GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Pozytywna opinia EROD w sprawie unijnego kodeksu postępowania

Chmura na niebieskim laptopa, a po lewej stronie dłonie piszące po klawiaturze

Pozytywna opinia EROD w sprawie unijnego kodeksu postępowania

Europejska Rada Ochrony Danych (EROD) wydała pozytywną opinię w sprawie kodeksu postępowania w zakresie przetwarzania danych osobowych w chmurze (EU Cloud Code of Conduct). Jest to pierwszy pozytywnie zaopiniowany przez EROD międzynarodowy kodeks postępowania, który swoim zakresem obejmuje wszystkie kategorie usług oferowanych w chmurze, w tym m.in. oprogramowanie oraz platformy i usługi infrastrukturalne. Kodeks został również zaaprobowany przez 26 unijnych organów nadzorczych ds. ochrony danych osobowych, w tym polski.

Prace nad przedmiotowym kodeksem trwały niemal 9 lat (rozpoczęły się jeszcze w 2012 r.). Zapewne nikt nie spodziewał się, że proces uzyskania pozytywnej aprobaty właściwych organów nadzorczych potrwa aż tak długo. Trzeba mieć jednak na uwadze, że w ostatnich latach zaszło wiele zmian w zakresie ochrony prywatności i danych osobowych, w tym przyjęcie RODO i nowych ram prawnych dla szeroko rozumianego cyberbezpieczeństwa, co może uzasadniać tak znaczne opóźnienie. Twórcy kodeksu zapewniają jednak, że przyjęte w nim rozwiązania uwzględniają aktualnie obowiązujące regulacje prawne.

Wiele zaangażowanych podmiotów

Kodeks postępowania dotyczący przetwarzania danych osobowych w chmurze został stworzony przez podgrupę ds. sprawiedliwości (Cloud Select Industry Group). W skład grupy wchodzi bardzo wiele podmiotów, od czołowych globalnych przedstawicieli branży po małych i średnich przedsiębiorców. Przy pracach nad kodeksem zaangażowana była również Komisja Europejska, Grupa Robocza art. 29 (poprzednik EROD) oraz giganci korzystający na co dzień z chmur obliczeniowych (m.in. IBM, Salesforce, Oracle, czy Alibaba Cloud).

Główny cel – zgodność z RODO

Jak wskazują twórcy kodeksu, głównym celem jego utworzenia i funkcjonowania jest zagwarantowanie przedstawicielom branży IT, że oferowane usługi w chmurze są zgodne z RODO. Jednocześnie, narzędzie to usprawnić ma wdrażanie tego typu rozwiązań na całym kontynencie oraz zmniejszyć obawy użytkowników dotyczące ochrony ich danych osobowych w kontekście korzystania z usług w chmurze.

Kodeks określa bowiem między innymi wymagania dla dostawców, których spełnienie umożliwi wykazanie, że dane osobowe przetwarzane są zgodnie z RODO. Zobowiązuje on również do stałego monitorowania oferowanych usług pod kątem ich zgodności z unijnymi przepisami o ochronie danych osobowych. Dodatkowym gwarantem jest podmiot (Scope Europe), który został powołany w celu monitorowania przestrzegania kodeksu (więcej o samym kodeksie pisaliśmy TUTAJ: https://gdpr.pl/kodeks-postepowania-dla-dostawcow-uslug-w-chmurze).

Pozytywna opinia Europejskiej Rady Ochrony Danych

EROD uznała, że kodeks postępowania w zakresie przetwarzania danych osobowych w chmurze jest zgodny z RODO, w tym spełnia wymogi określone w art. 40 i 41 RODO. EROD pozytywnie odniosła się do zaproponowanych przez twórców rozwiązań, które – w jej ocenie – są praktyczne, przejrzyste i potencjalnie opłacalne, zapewniając przy tym większą spójność między sektorami i gwarancje ochrony danych osobowych.

W ocenie EROD, przedmiotowy kodeks pomoże wykazać dostawcom usług w chmurze zgodność z RODO poprzez m.in. sprecyzowanie podstaw prawnych przetwarzania danych osobowych użytkowników. Jego przyjęcie wyznacza również klarowny punkt odniesienia dla ewentualnych przyszłych zmian regulacji prawnych dotyczących przetwarzania danych osobowych w chmurze.

Kodeks już jest wdrażany

Gigant technologiczny – Microsoft – poinformował, że podjął już odpowiednie kroki w celu dostosowania oferowanych przez siebie narzędzi do wymogów wynikających z przyjętego kodeksu postępowania. W jego ocenie, już teraz aż 140 usług objętych marką chmury publicznej Azure, odpowiada wymaganiom kodeksowym.

Warto zauważyć, że przystąpić do stosowania kodeksu mogą nie tylko podmioty związane z tworzeniem i dostarczaniem oprogramowania lub odpowiedniej infrastruktury w chmurze, ale również wszystkie inne zainteresowane podmioty. Jak to się ładnie mówi – wszyscy są mile widziani.

Źródła:

https://edpb.europa.eu/news/news/2021/edpb-adopts-opinions-first-transnational-codes-conduct-statement-data-governance-act_en

https://www.computerweekly.com/news/252501133/GDPR-readiness-of-EU-Cloud-Code-of-Conduct-wins-backing-of-European-data-protection-authorities

Polecamy także:

Opinie EROD w sprawie przekazywania danych do Wielkiej Brytanii

Europejska chmura obliczeniowa

Czy wiesz, że:

Opracowany przez Związek pracodawców Organizację Firm Badania Opinii i RynkuKancelarię Osiej i Partnerzy oraz Omni Modo, Kodeks RODO dla branży badawczej, z początkiem kwietnia 2020 r. został złożony do Prezesa Urzędu Ochrony Danych Osobowych.

Szczegóły znajdują się tutaj