我们距离欧盟通用数据保护条例(GDPR)生效还有三年多的时间. 虽然许多组织仍然是新手或挣扎于GDPR, 最近的一个里程碑可以为隐私实践者和实现者阐明这一发展.
2021年5月, 得到了欧洲数据保护委员会(EDPB)和比利时数据保护局(DPA)的批准。, 的 欧盟云行为准则 成为 第一个被批准的事务代码 根据GDPR第40条(行为准则)及第41条(监督已批准的行为准则). 根据GDPR, 遵守经批准的行为准则可以作为证明遵守法律的一个要素. 因为这个代码是针对云行业的, 云服务提供商(CSP)可以声明遵守准则,以验证遵守并满足第28条(处理器). 用户公司还可以使用它来评估和了解云服务提供商的合规实践.
让我们来详细分析一下代码. 该代码旨在提供实际指导,并根据GDPR第28条为欧盟的处理器定义具体要求. 它涵盖了所有类型的云服务模型:SaaS、PaaS和IaaS. 它的创建是为了适应不同规模的组织,从大型到中小型澳门赌场官方下载. 组织可以声明其遵守该准则,以证明其符合GDPR.
代码的主体如下所示,每个部分针对一个特定的主题:
- 范围 描述代码的应用领域,包括预期用例和CSP可能应用的云服务. 例如, 它帮助定义范围和服务类型的云服务模型, 比如公共云, 私有云和混合云. 因为云服务模型和类型在GDPR下会有不同的责任, 在作用域状态, 该守则帮助组织厘清责任和涉及的各方(特别是在处理过程中不涉及个人资料的情况下), 它将超出范围。).
- 数据保护 描述了基于目的定界等基本原则遵守csp的实质性权利和义务, 数据传输, 安全, 审计, 责任和数据主体权利. 这是代码的主要部分,其中所有的需求将被翻译成每个子部分,例如审计权, 资料当事人的权利, Sub-processor, 等. 这一部分涵盖了从合同条款和协议开始到服务协议终止的整个服务生命周期.
对于像GDPR这样复杂的法规, 代码将自己置于实现者的位置,并为每个部分创建一系列控件. 一个完整的控制矩阵是补充在代码的末尾, 作为工作簿,帮助实现者导航所有需求: - 安全需求 描述遵循CSP必须如何确保其应用代码的云服务满足适当的技术和组织安全措施的基线. 该代码为公司提供了将其现有安全实践映射到需求的灵活性, 如ISO 27001, ISO 27018, ISO 27701, SOC 2, 云计算合规控制目录(“C5”), 等.
- 监控和遵从性 描述如何监控代码的需求, 确保csp遵守守则的规定,并可处理投诉. 由于代码的透明性和独立性,这一部分同样重要. 该准则由根据GDPR第41条批准的独立监督机构管理和监督. 该代码为每个组织的需求提供了不同的遵从性级别.
- 内部治理 描述如何管理代码, 适用和修订,包括其理事机构的角色和义务.
这是首个行业自律标准的灯塔项目,为许多行业的具体行为准则翻开了新的一页. 虽然该代码目前不适用于个人数据的国际转移, 该准则的扩展计划是最终确定第三国转移保障措施,以补充欧盟云行为准则,并根据GDPR第46条(受适当保障措施约束的转移)成为保障措施。. 看到市场利用更多的工具和选项来实现合规性和启用信任,这将是一件有趣的事情.
编者按: 参加我们的 与数据隐私专家Cat Coode在线讨论Ask Me Anything 1月24日至28日 访问我们的隐私月页面 浏览ISACA提供的新隐私资源.
作者简介: 姗姗爸爸是合规主管 & 隐私,阿里云(美洲) & EMEA). 她是一名经验丰富的合规官,在多个行业工作过. 她是一名在数据隐私方面有很强的合规专业人员, 安全, 澳门赌场官方下载风险管理, 内部审计和业务流程改进.
