji to po pierwsze podlega prawu rosyjskiemu bo tam się znajduje serwer, a dodatkowo jeśli usługa oficjalnie nie jest świadczona w polsce to nie podlega pod polskie prawo czyli to co zrobiła ta osoba to złamanie prawa rosyjskiego i w przypadku normalnym czyli gdy między państwami obowiązują normalne umowy w zależności od czynu albo by się nic nie stało albo by user był aresztowany od razu po przekroczeniu granicy rosyjskiej a w najbardziej skrajnych przypadkach polska mogła by wydalić takiego obywatela by odbył kare za przestępstwo tam popełnione.
Jak chodziłem na studia to wykładowca opowiadał o przypadku gościa który sobie testował zabepieczenia... serwerów pentagonu. No i miał spore problemy pomimo że on był z ue, ale stosunki dyplomatyczne są na tyle wysokie że ue nie miała problemu oddać go w ręce amerykanów.