W tym artykule chcia?bym przypomnie? podstawowe kwestie zwi?zane z kodeksami post?powania, o których mowa w RODO. Temat by? ju? nieraz omawiany, ale warto do niego powróci? w ?wietle niedawnych wydarze?. W maju b.r. Europejska Rada Ochrony Danych wyda?a bowiem pozytywne opinie dla dwóch pierwszych transgranicznych kodeksów, które mog? by? istotne, zw?aszcza dla bran?y IT. Mianowicie, stwierdzono zgodno?? z RODO odno?nie:
· EU Data Protection Code of Conduct for Cloud Service Providers (dost?pny na stronie https://eucoc.cloud/) przeznaczonego dla dostawców us?ug chmurowych, niezale?nie od rodzaju us?ugi (w tym w szczególno?ci IaaS, PaaS i SaaS) (dalej „EU-CoC”),
· CISPE Code of Conduct (dost?pny na stronie https://www.codeofconduct.cloud) przeznaczonego stricte dla dostawców infrastruktury (IaaS) (dalej „CISPE-CoC”).
Oba kodeksy zosta?y ju? zatwierdzone przez w?a?ciwe organy nadzorcze: EU-CoC przez organ belgijski, a CISPE-CoC przez organ francuski. Niemniej, „dojrza?o?? operacyjn?” osi?gn?? obecnie tylko EU-CoC, dla którego wyznaczono akredytowany podmiot monitoruj?cy (SCOPE Europe). CISPE-CoC osi?gnie tak? dojrza?o?? wówczas, gdy francuski organ akredytuje dla niego podmiot monitoruj?cy, co jeszcze nie nast?pi?o.
Kodeksy dla dostawców us?ug chmurowych – dlaczego warto z nich korzysta??
Powy?sze jest dobr? wiadomo?ci? dla firm ?wiadcz?cych us?ugi chmurowe, bo korzystanie z zatwierdzonych kodeksów post?powania zapewnia istotne dobrodziejstwa. Poni?ej kilka s?ów na ten temat:
· Tytu?em wst?pu: ani EU-CoC ani te? CISPE-CoC nie s? przeznaczone dla sytuacji, w których dostawca chmurowy staje si? administratorem danych – powinny one by? stosowane jedynie w zakresie, w jakim dostawca wyst?puje w charakterze procesora. Ponadto, kodeksy te nie s? dedykowane dla segmentu konsumenckiego (B2C), a jedynie dla relacji B2B.
· Oba kodeksy zawieraj? zweryfikowane przez EROD i w?a?ciwe organy nadzorcze know-how, w tym dobre praktyki odno?nie tego, jak podej?? do ochrony danych w sektorze chmurowym. Daj? wi?c pewne wytyczne, jak nale?y post?powa?.
· W ramach procesu zg?aszania danej us?ugi chmurowej do kodeksu niezale?ny podmiot monitoruj?cy zbada, czy ta us?uga spe?nia warunki przewidziane w kodeksie. W ramach tego procesu, jest wi?c mo?liwo?? zidentyfikowania ewentualnych niedoci?gni?? w obszarze ochrony danych i podj?cie odpowiednich dzia?a? w celu ich wyeliminowania.
· Je?li dana us?uga przejdzie wst?pn? weryfikacj?, jest wpisywana do publicznego rejestru, a dostawca uzyskuje mo?liwo?? stosowania znaku graficznego, który potwierdza zgodno?? z kodeksem. W przypadku EU-CoC przewidziane s? trzy ró?ne znaki odpowiadaj?ce ró?nym poziomom weryfikacji przez podmiot monitoruj?cy; w przypadku CISP-CoC dost?pny jest jeden znak.
· Jak ju? wspomniano, oba kodeksy przeznaczone s? dla us?ugodawców dzia?aj?cych jako procesorzy, a wi?c ?wiadcz?cych us?ugi chmurowe na rzecz administratorów danych. W tym kontek?cie warto wskaza?, ?e fakt obj?cia danej us?ugi kodeksem post?powania ma istotne znaczenie z punktu widzenia klientów dostawcy us?ugi, a wi?c administratorów danych. Jest tak dlatego, ?e na administratorach ci??y obowi?zek odpowiedniego sprawdzania procesorów, którym powierzaj? przetwarzanie danych tak, aby zapewni?, ?e daj? oni wystarczaj?ce gwarancje wdro?enia ?rodków odpowiadaj?cych wymogom RODO.
Kodeksy z perspektywy administratora
Taka weryfikacja jest zwykle prowadzona w oparciu o rozmaite, mniej lub bardziej rozbudowane ankiety lub checklisty. Podej?cie to nie daje jednak gwarancji, ?e organ nadzorczy nie zarzuci administratorowi nieprawid?owo?ci w zakresie wyboru odpowiedniego procesora. Tutaj z pomoc? mo?e przyj?? wi?c kodeks post?powania, który – zgodnie z art. 28 ust. 5 RODO – mo?e stanowi? dowód, ?e dany procesor zapewnia wystarczaj?ce gwarancje. Innymi s?owy, wybieraj?c us?ugi chmurowe obj?te kodeksem, administrator mo?e czu? si? bezpiecznie w tym aspekcie. W?a?nie z tego powodu, patrz?c z perspektywy biznesowej, poddanie us?ug re?imowi kodeksu mo?e równie? stanowi? przewag? konkurencyjn? dla danego us?ugodawcy.
· Z art. 32 ust. 1 RODO wynikaj? dla dostawcy us?ug b?d?cego procesorem obowi?zki w zakresie stosowania ?rodków zapewniaj?cych odpowiednie bezpiecze?stwo przetwarzania. Wywi?zywanie si? z tych obowi?zków mo?na wykaza? m.in. poprzez stosowanie zatwierdzonego kodeksu post?powania. Jest to istotne w razie ewentualnej kontroli ze strony organu nadzorczego.
· Nawet je?li dojdzie do uchybie? w procesie przetwarzania danych osobowych, za które w?a?ciwy organ nadzorczy b?dzie chcia? ukara? dostawc? us?ug chmurowych, organ ten b?dzie zobowi?zany bra? pod uwag? – i uwzgl?dni? na korzy?? dostawcy – fakt stosowania zatwierdzonego kodeksu post?powania.
W tym miejscu trzeba jednak pami?ta?, ?e ani EU-CoC ani CISPE-CoC nie mog? by? wykorzystywane jako narz?dzia legalizuj?ce transfer danych do pa?stw trzecich, czyli poza Europejski Obszar Gospodarczy. W tym celu trzeba wdro?y? odpowiednie zabezpieczenia zgodne z wymogami RODO.
Reasumuj?c, my?l?, ?e warto przyjrze? si? mo?liwo?ci poddania wybranych us?ug chmurowych re?imowi kodeksów post?powania, gdy? zapewnia to znacz?ce korzy?ci, przy rozs?dnym poziomie kosztów. Jednak nawet, je?li dany us?ugodawca nie zdecyduje si? na to, warto si?gn?? do tych kodeksów, by zweryfikowa?, czy przyj?te przez dostawc? rozwi?zania w zakresie przetwarzania danych odpowiadaj? praktykom przewidzianym w kodeksach, wykorzystuj?c je jako swoisty benchmark.
Autor: Piotr Grzelczak - Radca prawny z Kancelarii GFP Legal z ponad dziesi?cioletnim do?wiadczeniem zawodowym. Specjalizuje si? w doradztwie z zakresu w?asno?ci intelektualnej i ochrony danych osobowych, w tym w szczególno?ci dla sektora IT i nowych technologii. W ramach Kancelarii GFP Legal jest on odpowiedzialny tak?e za doradztwo na rzecz podmiotów z bran?y finansowej oraz sektora automotive, z którymi jest zwi?zany od lat.
