Pierwszy zatwierdzony kodeks postępowania RODO

• 02.06.2021

• Autor: Michał Madecki

• organ nadzorczy

Belgijski organ właściwy ds. ochrony danych osobowych poinformował o zatwierdzeniu pierwszego w Unii Europejskiej kodeksu postępowania, po uzyskaniu pozytywnej opinii ze strony Europejskiej Rady Ochrony Danych. Kodeks ten określa dobre praktyki dla dostawców usług w chmurze. Do zatwierdzonego kodeksu postępowania mogą dołączyć także podmioty, które nie podlegają pod RODO; przeznaczony jest dla organizacji będących podmiotami przetwarzającymi dane osobowe w ramach powierzenia danych.

Przyjęty kodeks postępowania – EU Data Protection Code of Conduct for Cloud Service Providers („EU Cloud CoC”) – konkretyzuje  przepisy RODO, m.in. wymogi dotyczące powierzenia przetwarzania danych osobowych (art. 28 RODO). Obejmuje różne modele świadczenia usług w chmurze (IaaS, PaaS, SaaS). Kodeks ma w zamierzeniu stanowić podstawę i wzorzec wdrożenia i stosowania RODO przez dostawców tych usług, dotyczy jednak wprost tylko tych dostawców, którzy pełnią rolę podmiotu przetwarzającego dane osobowe powierzone przez administratora. Nie ma także zastosowania dla usług B2C (business to consumer).

Niestety EU Cloud CoC nie przewiduje mechanizmu dotyczącego legalizacji transferu danych osobowych do państw trzecich, czyli ujętego w art. 46 ust. 2 lit. e) RODO jednego z odpowiednich zabezpieczeń umożliwiających transfer danych poza EOG.

Wartością dodaną zatwierdzonego kodeksu jest to, że określa wytyczne stosowania przepisów RODO oraz wyznacza wiążące wymagania dla podmiotów, które do niego przystąpią. Jako podmiot monitorujący przestrzeganie kodeksu – a więc monitorujący wszystkie podmioty, które przystąpią do kodeksu – został wybrany Scope Europe. Kodeks określa także zasady zgodności z kodeksem oraz kontroli tej zgodności, a także możliwość nakładania sankcji na członków kodeksu.

Kodeks określa m.in. sposób korzystania z kolejnych podmiotów przetwarzających, wymogi dotyczące audytów, bezpieczeństwa danych, realizacji praw podmiotów danych oraz transparentności organizacji.

Jedna z korzyści udziału organizacji w kodeksie postępowania wynika z tego, że na podst. art. 28 ust. 5 RODO stosowanie zatwierdzonego kodeksu postępowania umożliwia wykazanie, że podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

Przystąpienie do zatwierdzonego kodeksu postępowania będzie dla branży usług chmurowych miernikiem profesjonalnego podejścia do kwestii związanych z ochroną danych osobowych. Niektóre duże korporacje (Microsoft) już zadeklarowały zamiar przystąpienia do kodeksu w zakresie swoich wybranych usług chmurowych. Będziemy z uwagą śledzili, czy przystąpienie do kodeksu postępowania będzie się faktycznie przekładało na wyższy poziom bezpieczeństwa i rzetelności przetwarzania danych osobowych w chmurze.

Źródło:

1. https://www.dataprotectionauthority.be/citizen/the-be-dpa-approves-its-first-european-code-of-conduct

Autor

Michał Madecki

Certyfikowany Inspektor Ochrony Danych. Doświadczenie zawodowe zdobywał podczas pracy w Urzędzie Ochronie Danych Osobowych oraz kancelariach prawnych specjalizujących się w prawie ochrony danych osobowych, e-privacy, prawie własności intelektualnej, e-commerce, prawie pracy oraz obsłudze prawnej spółek handlowych. Brał udział w opiniowaniu projektów aktów prawnych z punktu widzenia przepisów dotyczących ochrony danych osobowych.