19 maja bieżącego roku Europejska Rada Ochrony Danych wydała pozytywną opinię w przedmiocie zatwierdzenia przez belgijski organ nadzorczy ds. ochrony danych pierwszego, międzynarodowego kodeksu postępowania regulującego dobre praktyki dla dostawców usług z sektora chmurowego. Jest to pierwszy tego typu zatwierdzony kodeks podstępowania od daty wejścia w życia Ogólnego Rozporządzenia o Ochronie Danych („RODO”).

Zatwierdzone kodeksy postępowania, obok mechanizmu certyfikacji, stanowią jeden z instrumentów zapewnienia legalności przetwarzania danych przez administratorów, a także podmioty przetwarzające. Zgodnie z art. 40 ust. 1 RODO, państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja Europejska zachęcają do sporządzania kodeksów postępowania mających pomóc we właściwym stosowaniu RODO, z uwzględnieniem specyfiki różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.

Głównym celem przedmiotowego kodeksu jest zapewnienie zgodnego z RODO wykorzystywania rozwiązań chmurowych w kontekście przetwarzania danych osobowych. Podstawowym założeniem kodeksu jest skonkretyzowanie wymogów prawnych art. 28 RODO oraz innych przepisów RODO względem podmiotów działających w sektorze chmurowym. Stosowanie kodeksu ma przede wszystkim pomóc dostawcy usług chmurowych w wykazaniu zgodności przetwarzania danych z RODO, a ponadto uczynić łatwiejszą dla potencjalnych klientów ocenę czy usługi chmurowe dostarczane przez określonego dostawcę realizują wymagania art. 28 ust. 1 i 5 RODO. Należy bowiem pamiętać, iż w świetle art. 28 ust. 1 RODO, administratorzy mogą korzystać wyłącznie z usług takich podmiotów przetwarzających, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, tak by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Z kolei artykuł 28 ust. 5 RODO, podmiot przetwarzający poprzez stosowanie zatwierdzonego kodeksu postępowania może wykazać gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych zgodności przetwarzania z RODO.

Kodeks postępowania składa się z zestawu wymogów, które muszą zostać wdrożone przez dostawcę usług chmurowych w celu zapewnienia zgodności przetwarzania. Wymogi te uzupełnione są o listę kontrolną, która pomaga ocenić zgodność przetwarzania danych osobowych za pośrednictwem chmury z wymaganiami stawianymi przez kodeks.

Omawiana regulacja ma zastosowanie wyłącznie do usług chmurowych dostarczanych przez dostawców działających w roli podmiotów przetwarzających. W związku z tym nie ma on zastosowania do usług „business to consumer” lub do wszelkich działań związanych z przetwarzaniem danych w sytuacji, gdy dostawca usługi chmurowej działa jako administrator. Regulacja ma dotyczyć wszystkich rodzajów usług chmurowych (np. IaaS, PaaS, SaaS) i tworzyć podstawę do wdrożenia bardziej szczegółowych rozwiązań dla tych usług w przyszłości.

Warto podkreślić, że przedmiotowy kodeks niezapewnienia odpowiednich zabezpieczeń dla transferu danych osobowych do tzw. państw trzecich – państw zlokalizowanych poza Europejskim Obszarem Gospodarczym. W konsekwencji fakt przestrzegania postanowień kodeksu nie może stanowić podstawy przekazywania danych osobowych do państw trzecich. Dostawcy usług chmurowych, którzy planują lub na chwilę obecną przekazują dane osobowe do państw trzecich, nadal pozostają odpowiedzialni za indywidualną ocenę adekwatności wdrożonych zabezpieczeń transferu.

Z treścią kodeksu można zapoznać się pod linkiem: https://eucoc.cloud/fileadmin/cloud-coc/files/former-versions/European_Cloud_Code_of_Conduct_2.10.pdf.

Autorem tekstu jest prawnik Hubert Kutkiewicz, Lubasz i Wspólnicy – Kancelaria Radców Prawnych sp.k. Kancelaria jest zrzeszona w sieci Kancelarie RP działającej pod patronatem dziennika „Rzeczpospolita”.