GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Kodeks postępowania dla dostawców usług w chmurze

Kodeks postępowania dla dostawców usług w chmurze

Twórcy unijnego kodeksu postępowania w zakresie przetwarzania danych osobowych w chmurze (EU Cloud Code of Conduct) ogłosili w zeszłym tygodniu (15 września 2020 r.), że rozpoczęły się prace nad proponowanymi rozwiązaniami prawnymi dotyczącymi przekazywania danych osobowych poza obszar Unii Europejskiej (UE). Ogłoszenie to bez wątpienia ma związek z lipcowym wyrokiem Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w głośnej sprawie Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems (C-311/18).

Czym jest EU Cloud CoC?

Jak wskazują twórcy, unijny kodeks postępowania w zakresie przetwarzania danych osobowych w chmurze jest kodeksem obejmującym pełne spektrum usług w chmurze (oprogramowanie – SaaS, platformę – PaaS, infrastrukturę – IaaS). Usługi te są aktualnie przedmiotem obrad Europejskiej Rady Ochrony Danych (EROD), w której skład wchodzą przedstawiciele krajowych organów nadzorczych (w Polsce – Urzędu Ochrony Danych Osobowych). Projekt kodeksu określa jasne wymagania dla dostawców usług w chmurze działających jako podmioty przetwarzające zgodnie z RODO.

Projekt kodeksu został stworzony przez Cloud Select Industry Group (jest to podgrupa ds. sprawiedliwości). Twórcami tego projektu kodeksu postępowania są zarówno czołowi światowi przedstawiciele branży, jak i małe oraz średnie przedsiębiorstwa.

Niezależnym organem monitorującym przestrzeganie przedmiotowego kodeksu zostało wybrane stowarzyszenie SCOPE Europe, które opracowało już procedury skutecznego monitorowania usług w chmurze. Co ciekawe, szczegółowy opis tych procedur został zawarty w projekcie kodeksu, zaś podmiot monitorujący już stosuje je w praktyce, pomimo że projekt kodeksu nie został jeszcze zatwierdzony.

Pomimo braku formalnego zatwierdzenia tego projektu kodeksu postępowania przez EROD, jego twórcy ogłosili utworzenie nowego modułu do kodeksu (dot. Przekazywania danych poza terytorium UE). Jak wskazują oni w swoim ogłoszeniu, po jego zatwierdzeniu przez organy nadzorcze poszczególnych państw członkowskich, rozwiązania w nim zawarte mogłyby stanowić alternatywę dla administratorów po unieważnieniu przez TSUE decyzji wykonawczej Komisji Europejskiej (2016/1250) z 12 lipca 2016 r. w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA. Od dnia publikacji wyroku TSUE Tarcza Prywatności nie może już bowiem stanowić podstawy prawnej do przekazywania danych osobowych do USA. TSUE w swoim wyroku nałożył także rygorystyczne obowiązki na administratorów, którzy przekazują dane osobowe do krajów spoza UE na podstawie standardowych klauzul umownych.

Przekazywanie danych do USA ponownie pod znakiem zapytania – część I

Twórcy zachęcają do przesłania uwag

Twórcy projektu EU Cloud CoC zachęcają wszystkie zainteresowane podmioty – zarówno dostawców usług w chmurze, jak i jej użytkowników – do wnoszenia swoich uwag do nowoopracowanego modułu projektu kodeksu. Jak wskazują, pomoże to ustalić podstawę prawną przekazywania danych osobowych obywateli UE do krajów trzecich.

 

Oświadczenie twórców dostępne jest tutaj:

https://eucoc.cloud/en/detail/news/cloud-industry-unites-to-create-global-standard-for-transfer-of-personal-data-following-schrems-ii/

Więcej informacji o projekcie kodeksu postępowania dostępnych jest tutaj:

https://eucoc.cloud/en/about/about-eu-cloud-coc/