Кодекс поведения CISPE по защите данных
Обзор
CISPE (Ассоциация европейских поставщиков облачных сервисов) – это объединение лидеров в сфере облачных вычислений, обслуживающих миллионы клиентов по всей Европе. Кодекс поведения CISPE в области защиты данных (Кодекс CISPE) – это первый панъевропейский кодекс поведения в области защиты данных для поставщиков сервисов облачной инфраструктуры, принятый в соответствии со Статьей 40 Общего регламента защиты персональных данных (General Data Protection Regulation, GDPR) ЕС. Кодекс утвержден Европейским советом по защите данных (EDPB) в мае 2021 года и официально принят Органом по надзору за соблюдением законодательства о защите персональных данных Франции (CNIL), действующим в качестве ведущей службы по надзору, в июне 2021 года.
Кодекс CISPE гарантирует организациям, что их поставщики сервисов облачной инфраструктуры выполняют требования в отношении обработки данных в соответствии с GDPR. Это дает облачным клиентам дополнительную уверенность в том, что они могут выбрать сервисы, прошедшие независимую проверку на соответствие требованиям GDPR.
В соответствии с Кодексом CISPE, помимо выполнения требований GDPR, необходимо, чтобы поставщики сервисов облачной инфраструктуры предоставили клиентам возможность выбора сервисов, которые хранят и обрабатывают все данные клиентов исключительно в пределах ЕЭЗ. Поставщики сервисов облачной инфраструктуры обязаны подтвердить, что они не получают доступ к данным клиентов (кроме случаев, когда это необходимо для предоставления и поддержки оговоренных услуг). В частности, поставщики сервисов облачной инфраструктуры должны подтвердить, что они не используют данные в собственных целях, в том числе для анализа, профилирования данных или целевого маркетинга. Институт EY CertifyPoint (EYCP) провел независимую сертификацию сервисов AWS на соответствие Кодексу CISPE. EYCP стал первым контрольным органом, аккредитованным CNIL для проверки соответствия поставщика облачной инфраструктуры Кодексу CISPE.
AWS поддерживает больше стандартов безопасности и сертификатов соответствия, чем любой другой поставщик облачных услуг, и постоянно анализирует потребности клиентов по мере развития нормативов. Кодекс CISPE дает клиентам дополнительную уверенность в том, что облачные сервисы AWS работают в соответствии с GDPR и отвечают актуальным требованиям.
Вопросы и ответы
-
Что такое Кодекс поведения CISPE в области защиты данных (Кодекс CISPE) GDPR?
Кодекс поведения европейских поставщиков сервисов облачной инфраструктуры в области защиты данных (Кодекс CISPE) – это первый панъевропейский кодекс поведения в области защиты данных для поставщиков сервисов облачной инфраструктуры, принятый в соответствии со Статьей 40 Общего регламента защиты персональных данных (General Data Protection Regulation, GDPR) ЕС. Кодекс утвержден Европейским советом по защите данных (EDPB) в мае 2021 года и официально принят Органом по надзору за соблюдением законодательства о защите персональных данных Франции (CNIL) в июне 2021 года.
-
Почему он важен для клиентов?
Кодекс CISPE гарантирует организациям, что их поставщики сервисов облачной инфраструктуры выполняют требования в отношении обработки данных в соответствии с GDPR. Это дает облачным клиентам дополнительную уверенность в том, что они могут выбрать сервисы, прошедшие независимую проверку на соответствие требованиям GDPR.
-
Как Кодекс CISPE помогает клиентам соответствовать требованиям GDPR?
Соответствие AWS Кодексу CISPE дает клиентам дополнительные гарантии в том, что компания AWS внедрила юридические и операционные меры, которые отвечают указанным в статье №28 GDPR требованиям к оператору, осуществляющему обработку данных. Проверку соответствия AWS Кодексу CISPE провел институт EY CertifyPoint, внешний аудитор, аккредитованный CNIL как контрольный орган.
-
Каким образом сертификация AWS по Кодексу CISPE обеспечивает прозрачность информации о том, где хранятся и обрабатываются данные, и дает клиентам больший контроль?
Помимо требований GDPR в соответствии с Кодексом CISPE необходимо, чтобы поставщики сервисов облачной инфраструктуры предоставили клиентам возможность хранения и обработки данных в пределах ЕЭЗ. Поставщики сервисов облачной инфраструктуры обязаны подтвердить, что они не получают доступ к данным клиентов (кроме случаев, когда это необходимо для предоставления и поддержки оговоренных услуг). В частности, не используют данные в собственных целях, в том числе для анализа, профилирования данных или целевого маркетинга. -
Почему AWS объявляет сервисы соответствующими Кодексу CISPE?
Кодекс CISPE позволяет клиентам с уверенностью выбирать облачную инфраструктуру, которая обеспечивает работу в соответствии с GDPR. Кодекс CISPE гарантирует организациям, что их поставщики сервисов облачной инфраструктуры выполняют требования в отношении обработки данных в соответствии с GDPR. Это дает облачным клиентам дополнительную уверенность в том, что они могут выбрать облачные сервисы, прошедшие независимую проверку на соответствие требованиям GDPR. AWS объявляет о соответствии сервисов Кодексу CISPE, так как благодаря этому предлагает клиентам дополнительные гарантии. Кодекс CISPE является первым панъевропейским кодексом поведения в области защиты данных для поставщиков сервисов облачной инфраструктуры, предложен Европейским советом по защите данных и одобрен Органом по надзору за соблюдением законодательства о защите персональных данных Франции (CNIL), ведущего органа по вопросам защиты данных. -
Имеет ли для меня как для клиента значение соответствие требованиям Кодекса CISPE, если я не работаю с персональными данными?
Да, AWS поддерживает высокий уровень защиты данных и средств контроля конфиденциальности, установленный Кодексом CISPE, по отношению ко всему клиентскому контенту. -
Кто выступает независимым контрольным органом?
Институт EY CertifyPoint (EYCP) провел независимую сертификацию сервисов AWS на соответствие Кодексу CISPE. EYCP стал первым контрольным органом, аккредитованным CNIL для проверки соответствия поставщика облачной инфраструктуры Кодексу CISPE. Позже CNIL аккредитовал несколько других контрольных органов, включая Bureau Veritas и LNE. Все они являются международно признанными независимыми аудиторами и сертификационными органами, у которых есть подтвержденный опыт проверки соответствия компаний требованиям по защите данных.
-
Сколько сервисов AWS соответствуют требованиям Кодекса CISPE?
Сервисы, заявленные как соответствующие Кодексу CISPE, регистрируются в Публичном реестре CISPE с пометкой «Контролируемое соблюдение». Проверку соответствия этих сервисов AWS требованиям Кодекса CISPE выполнил EY CertifyPoint – независимый контрольный орган с аккредитацией CNIL. Список сервисов AWS, на которые распространяется Кодекс CISPE, также можно найти на странице Сервисы AWS в программе обеспечения соответствия требованиям.
-
Планируете ли вы подтверждать соответствие сервисов Кодексу поведения ЕС в сфере облачных технологий?
AWS поддерживает больше стандартов безопасности и сертификатов соответствия, чем любой другой поставщик облачных услуг, и постоянно анализирует потребности клиентов по мере развития норм. Кодекс CISPE позволяет клиентам с уверенностью выбирать облачную инфраструктуру, которая обеспечивает работу в соответствии с GDPR и отвечает актуальным требованиям.Кодекс поведения ЕС в сфере облачных технологий, однако, представляет собой иную инициативу, принципы и подход которой аналогичны Кодексу CISPE. Компания AWS считает, что Кодекс CISPE является отличным инструментом для подтверждения соответствия требованиям GDPR в соответствии с ожиданиями клиентов, но, тем не менее, мы будем по-прежнему анализировать их потребности по мере развития нормативно-правовой базы.