W tym artykule chciałbym przypomnieć podstawowe kwestie związane z kodeksami postępowania, o których mowa w RODO. Temat był już nieraz omawiany, ale warto do niego powrócić w świetle niedawnych wydarzeń. W maju b.r. Europejska Rada Ochrony Danych wydała bowiem pozytywne opinie dla dwóch pierwszych transgranicznych kodeksów, które mogą być istotne, zwłaszcza dla branży IT. Mianowicie, stwierdzono zgodność z RODO odnośnie:
· EU Data Protection Code of Conduct for Cloud Service Providers (dostępny na stronie https://eucoc.cloud/) przeznaczonego dla dostawców usług chmurowych, niezależnie od rodzaju usługi (w tym w szczególności IaaS, PaaS i SaaS) (dalej „EU-CoC”),
· CISPE [Cloud Infrastructure Service Providers] Code of Conduct (dostępny na stronie https://www.codeofconduct.cloud) przeznaczonego stricte dla dostawców infrastruktury (IaaS) (dalej „CISPE-CoC”).
Oba kodeksy zostały już zatwierdzone przez właściwe organy nadzorcze: EU-CoC przez organ belgijski, a CISPE-CoC przez organ francuski. Niemniej, „dojrzałość operacyjną” osiągnął obecnie tylko EU-CoC, dla którego wyznaczono akredytowany podmiot monitorujący (SCOPE Europe). CISPE-CoC osiągnie taką dojrzałość wówczas, gdy francuski organ akredytuje dla niego podmiot monitorujący, co jeszcze nie nastąpiło.
Kodeksy dla dostawców usług chmurowych – dlaczego warto z nich korzystać?
Powyższe jest dobrą wiadomością dla firm świadczących usługi chmurowe, bo korzystanie z zatwierdzonych kodeksów postępowania zapewnia istotne dobrodziejstwa. Poniżej kilka słów na ten temat:
· Tytułem wstępu: ani EU-CoC ani też CISPE-CoC nie są przeznaczone dla sytuacji, w których dostawca chmurowy staje się administratorem danych – powinny one być stosowane jedynie w zakresie, w jakim dostawca występuje w charakterze procesora. Ponadto, kodeksy te nie są dedykowane dla segmentu konsumenckiego (B2C), a jedynie dla relacji B2B.
· Oba kodeksy zawierają zweryfikowane przez EROD i właściwe organy nadzorcze know-how, w tym dobre praktyki odnośnie tego, jak podejść do ochrony danych w sektorze chmurowym. Dają więc pewne wytyczne, jak należy postępować.
· W ramach procesu zgłaszania danej usługi chmurowej do kodeksu niezależny podmiot monitorujący zbada, czy ta usługa spełnia warunki przewidziane w kodeksie. W ramach tego procesu, jest więc możliwość zidentyfikowania ewentualnych niedociągnięć w obszarze ochrony danych i podjęcie odpowiednich działań w celu ich wyeliminowania.
· Jeśli dana usługa przejdzie wstępną weryfikację, jest wpisywana do publicznego rejestru, a dostawca uzyskuje możliwość stosowania znaku graficznego, który potwierdza zgodność z kodeksem. W przypadku EU-CoC przewidziane są trzy różne znaki odpowiadające różnym poziomom weryfikacji przez podmiot monitorujący; w przypadku CISP-CoC dostępny jest jeden znak.
· Jak już wspomniano, oba kodeksy przeznaczone są dla usługodawców działających jako procesorzy, a więc świadczących usługi chmurowe na rzecz administratorów danych. W tym kontekście warto wskazać, że fakt objęcia danej usługi kodeksem postępowania ma istotne znaczenie z punktu widzenia klientów dostawcy usługi, a więc administratorów danych. Jest tak dlatego, że na administratorach ciąży obowiązek odpowiedniego sprawdzania procesorów, którym powierzają przetwarzanie danych tak, aby zapewnić, że dają oni wystarczające gwarancje wdrożenia środków odpowiadających wymogom RODO.
Kodeksy z perspektywy administratora
Taka weryfikacja jest zwykle prowadzona w oparciu o rozmaite, mniej lub bardziej rozbudowane ankiety lub checklisty. Podejście to nie daje jednak gwarancji, że organ nadzorczy nie zarzuci administratorowi nieprawidłowości w zakresie wyboru odpowiedniego procesora. Tutaj z pomocą może przyjść więc kodeks postępowania, który – zgodnie z art. 28 ust. 5 RODO – może stanowić dowód, że dany procesor zapewnia wystarczające gwarancje. Innymi słowy, wybierając usługi chmurowe objęte kodeksem, administrator może czuć się bezpiecznie w tym aspekcie. Właśnie z tego powodu, patrząc z perspektywy biznesowej, poddanie usług reżimowi kodeksu może również stanowić przewagę konkurencyjną dla danego usługodawcy.
· Z art. 32 ust. 1 RODO wynikają dla dostawcy usług będącego procesorem obowiązki w zakresie stosowania środków zapewniających odpowiednie bezpieczeństwo przetwarzania. Wywiązywanie się z tych obowiązków można wykazać m.in. poprzez stosowanie zatwierdzonego kodeksu postępowania. Jest to istotne w razie ewentualnej kontroli ze strony organu nadzorczego.
· Nawet jeśli dojdzie do uchybień w procesie przetwarzania danych osobowych, za które właściwy organ nadzorczy będzie chciał ukarać dostawcę usług chmurowych, organ ten będzie zobowiązany brać pod uwagę – i uwzględnić na korzyść dostawcy – fakt stosowania zatwierdzonego kodeksu postępowania.
W tym miejscu trzeba jednak pamiętać, że ani EU-CoC ani CISPE-CoC nie mogą być wykorzystywane jako narzędzia legalizujące transfer danych do państw trzecich, czyli poza Europejski Obszar Gospodarczy. W tym celu trzeba wdrożyć odpowiednie zabezpieczenia zgodne z wymogami RODO.
Reasumując, myślę, że warto przyjrzeć się możliwości poddania wybranych usług chmurowych reżimowi kodeksów postępowania, gdyż zapewnia to znaczące korzyści, przy rozsądnym poziomie kosztów. Jednak nawet, jeśli dany usługodawca nie zdecyduje się na to, warto sięgnąć do tych kodeksów, by zweryfikować, czy przyjęte przez dostawcę rozwiązania w zakresie przetwarzania danych odpowiadają praktykom przewidzianym w kodeksach, wykorzystując je jako swoisty benchmark.
Autor: Piotr Grzelczak – Radca prawny z Kancelarii GFP Legal z ponad dziesięcioletnim doświadczeniem zawodowym. Specjalizuje się w doradztwie z zakresu własności intelektualnej i ochrony danych osobowych, w tym w szczególności dla sektora IT i nowych technologii. W ramach Kancelarii GFP Legal jest on odpowiedzialny także za doradztwo na rzecz podmiotów z branży finansowej oraz sektora automotive, z którymi jest związany od lat.