Ето първия европейски кодекс за поведение, свързан с GDPR

Френският орган за защита на данните публикува документа, обвързващ доставчиците на облачни инфраструктурни услуги 

Френският надзорен орган Commission Nationale de l’Informatique et des Libertés – CNIL съобщи, че е одобрен първият европейски кодекс за поведение на доставчиците на облачни инфраструктурни услуги (IaaS) на 11 юни 2021 г.

В съобщението се казва, че спазването на кодекса на доставчиците на облачни инфраструктурни услуги в Европа (CISPE) не представлява спазване на GDPR. Самото одобрение на съдържанието на кодекса за поведение от CNIL не засяга заявлението, което ще бъде подадено на практика от членовете.

Кодексът на поведение е инструмент на GDPR, за да помогне на професионалистите да отговорят на техните нужди за оперативно съответствие. По-специално, той допринася за демонстриране на съответствие с GDPR и изпраща положителен сигнал към клиентите и професионалистите от съответния сектор на дейност.

Кодексът за поведение на GDPR е задължителен за тези, които се придържат към него. Той изисква от своите членове да спазват правилата, залегнали в кодекса, и да приемат, че трета страна следи за правилното му прилагане (с изключение на кодексите за поведение, приложими за публични органи).

Доставчиците на услуги за облачна инфраструктура Европа е европейската асоциация на доставчиците на услуги за облачна инфраструктура, която пое инициативата да разработи този първи европейски кодекс за поведение, специално посветен на тази категория изпълнители („Инфраструктура като услуга“ или „IaaS“).

Кодексът за поведение е инструмент за съответствие: той помага на членовете да докажат, че отговарят на изискванията на член 28 от GDPR, който изисква от администраторите на данни да използват само изпълнители, които предоставят достатъчни гаранции относно прилагането на подходящи технически и организационни мерки. Придържането към този кодекс на поведение може да служи като средство за доказване на съществуването им.

Освен това, кодексът на поведение, подкрепен от CISPE, ще улесни спазването в този сектор на дейност: той предоставя както методология, така и практически решения на проблемите, идентифицирани от съответните специалисти. По този начин той дава оперативно измерение на принципите за защита на данните, определени в националното и европейското законодателство. Той също така предоставя подробно описание на всички добри практики в сектора.

Като вектор на правна сигурност, кодексът на поведение помага да се създаде климат на доверие.

Marie-Laure DENIS, председател на CNIL се цитира да казва, че кодексите за поведение са нов инструмент на GDPR. Те дават прости и конкретни отговори на тези, които не са юридически експерти, с оглед хармонизиране на секторните практики.

Кодексът за поведение е разделен на пет части:

  • първа част, която определя географския и материален обхват на кодекса за поведение (в кои държави се прилага и какво обхваща);
  • втора част, която разработва изискванията за защита на данните;
  • трета част, която разглежда изискванията за прозрачност на мерките за сигурност;
  • четвърта част, която определя условията за спазване на кодекса за поведение;
  • пета част, която определя управлението на кодекса за поведение.

Всяка част предоставя практически обяснения на проблемите, пред които е изправен браншът, и подкрепилите кодекса с конкретни примери, които да им помогнат да разберат своите задължения за защита на данните.

Освен това кодексът за поведение включва няколко приложения, включително

  • приложение, изброяващо добри технически и организационни практики по отношение на сигурността;
  • приложение, изброяващо критериите за съответствие и няколко препоръки, обясняващи как те трябва да бъдат документирани;
  • образец на декларация за присъединяване;
  • модел за уведомяване за нарушение на данните.

Този кодекс за поведение няма за цел да регулира преноса на данни извън Европейския съюз. Той съдържа напомняне за задълженията на организациите в това отношение. Освен това той предвижда, че организациите, които го приемат трябва да предлагат на своите клиенти възможността да съхраняват и обработват своите данни изключително в рамките на Европейското икономическо пространство.

Ефективността на кодекса за поведение се осигурява чрез намесата на орган, който отговаря за правилното прилагане на кодекса и който се акредитира от компетентния надзорен орган. Това е механизъм за контрол, проектиран от CISPE и е свързан с управлението на кодекса. Няма нищо общо с CNIL.

Кодексът за поведение на CISPE идентифицира няколко органа, отговорни за наблюдението на правилното му прилагане, които могат да изпълняват своята мисия за наблюдение само след като подадат заявление за акредитация до CNIL.

Спазването на кодекс за поведение не означава спазване на GDPR, пише в съобщението.

Можете да споделите: