Europejska Rada Ochrony Danych (EROD) wydała pozytywną opinię w sprawie kodeksu postępowania w zakresie przetwarzania danych osobowych w chmurze (EU Cloud Code of Conduct). Jest to pierwszy pozytywnie zaopiniowany przez EROD międzynarodowy kodeks postępowania, który swoim zakresem obejmuje wszystkie kategorie usług oferowanych w chmurze, w tym m.in. oprogramowanie oraz platformy i usługi infrastrukturalne. Kodeks został również zaaprobowany przez 26 unijnych organów nadzorczych ds. ochrony danych osobowych, w tym polski.
Prace nad przedmiotowym kodeksem trwały niemal 9 lat (rozpoczęły się jeszcze w 2012 r.). Zapewne nikt nie spodziewał się, że proces uzyskania pozytywnej aprobaty właściwych organów nadzorczych potrwa aż tak długo. Trzeba mieć jednak na uwadze, że w ostatnich latach zaszło wiele zmian w zakresie ochrony prywatności i danych osobowych, w tym przyjęcie RODO i nowych ram prawnych dla szeroko rozumianego cyberbezpieczeństwa, co może uzasadniać tak znaczne opóźnienie. Twórcy kodeksu zapewniają jednak, że przyjęte w nim rozwiązania uwzględniają aktualnie obowiązujące regulacje prawne.
Wiele zaangażowanych podmiotów
Kodeks postępowania dotyczący przetwarzania danych osobowych w chmurze został stworzony przez podgrupę ds. sprawiedliwości (Cloud Select Industry Group). W skład grupy wchodzi bardzo wiele podmiotów, od czołowych globalnych przedstawicieli branży po małych i średnich przedsiębiorców. Przy pracach nad kodeksem zaangażowana była również Komisja Europejska, Grupa Robocza art. 29 (poprzednik EROD) oraz giganci korzystający na co dzień z chmur obliczeniowych (m.in. IBM, Salesforce, Oracle, czy Alibaba Cloud).
Główny cel – zgodność z RODO
Jak wskazują twórcy kodeksu, głównym celem jego utworzenia i funkcjonowania jest zagwarantowanie przedstawicielom branży IT, że oferowane usługi w chmurze są zgodne z RODO. Jednocześnie, narzędzie to usprawnić ma wdrażanie tego typu rozwiązań na całym kontynencie oraz zmniejszyć obawy użytkowników dotyczące ochrony ich danych osobowych w kontekście korzystania z usług w chmurze.
Kodeks określa bowiem między innymi wymagania dla dostawców, których spełnienie umożliwi wykazanie, że dane osobowe przetwarzane są zgodnie z RODO. Zobowiązuje on również do stałego monitorowania oferowanych usług pod kątem ich zgodności z unijnymi przepisami o ochronie danych osobowych. Dodatkowym gwarantem jest podmiot (Scope Europe), który został powołany w celu monitorowania przestrzegania kodeksu (więcej o samym kodeksie pisaliśmy TUTAJ: https://gdpr.pl/kodeks-postepowania-dla-dostawcow-uslug-w-chmurze).
Pozytywna opinia Europejskiej Rady Ochrony Danych
EROD uznała, że kodeks postępowania w zakresie przetwarzania danych osobowych w chmurze jest zgodny z RODO, w tym spełnia wymogi określone w art. 40 i 41 RODO. EROD pozytywnie odniosła się do zaproponowanych przez twórców rozwiązań, które – w jej ocenie – są praktyczne, przejrzyste i potencjalnie opłacalne, zapewniając przy tym większą spójność między sektorami i gwarancje ochrony danych osobowych.
W ocenie EROD, przedmiotowy kodeks pomoże wykazać dostawcom usług w chmurze zgodność z RODO poprzez m.in. sprecyzowanie podstaw prawnych przetwarzania danych osobowych użytkowników. Jego przyjęcie wyznacza również klarowny punkt odniesienia dla ewentualnych przyszłych zmian regulacji prawnych dotyczących przetwarzania danych osobowych w chmurze.
Kodeks już jest wdrażany
Gigant technologiczny – Microsoft – poinformował, że podjął już odpowiednie kroki w celu dostosowania oferowanych przez siebie narzędzi do wymogów wynikających z przyjętego kodeksu postępowania. W jego ocenie, już teraz aż 140 usług objętych marką chmury publicznej Azure, odpowiada wymaganiom kodeksowym.
Warto zauważyć, że przystąpić do stosowania kodeksu mogą nie tylko podmioty związane z tworzeniem i dostarczaniem oprogramowania lub odpowiedniej infrastruktury w chmurze, ale również wszystkie inne zainteresowane podmioty. Jak to się ładnie mówi – wszyscy są mile widziani.
Źródła:
Polecamy także:
Opinie EROD w sprawie przekazywania danych do Wielkiej Brytanii
Europejska chmura obliczeniowa
Czy wiesz, że:
Opracowany przez Związek pracodawców Organizację Firm Badania Opinii i Rynku, Kancelarię Osiej i Partnerzy oraz Omni Modo, Kodeks RODO dla branży badawczej, z początkiem kwietnia 2020 r. został złożony do Prezesa Urzędu Ochrony Danych Osobowych.
Szczegóły znajdują się tutaj