Кодекс поведения ЕС в сфере облачных технологий


Кодекс поведения ЕС в сфере облачных технологий (сокращенно « EU Cloud CoC », также известный под расширенным названием « Кодекс поведения ЕС по защите данных для поставщиков облачных услуг ») — это транснациональный кодекс поведения, соответствующий статье 40 Общего регламента ЕС по защите данных ( GDPR ). [1]

Кодекс определяет четкие требования к поставщикам облачных услуг (CSP) по реализации статьи 28 GDPR [2] и всех связанных с ней статей, которые охватывают деятельность по обработке всех типов персональных данных. [3]

Охватывая все уровни облачных сервисов (включая, помимо прочего, IaaS , PaaS и SaaS ), [4] кодекс позволяет поставщикам облачных сервисов демонстрировать соответствие GDPR в своей роли обработчиков, которая контролируется аккредитованным органом мониторинга, [5] как того требует статья 41 GDPR. [6]

История

Работа над кодексом началась в 2012 году, когда бывший вице-президент Европейской комиссии Нили Крез запустила Европейскую облачную стратегию. [7] [8] В этом контексте была создана специальная рабочая группа, которой было поручено разработать проект кодекса поведения в облаке в соответствии с Директивой о защите данных .

Одной из основных целей разработки такого кодекса было повышение доверия и расширение внедрения облачных вычислений в Европейском Союзе . [9] Первый проект, подготовленный рабочей группой, был представлен на первую оценку в январе 2015 года, которая затем была выполнена Рабочей группой по статье 29. [10 ]

С введением GDPR кодекс пришлось адаптировать соответствующим образом, и к 2017 году [11] Европейская комиссия полностью передала проект в ведение отрасли. [12]

Еще в 2017 году шесть компаний, входящих в эту рабочую группу ( Alibaba Cloud , Fabasoft , IBM , Oracle , Salesforce и SAP ), основали Генеральную ассамблею EU Cloud CoC и назначили SCOPE Europe ее органом мониторинга и секретариатом. [13] [14]

После нескольких обменов с надзорными органами и связанных с этим изменений [15] окончательная версия EU Cloud CoC была представлена ​​в Бельгийский орган по защите данных для утверждения в 2019 году. [15] Согласно временным меткам версий кода, опубликованным на веб-сайте инициативы, [15] код продолжал развиваться после представления и до его утверждения в мае 2021 года. Ожидается, что такое постоянное развитие кодексов поведения будет продолжено в соответствии с Руководящими принципами Европейского совета по защите данных 1/2019 о кодексах поведения и органах мониторинга в соответствии с Регламентом 2016/679. [16]

Кодекс был одобрен [17] Бельгийским органом по защите данных 20 мая 2021 года [18] после положительного заключения Европейского совета по защите данных. [19] [20]

Область применения и структура кодекса

EU Cloud CoC позволяет CSP доказывать и демонстрировать соответствие в рамках статьи 28 GDPR и всех связанных с ней статей. Таким образом, EU Cloud CoC охватывает обязательства CSP по защите данных при обработке любого вида персональных данных, и его требования применимы ко всем облачным предложениям (включая, помимо прочего, IaaS , PaaS , SaaS ). [21] [22]

Существует пять разделов, которые вместе составляют основную структуру кодекса, а именно: Область применения, Защита данных, Требования безопасности, Мониторинг и соответствие и Внутреннее управление. [23] [24]

Помимо основного текста, кодекс сопровождается каталогом элементов управления, который был разработан для сопоставления требований кодекса с проверяемыми элементами, «элементами управления», и со всеми соответствующими положениями GDPR . Кроме того, каталог элементов управления также предоставляет сопоставление с соответствующими международными стандартами (такими как ISO 27001 , ISO 27017, SOC 2 и BSI C5). [25]

Организационная структура

Организационная структура EU Cloud CoC охвачена в его Разделе внутреннего управления, который описывает правила и процедуры, применяемые для управления кодексом. Упомянутый Раздел излагает организационную структуру самого кодекса, а также его органов, а именно, Генеральной Ассамблеи, [26] Руководящего совета и Секретариата. [23] [24]

Специализированный орган мониторинга

GDPR требует наличия независимого органа мониторинга [27], который бы гарантировал надлежащую реализацию его положений.

В мае 2021 года SCOPE Europe была официально аккредитована Бельгийским управлением по защите данных в качестве специализированного органа по мониторингу EU Cloud CoC. [28]

Согласно GDPR , контролирующий орган должен нести ответственность за проведение постоянной комплексной проверки. Согласно EU Cloud CoC, помимо первоначальной оценки для присоединения к кодексу, CSP ежегодно проходят повторную оценку.

Дополнительные оценки также могут быть вызваны обоснованными жалобами, сообщениями СМИ, новыми законами, публикациями и рекомендациями органов по защите данных, а также любыми другими соответствующими событиями, которые потенциально могут повлиять на соблюдение кодекса.

CSP может выбрать три уровня соответствия [29] после заявления о соблюдении EU Cloud CoC. Эти уровни относятся исключительно к типу доказательств, которые подлежат рассмотрению контролирующим органом. Тем не менее, каждый из этих уровней требует соответствия всем требованиям кодекса.

Членство и сторонники

Членство в кодексе открыто для любого CSP, если он согласен с подходом и принципами, установленными в кодексе. В этой связи EU Cloud CoC предлагает два основных варианта членства: первый предназначен для CSP, а второй охватывает любую организацию, которая не является CSP и желает присоединиться к инициативе в качестве сторонника.

В рамках членства в CSP действует индивидуальная схема ценообразования [30] , которая учитывает потребности компаний разных размеров, обеспечивая доступность для малых и средних предприятий (МСП).

Сегодня Генеральная ассамблея EU Cloud CoC представляет значительную долю европейского рынка облачной индустрии, и по состоянию на август 2021 года в ее состав входят Alibaba Cloud , [31] [32] [33] Alight , Arcules, [34] [35] Cisco , [36] Dropbox , [37] Epignosis, [38] Fabasoft , [39] Google Cloud , [40] IBM , [41] [42] K&L Gates , [43] Microsoft , [44] [45] Okta , Oracle , [46] Qompium (Extra Horizon), [47] Salesforce , [48] SAP , [49] Schellman, [50] SecureAppbox, [51] Timelex, TrustArc [52] [53] и Workday . [54]

Инициатива по переводу средств в третью страну

После постановления Суда Европейского союза по делу Schrems II [55] Генеральная ассамблея Кодекса облачных технологий ЕС начала работу над эффективной и в то же время доступной мерой защиты для переводов в третьи страны в формате модуля поверх кодекса. [56] [57]

Так называемый Модуль передачи данных в третьи страны должен охватывать правовые требования к передаче данных в третьи страны, как указано в Главе V GDPR, и, поскольку любой дополнительный модуль не является отдельной инициативой, это подразумевает, что предварительное соответствие EU Cloud CoC является предварительным условием. [58]

Смотрите также

  • Веб-сайт EU Cloud CoC
  • Список поддерживаемых облачных сервисов, включая публичные отчеты
  • Мониторинговый орган ЕС Cloud CoC

Ссылки

  1. ^ "Ст. 40 GDPR - Кодексы поведения". EUR-Lex: Законодательство ЕС . Получено 2021-08-20 .
  2. ^ "Ст. 28 GDPR - Процессор". EUR-Lex: Закон ЕС . Получено 20.08.2021 .
  3. ^ "Бельгийская DPA одобряет первый кодекс поведения ЕС по защите данных для поставщиков облачных услуг". Блог о праве на конфиденциальность и безопасность информации . 2021-05-24 . Получено 2021-08-26 .
  4. ^ «Поведение, наиболее подходящее — новый европейский Кодекс поведения в сфере облачных технологий проливает свет на доверие и прозрачность между покупателями и продавцами». diginomica . 2021-05-24 . Получено 2021-08-26 .
  5. ^ "О EU Cloud CoC: EU Cloud CoC". eucoc.cloud . Получено 2021-08-20 .
  6. ^ "Ст. 41 GDPR - Мониторинг утвержденных кодексов поведения". GDPR.eu . Получено 20.08.2021 .
  7. ^ «СООБЩЕНИЕ КОМИССИИ ЕВРОПЕЙСКОМУ ПАРЛАМЕНТУ, СОВЕТУ, ЕВРОПЕЙСКОМУ ЭКОНОМИЧЕСКОМУ И СОЦИАЛЬНОМУ КОМИТЕТУ И КОМИТЕТУ РЕГИОНОВ Раскрытие потенциала облачных вычислений в Европе», Европейская комиссия , 27-09-2021, Получено 20-08-2021
  8. ^ «Что стоит за новым Кодексом поведения ЕС в сфере облачных технологий?» . Получено 2021-08-26 .
  9. ^ "Cloud Select Industry Group | Формирование цифрового будущего Европы". digital-strategy.ec.europa.eu . Получено 25.08.2021 .
  10. ^ «Мнение Рабочей группы по защите данных Статьи 29 о Кодексе поведения по защите данных для поставщиков облачных услуг | Формирование цифрового будущего Европы». digital-strategy.ec.europa.eu . Получено 20 августа 2021 г.
  11. ^ «Бельгийское управление по защите данных утвердило Кодекс поведения ЕС в сфере облачных услуг для поставщиков облачных услуг, действующих в качестве обработчика». Lexology . 2021-06-03 . Получено 2021-08-26 .
  12. ^ "Надзорный орган передал Кодекс поведения для поставщиков облачных услуг" . Получено 20 августа 2021 г. .
  13. ^ "Бельгийская DPA одобряет первый Кодекс поведения ЕС по защите данных для поставщиков облачных услуг | privacy-ticker.com" . Получено 26.08.2021 .
  14. ^ "Пресс-релиз, 12 декабря 2017 г.". eucoc.cloud . Архивировано из оригинала 2021-08-26 . Получено 2021-08-26 .
  15. ^ abc "История: EU Cloud CoC". eucoc.cloud . Архивировано из оригинала 2021-08-22 . Получено 2021-08-25 .
  16. ^ "Руководящие принципы 1/2019 о кодексах поведения и органах мониторинга в соответствии с Регламентом 2016/679 - версия, принятая после публичных консультаций | Европейский совет по защите данных". edpb.europa.eu . Получено 25.08.2021 .
  17. ^ «Тема: Решение об утверждении «Кодекса поведения по защите данных ЕС для поставщиков облачных услуг» Генеральным секретариатом Бельгийского органа по защите данных», Решение № 05/2021 от 20 мая 2021 г., Генеральный секретариат - Бельгийский орган по защите данных , 20-05-2021, Получено 26-08-2021.
  18. ^ "GDPR: Что должны знать поставщики облачных услуг - Блог | GlobalSign". GlobalSign GMO Internet, Inc. 2021-07-30 . Получено 2021-08-26 .
  19. ^ «Мнение 16/2021 по проекту решения Бельгийского надзорного органа относительно «Кодекса поведения ЕС по защите данных для поставщиков облачных услуг», представленного Scope Europe», Европейский совет по защите данных , 19-05-2021, получено 19-05-2021.
  20. ^ OneTrust. «Кодекс поведения в облаке ЕС одобрен DPA | Блог». OneTrust . Получено 26.08.2021 .
  21. ^ «Конфиденциальность, первый кодекс транснациональной кондоты и облако: очень важно» . Цифровая повестка дня . 27 мая 2021 г. Проверено 26 августа 2021 г.
  22. ^ "Simmons & Simmons". www.simmons-simmons.com . Получено 2021-08-26 .
  23. ^ ab "Запросить Кодекс поведения в облаке ЕС: EU Cloud CoC". eucoc.cloud . Получено 20.08.2021 .
  24. ^ ab «Кодекс поведения ЕС по защите данных для поставщиков облачных услуг — версия 10», Кодекс поведения ЕС в сфере облачных услуг , октябрь 2020 г., дата обращения 20-08-2021.
  25. ^ «Сторожевые псы данных ищут «добавленную стоимость» в облачных кодах GDPR». Pinsent Masons . Получено 26.08.2021 .
  26. ^ "Что вам следует знать о Кодексе поведения в облачных технологиях ЕС". JD Supra . Получено 26.08.2021 .
  27. ^ "Ст. 41 GDPR - Мониторинг утвержденных кодексов поведения". EUR-Lex: Законодательство ЕС . Получено 20.08.2021 .
  28. ^ «Тема: аккредитация «Scope Europe» для мониторинга «Eu Cloud Code of Conduct» (DOS -2019-03289)», Решение № 06/2021 от 20 мая 2021 г., Бельгийский орган по защите данных , 20-05-2021, Получено 20-08-2021.
  29. ^ "Уровни соответствия: EU Cloud CoC". eucoc.cloud . Получено 20.08.2021 .
  30. ^ "Ценообразование: EU Cloud CoC". eucoc.cloud . Получено 20.08.2021 .
  31. ^ «Бельгийская DPA одобряет Кодекс поведения для облачной индустрии». WSGR Data Advisor . 2021-06-22 . Получено 2021-08-26 .
  32. ^ "Alibaba Cloud придерживается Кодекса поведения ЕС в сфере облачных вычислений". eucoc.cloud . Получено 26.08.2021 .
  33. ^ «Alibaba Cloud присоединяется к Кодексу поведения ЕС для поставщиков облачных услуг | Пресс-центр Alibaba Cloud». www.alibabacloud.com . Получено 26.08.2021 .
  34. ^ "Arcules присоединяется к Кодексу поведения ЕС в сфере облачных вычислений, обязуясь обеспечить надежную защиту видеоданных". eucoc.cloud . Архивировано из оригинала 2021-08-26 . Получено 2021-08-26 .
  35. ^ Вольф, Кевин (24.04.2018). «Arcules присоединяется к Кодексу поведения Европейского союза в сфере облачных технологий, обязуясь обеспечить надежную защиту видеоданных». Arcules . Получено 26.08.2021 .
  36. ^ «Кодекс поведения ЕС в сфере облачных технологий становится первым кодексом поведения GDPR, получившим зеленый свет от органов по защите данных». eucoc.cloud . Получено 26.08.2021 .
  37. ^ "ПРЕСС-РЕЛИЗ: Dropbox присоединяется к Генеральной ассамблее Кодекса поведения в облачных технологиях ЕС". eucoc.cloud . Получено 26.08.2021 .
  38. ^ "Epignosis присоединяется к Кодексу поведения ЕС в сфере облачных вычислений". Epignosis . 2018-03-01 . Получено 2021-08-26 .
  39. ^ "ПРЕСС-РЕЛИЗ: Fabasoft — первая компания, достигшая наивысшего уровня соответствия, заявив о соблюдении Кодекса поведения ЕС в сфере облачных вычислений". eucoc.cloud . Получено 26.08.2021 .
  40. ^ "Google Cloud рассматривает вопрос об утверждении Кодекса поведения ЕС в сфере облачных технологий". eucoc.cloud . Получено 26.08.2021 .
  41. ^ "IBM добавляет новые облачные сервисы в Кодекс поведения ЕС по защите данных". Блог THINKPolicy . 2017-06-13 . Получено 2021-08-26 .
  42. ^ "IBM среди первых компаний, принявших новый Кодекс поведения ЕС для облачных вычислений". Блог THINKPolicy . 2017-03-13 . Получено 2021-08-26 .
  43. ^ «Кодекс поведения ЕС в сфере облачных технологий приветствует K&L Gates в качестве нового спонсора». eucoc.cloud . Получено 26.08.2021 .
  44. ^ «Microsoft Azure придерживается Кодекса поведения в облаке ЕС». Блог политики ЕС . 2021-05-20 . Получено 26-08-2021 .
  45. ^ «Готовность к GDPR Кодекса поведения в облачных технологиях ЕС получила поддержку европейских органов по защите данных». ComputerWeekly.com . Получено 26.08.2021 .
  46. ^ "Пресс-релиз, 12 декабря 2017 г.". eucoc.cloud . Архивировано из оригинала 2021-08-26 . Получено 2021-08-26 .
  47. ^ «Extra Horizon присоединилась к Генеральной ассамблее Кодекса поведения ЕС в сфере облачных вычислений». www.extrahorizon.com . 2021-08-18 . Получено 2021-08-26 .
  48. ^ UpCRM (2021-06-07). "Salesforce принимает новый кодекс поведения Европейского союза в сфере облачных технологий | UpCRM Salesforce Люксембург". UpCRM | Главный партнер Salesforce Люксембург, CRM и решения для обработки данных . Получено 2021-08-26 .
  49. ^ "SAP Business Technology Platform EU Cloud CoC". SAP . Получено 2021-08-26 .
  50. ^ "ПРЕСС-РЕЛИЗ: Schellman становится новым членом, поддерживающим Кодекс поведения ЕС в сфере облачных технологий". eucoc.cloud . Получено 26.08.2021 .
  51. ^ "Генеральная ассамблея Кодекса поведения в облаке ЕС приветствует SecureAppbox в качестве нового участника". eucoc.cloud . Архивировано из оригинала 2021-08-26 . Получено 2021-08-26 .
  52. ^ "Ресурсы Кодекса поведения ЕС в облаке". TrustArc Лидер в области программного обеспечения для управления конфиденциальностью . Получено 26.08.2021 .
  53. ^ TrustArc. "TrustArc включает Кодекс поведения ЕС в облаке в платформу PrivacyCentral". Tank Town Media . Архивировано из оригинала 2021-08-26 . Получено 2021-08-26 .
  54. ^ "Workday присоединяется к Генеральной ассамблее Кодекса поведения ЕС в сфере облачных технологий". Блог Workday . Получено 26.08.2021 .
  55. ^ "EUR-Lex - CJEU C‑311/18". EUR-lex . Получено 20.08.2021 .
  56. ^ "EU Cloud Services Group Working on Post-Schrems II Data Transfer Solution". Соблюдение конфиденциальности и безопасность данных . 2020-09-17 . Получено 2021-08-26 .
  57. ^ "Кодекс защиты данных ЕС заменит правила США/ЕС по защите данных". ITEuropa . 2020-09-16 . Получено 2021-08-26 .
  58. ^ "Инициатива по передаче в третьи страны: EU Cloud CoC". eucoc.cloud . Получено 20 августа 2021 г.
Получено с "https://en.wikipedia.org/w/index.php?title=EU_Cloud_Code_of_Conduct&oldid=1235010214"