Pierwszy unijny kodeks postępowania ws ochrony danych przetwarzanych w chmurze

ZAŁOŻENIA KODEKSU CISPE DLA BRANŻY CHMUROWEJ

Kodeks postępowania ma zapewnić dostawcom usług cloud computing warunki do wykazania pełnej zgodności stosowanych przez nich rozwiązań chmurowych z Ogólnym Rozporządzeniem m.in. poprzez przykładowe wskazówki, jak dostawcy ci oraz ich klienci powinni postępować, by chronić dane osobowe zgodnie z regulacjami RODO. Zgodność z postanowieniami kodeksu CISPE ma być weryfikowana przez niezależnych, zewnętrznych audytorów akredytowanych przez odpowiednie krajowe organy ochrony danych poszczególnych państw członkowskich.

Dokument opisuje rekomendowane praktyki i praktyczne wskazówki mające wspomagać dostawców usług infrastruktury chmurowej w podnoszeniu jakości ochrony danych i zapewnieniu przejrzystości wobec odbiorców tychże usług przez jasne określenie ról, obowiązków i granic działania obydwu stron.

Kodeks gwarantować ma również, dostęp dostawców usług cloud computing do danych klientów i możliwość ich wykorzystywania wyłącznie w celu zarządzania lub świadczenia oferowanej przez siebie usługi, bez możliwości przetwarzania w celach marketingowych.

REGULACJE DOTYCZĄCE KODEKSU POSTĘPOWANIA?

Kodeksy postępowania to przewidziane art. 40 RODO regulacje sektorowe, mające charakter wytycznych, opracowywane przez stowarzyszenia, organy przedstawicielskie, zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów danych lub podmiotów przetwarzających. Ich założeniem jest wypracowanie określonych standardów przetwarzania danych z uwzględnieniem specyfiki poszczególnych sektorów i rodzajów działalności, w tym szczególnych potrzeb przedsiębiorców.

Przestrzeganie regulacji kodeksów postępowań zapewniać ma organizacjom w całej UE możliwość sprawniejszej ochrony danych i wykazania zgodności z przepisami RODO. Kodeksy postępowania podlegają zatwierdzeniu przez jeden z krajowych organów ochrony danych działający w imieniu pozostałych organów państw członkowskich, po uzyskaniu formalnej opinii EROD.

KORZYŚCI Z OPARCIA SIĘ NA SEKTOROWYM KODEKSIE POSTĘPOWANIA

Zaczerpnięcie przez poszczególnych administratorów danych oraz podmioty przetwarzające z założeń kodeksów postępowania w zakresie przetwarzaniach danych osobowych, zgodnie z założeniami RODO, służyć ma przede wszystkim doprecyzowaniu regulacji wspólnotowych do warunków przetwarzania w określonym sektorze gospodarki.

Co istotne kodeksy postępowania, zgodnie z wytycznymi RODO przewidywać muszą również mechanizmy obowiązkowego monitorowania przestrzegania przepisów tychże kodeksów przez administratorów lub podmioty przetwarzające, którzy podjęli się ich stosowania. Monitorowanie to prowadzone jest przez niezależne podmioty posiadające odpowiedni poziom wiedzy fachowej w dziedzinie będącej przedmiotem danego kodeksu i akredytowane w tym celu przez właściwy organ nadzorczy państwa członkowskiego.