19 maja bieżącego roku Europejska Rada Ochrony Danych wydała pozytywną opinię w przedmiocie zatwierdzenia przez belgijski organ nadzorczy ds. ochrony danych pierwszego, międzynarodowego kodeksu postępowania regulującego dobre praktyki dla dostawców usług z sektora chmurowego. Jest to pierwszy tego typu zatwierdzony kodeks podstępowania od daty wejścia w życia Ogólnego Rozporządzenia o Ochronie Danych („RODO”).
Zatwierdzone kodeksy postępowania, obok mechanizmu certyfikacji, stanowią jeden z instrumentów zapewnienia legalności przetwarzania danych przez administratorów, a także podmioty przetwarzające. Zgodnie z art. 40 ust. 1 RODO, państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja Europejska zachęcają do sporządzania kodeksów postępowania mających pomóc we właściwym stosowaniu RODO, z uwzględnieniem specyfiki różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.
Głównym celem przedmiotowego kodeksu jest zapewnienie zgodnego z RODO wykorzystywania rozwiązań chmurowych w kontekście przetwarzania danych osobowych. Podstawowym założeniem kodeksu jest skonkretyzowanie wymogów prawnych art. 28 RODO oraz innych przepisów RODO względem podmiotów działających w sektorze chmurowym. Stosowanie kodeksu ma przede wszystkim pomóc dostawcy usług chmurowych w wykazaniu zgodności przetwarzania danych z RODO, a ponadto uczynić łatwiejszą dla potencjalnych klientów ocenę czy usługi chmurowe dostarczane przez określonego dostawcę realizują wymagania art. 28 ust. 1 i 5 RODO. Należy bowiem pamiętać, iż w świetle art. 28 ust. 1 RODO, administratorzy mogą korzystać wyłącznie z usług takich podmiotów przetwarzających, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, tak by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Z kolei artykuł 28 ust. 5 RODO, podmiot przetwarzający poprzez stosowanie zatwierdzonego kodeksu postępowania może wykazać gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych zgodności przetwarzania z RODO.
Kodeks postępowania składa się z zestawu wymogów, które muszą zostać wdrożone przez dostawcę usług chmurowych w celu zapewnienia zgodności przetwarzania. Wymogi te uzupełnione są o listę kontrolną, która pomaga ocenić zgodność przetwarzania danych osobowych za pośrednictwem chmury z wymaganiami stawianymi przez kodeks.
Omawiana regulacja ma zastosowanie wyłącznie do usług chmurowych dostarczanych przez dostawców działających w roli podmiotów przetwarzających. W związku z tym nie ma on zastosowania do usług „business to consumer” lub do wszelkich działań związanych z przetwarzaniem danych w sytuacji, gdy dostawca usługi chmurowej działa jako administrator. Regulacja ma dotyczyć wszystkich rodzajów usług chmurowych (np. IaaS, PaaS, SaaS) i tworzyć podstawę do wdrożenia bardziej szczegółowych rozwiązań dla tych usług w przyszłości.
