《2022GDPR合规行为准则4.0版.docx》由会员分享,可在线阅读,更多相关《2022GDPR合规行为准则4.0版.docx(140页珍藏版)》请在课桌文档上搜索。
1、GDPR合规行为准则目录I. 简介1II. 背景信息3III. CSAGDPR合规行为准则的结构6IV. 分CSACoC的目标、范围、方法、假设和注释说明71 .CSACOC的目标82 .范围和方法103 .假设143.1 云客户的内部尽职调查153.2 云客户的外部尽职调查154 .说明性注释165 .词汇表176 .参考文献列表21第二部分CSA行为准则控制指南:隐私级别协议271. CSP的合规和职责声明282. CSP相关联系人及其角色323. 数据处理方式343.1 指令343.2 服务变更353.3 个人数据位置363.4 子处理者373.5 在云客户系统上安装软件393.6 数据
2、处理协议(或其他具有约束力的法律行为)403.7 通过设计和默认的设置保护数据424. 记录保存445. 数据传输456. 数据安全措施487. 监督528. 个人数据违规529. 数据转移、迁移和回传5510. 对处理的限制5611. 数据留存、归还和删除5711.1 数据留存、归还和删除策略5711.2 数据留存5711.3 为遵守特定部门的法律要求而留存数据5811.4 数据归还和/或删除5812. 与云客户的合作5913. 法律要求的披露6014. 云客户的补救措施6015. CSP保险策略62第三部分CSA行为准则治理和遵守机制631 .技术构建651.1 控制指南:PLA681.2
3、 CoC遵守机制681.3 道德准则741.4 隐私级别协议(PLA)工作组及开放认证框架(OCF)工作组章程742 .治理工作组、角色和职责742.1 PLA工作组742.2 OCF工作组742.3 云安全联盟(CSA)752.4 针对监管机构的协作和支持行动762.5 监督机构763,治理过程和相关活动863.1 控制指南:PLA的评审过程863.2 COC遵守机制的评审过程873.3 CoC认证标识的颁发和遵守声明的发布873.4 投诉管理过程883.5 持续监督过程883.6 道德准则评审过程893.7 PLA和开放认证框架工作组章程文件评审过程90附录1:隐私级别协议v4模板1附录2
4、:遵守声明模板1附录3:CSASTAR计划和开放认证框架(OCF)1附录4:道德准则1附录5:隐私级别协议工作组章程1附录6:开放认证框架工作组章程1附录7:投诉管理过程1附录8:监督/审计过程1附录9:ENlSA技术指南:安全目标1I.简介考虑到EDPB的行为准则(CoC)指南ICoC的第1部分以及提交CoC时的封面,包含了详细说明COC目的、CoC范围以及它将如何促进GDPR有效应用的“解释性声明”。数据保护合规越来越以风险为基础2。数据控制者和处理者有职责在其组织中确定并实施对所处理个人数据的适当保护级别。在这样的决定中,他们必须考虑到各种因素,如技术级别,实施成本,处理的性质、范围、背
5、景和目的,以及对自然人3权利和自由产生不同可能性和严重程度的风险。因此,云服务提供商(CSP)将负责确定所处理个人数据所需的保护级别。正是在这种情况下,CSA创建了CoC。CoC的目标是为CSP和云客户提供GDPR合规的解决方案,以及关于CSP所能提供的数据保护级别的透明性指南。COC主要是为了提供:任何规模的云客户都可以使用的一个工具,来评估不同CSP所提供服务的个人数据保护级别(从而支持知情决策)4任何规模和地点的CSP都可以使用的一个指南,可以用来遵守欧盟个人数据保护法规,并以结构化方式披露他们向客户所提供服务的个人数据保护级别0尽管CoC的直接目标受众是CSP(而不是云客户),因为只有
6、CSP才会实际提供其遵守COC的服务。然而,COC通过隐私级别协议(PLA)控制措施(控制指南:PLA),最终使CSP和云客户(以及数据主体和整个云社区)都受益。CoC的合规基于两个主要的技术部分,即“控制指南:PLA”(这是一个技术1下文第一部分第6节中包含一个词汇表,它包括本准则中使用的定义和缩写,以及那些与立法和其他参考资料有关的词汇。2例如序言部分83条,和GDPR第25,32,33,34和35条款。3 例如GDPR第24,25,32,35和39条款。4 WP29云计算指南,第2页:“所有在欧洲经济区(EEA)提供服务的云供应商应向云客户提供所有必要的信息,以正确评估采用此类服务的利弊
7、。安全性、透明度和客户的法律确定性应该是提供云计算服务的主要驱动力。”,第4页:“()依赖云计算安排的前提条件是控制者云客户进行充分的风险评估工作,包括处理数据的服务器位置以及从数据保护角度考虑风险和利益。”标准),规定了GDPR中包含的要求;以及与CoC相关的遵守机制。由于COC主要侧重于法律要求,CSA建议将该COe与CSA的其他最佳实践和认证5结合起来采用,如云控制矩阵(CCM)和安全,信任,保证和风险(STAR)认证(或STAR证明,或STAR自评估),它们围绕信息安全的技术控制和目标提供额外指导。在这种情况下,采用信息安全技术标准,如云控制矩阵或其等同物(如ISO27001,由ISO
8、27017或ISo27018支持,或AICPA可信服务标准),及其相关的认证体系(如ISTAR认证、STAR证明、STAR自评估、ISO27001或SoC2)将证明CSP已经实施了安全项目或信息安全管理体系(ISMS),充分保护消费者数据免受风险评估和数据保护影响评估(DPlA)中概述的威胁的证据。为了避免疑问:上述体系下的认证(或证明)(如ISO27001、STAR认证、SoC2证明)并不意味着自动遵守CoC。CSP仍需通过所提供的遵守机制来提交他们的服务,以实现遵从性:自评估(第三部分,第1.2.1节和第3.3.1节)或第三方评估(第三部分,第1.2.2节和第3.3.2节)。同样,遵守Co
9、C也不意味着自动获得上述任何一种认证。CoC反映了与云计算相关的GDPR要求,是CSASTAR的组成部分。如下文第3部分第1.2节所述,提交其一项或多项服务以遵守CoC的CSP将受“控制指南:PS”(第二部分)中的控制措施约束,并且必须遵守所有适用于他们的规定。否则,在监督机构对投诉进行调查(下文第3部分,第257节,以及附件7)或持续的CoC合规监测活动(下文第3部分,第2512节,以及附件8)中,可能会导致CSP被监督机构处罚。最后,需要注意的是,对CoC的任何遵守行为都不会降低CSP和云客户遵守GDPR的职责,且不影响国家监管机构的任务和权力。5为避免疑问,这里提到的认证体系不是第42条
10、规定的“认证机制”,而是与信息安全和/或云安全有关的认证体系。这些其他体系下的认证不是CoC的先决条件:相反,CSP可能也想考虑将其作为加强其信息安全实践的一种手段(这将有助于满足CoC的安全相关控制措施一见第2部分,第6项控制措施)H.背景信息作为CoC的所有者,CSA是世界领先的组织,致力于定义和提高对最佳实践的认识,以帮助确保安全的云计算环境。CSA是一个非营利性组织,其成员包括全球CSP和云安全供应商的很大一部分(超过350名成员),以及一些云客户。此外,CSA在全球范围内拥有超过9万名个人会员和85个国家和地区分会。自2013年以来,CSA一直致力于为云环境制定隐私和数据保护指南和最
11、佳实践。本准则由CSA内部的专家工作组(WG)制定,该工作组由CSP、当地监管机构和独立的安全和隐私专业人士的代表组成(“PLA工作组”,或“PLAWG)o它于2017年11月21日发布,最后一次更新于2019年5月,以反映欧洲数据保护委员会(EDPB,原第29条数据保护工作组)的最新指南,并包含对法国国家信息与自由委员会(CNlL)安全指南的参考。欧盟云服务销售隐私级别协议大纲(PLAMI)于2013年2月发布,作为一种自律协调工具,提供了一种结构化的方式来向当前和潜在客户传达CSP提供的个人数据保护级别。PLAv1不仅基于欧盟个人数据保护的强制性法律要求,而且还基于最佳实践和建议。PLAv
12、1得到了一些监管机构6的认可,并收到了积极的反馈。它曾被用来制定欧盟关于云计算相关的个人数据保护事项的进一步研究、最佳实践和COC。然而,在PLAv1发布后,PLA工作组意识到,CSP、云客户和潜在客户仍在努力识别整个欧盟个人数据保护合规的必要基线。因此,PLAT作组将这些指南更新为PLAv2,以便为云计算市场上的各种参与者提供合规工具,而不仅仅是一种透明机制。PLAv2是基于实际的、强制性的欧盟个人数据保护法律要求(95/46/EC指令及其在欧盟成员国的实施方式)。2016年5月,GDPR开始生效,并从2018年5月25日起直接适用于所有欧盟成员国。随着GDPR的引入,PLA工作组立即发现,
13、CSP,云客户和潜在的云客户需要在云环境中遵守新的法律的指导。因此,PLA工作组开发了PLAv3,这是一个反映GDPR所规定的新义务的合规工具7。6特别是,PLAV1得到了CNIL本身以及爱尔兰监管机构的认可。英国ICO和意大利Garante,以及希腊、斯洛文尼亚和加泰罗尼亚的监管机构也提供了枳极的反馈。7相关要求已被添加到PLAv2)中,以反映GDPR中规定的新职贲和义务。PLA应被视为隐私和数据保护透明度、保障和合规的实践准则。PLA的当前版本,即v4,将随着相关立法、意见、指南和主管当局的建议的发展,按要求进行更新。因此,PLAv4通过利用PLAv2的结构,在数据保护指令中规定的欧盟个人
14、数据保护法律要求及其在欧盟成员国的实施方式,以及GDPR的要求之间建立连续性。PLAv4的结构用于帮助CSP、云客户和潜在的云客户管理从旧的欧盟数据保护制度到新的欧盟数据保护制度的过渡,并有助于将GDPR正确应用于云行业。PLAv4规定了GDPR在云环境中的应用,主要涉及到以下几类要求: 个人数据的公平和透明处理。 向公众和数据主体提供的信息(根据GDPR第4(1)条的定义)。 行使数据主体的权利。 GDPR第24条和第25条提及的措施和规程以及GDPR第32条提及的确保安全处理的措施。 向监管机构(根据GDPR第4(21)条的定义)通报个人数据违规情况,并向数据主体通报此类个人数据违规情况;
15、及 将个人数据转移到第三国。PLA仅4进一步寻求解决云计算领域在隐私和数据保护方面的几个关键特点,包括面临的具体问题,如8: 资源共享问题,由于使用共享系统和基础设施来处理与多个不同的云客户和数据主体类型相关的个人数据,可能出现潜在的冲突。 共享职责模式,云引入了一种新的模式,在CSP和云客户之间分配和分派信息安全职责。有时这会在各方之间造成混淆,特别是在“将某些安全控制措施实施的职责转嫁给CSP”和“保持云客户自身的职责与义务”之间的区别。 执法要求,位于多个司法管辖区的CSP可能会发现自己被法律要求向公共见WP29云计算意见,其中强调了许多这样的问题。机构披露与云客户有关的个人数据,这可能
16、会违反欧盟数据保护法。 复杂的外包链,CSP可能会雇用位于全球不同地区的众多子处理者,从而形成难以管理的合同安排,并且通常不会为云客户提供足够的手段来反对以这种方式使用其数据(包括不向这些云客户提供足够的透明度)。 处理数据主体请求的障碍,在这种情况下,云服务可能没有得到适当的配置来,例如:允许删除请求、允许限制处理或满足及时和适当的转移请求。 对提供云服务的条款进行修改,这可能会影响到在提供服务期间处理云客户数据的条件。 缺乏隔离,CSP(由于他们对其代为处理的多个云客户的数据的控制)有可能决定将其代为处理的不同云客户的数据关联起来,用于可能未经这些云客户授权的其他目的。CSP对数据进行进一
17、步未经授权的处理,例如使用云客户数据来进一步开发分析/定制算法或用于程序化广告目的。向云客户和CSP分配数据保护角色的复杂度,考虑到CSP可能开展的各种类型的活动(其中一些可能是作为处理者,另一些可能是作为控制者)以及欧盟委员会最近关于联合控制者的判例。供应商锁定,云客户可能会发现自己在CSP之间切换的能力受到限制,原因是(例如)缺乏确保个人数据在CSP服务之间转移的手段。此外,PLAv4包含一些机制,使GDPR第41(1)条提及的机构能够对承诺应用该协议的CSP遵守其规定的情况进行强制性监督,但不影响GDPR第55或56条规定的主管监管机构的任务和权力。正如下文第三部分第2.1节所述,PLA
18、工作组现在和以往都负责定义、批准和更新PLAv3的变更,它代表CoC的基本技术部分,确定相关的欧盟数据保护合规要求并定义条款/控制,以管理CSP对这些要求的合规(见下文第三部分第1.1节)。PLA工作组由CSP,当地监管机构以及独立的安全和隐私专业人士的代表组成,他们都是云计算界的重要利益相关者,因此能够对COC中技术部分的结构和内容进行评判。此外,按照CSA开发的任何研究成果的惯例,COC在CSA的网站上为期30天公开征求反馈和意见,在此期间,任何感兴趣的个人都可以提供被认为相关的意见或见解。CoC的公开同行评审过程已向整个CSA社区宣布(CSA的Linkedln小组、CSA的分会网络、CS
19、A公司成员和相关CSA委员会)。由于这些原因,PLAv4(CoC第2部分),连同本准则的其余部分,包括其治理和遵守机制(CoC第3部分),符合GDPR第40条规定的COC“草案”。111. CSAGDPR合规行为准则的结构CoC分为三个部分: CoC的第一部分描述了其目标、范围、方法和假设,并提供了解释性说明。 COC的第二部分包含“控制指南:PS”及其实质性条款,由PLA工作组制定。 COC的第三部分概述了CoC的治理结构和遵守机制。第一部分CSACoC的目标、范围、方法、假设和注释说明1.CSACOC的目标1 .本准则可被CSP遵守来提供一个或多个服务,也可被遵守此规范的CSP作为云服务协
20、议的附录引用或使用,以描述CSP将提供的隐私保护级别。虽然服务级别协议(SLAS)通常用于提供有关服务性能的度量和其他信息,但CoC将提供信息隐私和个人数据9保护的实践。2 .遵守CoC,CSP必须实施和描述客观上足以满足CoC的每一项控制的技术和组织措施(第2部分)。这使得CSP能够描述其承诺维护的隐私和数据保护级别,涉及开展的个人数据处理相关活动,CSP向云客户提供的与CoC保持一致的服务Q3 .在全球范围内采用COC可以促进一个强大的全球行业标准,加强协调并促进对适用的欧盟数据保护法的遵守。事实上,CoC寻求建立一个基于GDPR的CSP合规标准,该标准可在国际上适用(包括欧盟境外,因为并
21、不局限位于欧盟的CSP遵守)。从这个意义上说,COC的批准可能会使它成为全球CSP遵循的数据保护合规基准一就像它所依据的GDPR一样,通常被认为是数据保护合规的坚实国际基线一使欧盟境内外的云客户和数据主体受益。4 .此外,COC的批准将为云计算领域数据保护实践带来有意义的共同监管,市场(以隐私级别协议工作组及其参与者的形式)和欧盟监管机构(在批准过程中)都会提供意见。5 .最终,CoC提供以下内容:任何规模的云客户和潜在云客户,都可以使用一个工具来评估不同CSP提供的与他们服务相关的个人数据保护级别(从而支持明智的决策);”和任何规模的CSP可以得到指导,来实现对欧盟个人数据保护立法的遵守,9
22、“个人数据”指的是任何已识别或可识别的自然人(“数据主体”)相关的信息;一个可识别的自然人是一个能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。GDPR第4(1)条。10处理”是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为,不论该操作行为是否采取收集、记录、组织、构造、存储、调整、变更、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等臼动化方式。GDPR第4(2)条。n所有在欧洲经济区提供服务的云提供商
23、应向云客户提供所有必要的信息,以正确评估采用此类服务的利弊。客户的安全性、透明度和法律确定性应该是提供云计算服务背后的关键驱动因素。”WP29云计算意见,第2页;“依赖云计算安排的先决条件是控制者【云客户进行充分的风险评估,包括处理数据的服务器的位置.,以及从数据保护角度考虑的风险和收益。第4页同上。并以结构化的方式披露其向云客户提供服务相关的个人数据保护级别。6. COC寻求通过以下方式为潜在和当前的云客户以及CSP、数据主体和整个云计算社区创造额外的价值: 以有机的、结构化的和系统化的方式确定CSP在处理个人数据时必须遵守的所有GDPR相关条款; 解释GDPR条款及其应用在计算环境中的实际
24、相关性,也考虑到WP29/EDPB在这方面提供的澄清,以及欧盟监管机构就该主题提供的指导; 通过增加基于CSA、欧盟网络安全局(ENISA)、国际标准化组织(ISO)标准(1ISO27001、ISO27017、ISO27018)制定的指南和其他最佳实践定义的控制措施,如CSP需要识别和提供其信息安全官员的联系方式(第2部分第2.5项控制措施),定义CSP将其意识到的个人数据违规事件通知云客户的时间表(第2部分第8项控制措施),在违反“控制指南:PLA”义务的情况下,为云客户提供有效和业务友好的补救措施(第2部分第14项控制措施),购买数据保护合规保险,涵盖子处理者造成的违规,以及网络保险,也涵
25、盖可能发生的安全和个人数据违规(第2部分第15项控制措施)来提高云计算中数据保护和隐私的门槛; 通过制定披露策略,并要求遵守CoC要求的CSP在提交自评估/第三方评估时,提供最低限度的信息和证据,以证明其合规,从而强调透明度的必要性,并实现遵守问责制原则。此外,在要求此类披露时,与CSP相关的云客户获得必要信息,以遵守自身对数据主体的透明度和问责义务; 允许公众对遵守COC的情况进行监督,要求合规的CSP在CSASTAR注册中心内披露其COC的自评估/第三方评估报告(包括,例如,具体细节说明CSP如何理解其满足CoC的最低要求),通过COC的投诉管理过程(最终如果发现投诉有效,可能导致暂停或撤
26、销向被投诉CSP提供的合规标识)在实践中,对任何偏离这些提交文件情况进行检查。通过这种方式,COC超越了GDPR的要求,并为遵守规范的CSP的数据保护实践提供了更高的标准。7. “控制指南:PLAw反映了云中相关的GDPR要求。它还重申并加强了GDPR的要求,特别是在涉及行使数据主体权利的情况下一例如,见第2部分第3.5.6项控制措施(关于CSP需要通过合同义务承诺协助云客户响应数据主体请求),第2部分第9项控制措施(关于CSP需要确保数据的可转移,包括以结构化、常用的、机器可读的、和可互操作的格式的方式直接向数据主体传输个人数据的能力)和第2部分第10项控制措施(关于CSP需要向云客户解释它
27、如何允许对个人数据处理的限制)。此外,通过增加基于CSA、ENlSA、ISO标准和其他最佳实践制定的控制措施,提高云计算中数据保护和隐私的门槛一特别是在第2部分第6项控制措施中,COC通过CSA云控制矩阵为CSP实施技术和组织安全措施提供了坚实的基础。该矩阵专门为指导CSP提供基本安全原则而设计,通过13个域的控制框架,可以详细了解关键的安全概念和原则,与其他行业认可的安全标准、法规和控制框架保持着定制关系。“控制指南:PLA”反映了GDPR的所有要求,并通过为符合规范的CSP的数据保护实践提供更高的标准而超越了GDPRO8. COC通过“控制指南:PLA,不仅寻求提升遵守规范的CSP的合法行
28、为,也寻求促进道德行为。COC的要求包括CSP的义务,虽然适用的法律没有严格要求,但这些义务对于保证CSP和云客户之间关系的公正平衡是必要的,最终目的是确保数据主体的权利能够得到有效尊重。例如:要求CSP在云客户合同终止时向云客户提供过渡期(由于反对变更个人数据处理位置或子处理者),在此期间CSP将继续向其提供服务,因为云客户在寻找替代解决方案。本要求为了防止因云客户行使异议/终止权而突然被CSP终止提供服务时可能产生对云客户以及相关数据主体的损害(见第2部分第3.2.3项控制措施和第3.3.5项控制措施)。另一个例子是第2部分第14项控制措施,它要求CSP在自身违反“控制指南:PLA”规定的
29、义务时向云客户提供补救措施,从而确保对云客户的赔偿,防止纠纷的发生和升级。9. 值得一提的是,术语PLA的使用意义在于,遵守COC的隐私和数据保护方法不是“一刀切”;相反,在合规方面有不同程度的保证(例如针对不同的安全措施,或不同的技术手段来协助处理数据主体的请求),这些保证可能由遵守规范的CSP提供,这些提供商仍然满足CoC的要求。因此,通过与术语“服务级别协议”的类比,“隐私级别”被认为是适当的。2.范围和方法CoC只处理企业对企业(B2B)场景,将云客户视为公司而不是个人(与企业对消费者,或B2C的场景相反)。CoC针对CSP在B2B环境中提供的具体服务一CSP可能提供多种服务,其中一些
30、符合CoC的条款,而另一些则不符合。CSP提供的服务通常属于以下三个类别中的一个或多个: 软件即服务(SaaS):SaaSCSP通过互联网提供软件应用。SaaS的例子包括电子邮件服务、人力资源和客户关系管理应用(HRM/HRIS、CRM)在线备份服务等。 平台即服务(PaaS):PaaSCSP通过互联网提供开发工具。例如,通过PaaS提供的工具可以用来开发SaaS、电子商务平台等。 基础设施即服务(IaaS):IaaSCSP按需通过互联网提供存储、网络和计算服务。CoC涵盖的与服务相关的处理活动是由CSP执行的,CSP代表云客户作为处理者。这通常反映两种主要情形之一: 云客户作为控制者,CSP
31、代表他们作为处理者; 云客户作为处理者(代表另一方),CSP代表他们作为子处理者。无论CSP是作为处理者还是子处理者,它都必须遵守CoC中规定的控制措施,以便让云客户(作为控制者或处理者本身)在设计任何可能包括CSP服务的产品时考虑这些控制措施。作为本准则的发起者,PLA工作组认识到,可能存在更为复杂/混合的情况(例如,对于单一服务,CSP作为某些活动的控制者),这些情况目前不在CoC的范围内。COC考虑了欧盟监管机构和其他有关(欧盟和非欧盟)机构发布的各种相关意见和指南(见下文第6节)。因此,本准则不仅基于适用的欧盟个人数据保护框架的强制性法律条款,还反映了欧盟监管当局的相关解释以及相关机构
32、和其他团体制定的相关最佳实践。COC旨在成为一个横向工具,用于横跨不同部门和领域实现/评估遵守欧盟个人数据保护立法的情况。PLA工作组了解欧盟成员国在GDPR2基础上提供豁免或减损、更具体的规则和附加要求的可能性,以及适用于特定服务的欧盟个人数据保护条款的存在(例如,电子隐私指令、电子隐私法规和NlS指令)。因此,PLA工作组建议CoC的用户识别可能的成员国和/或特定领域的附加要求。CoC的编写还考虑了云计算筛选产业组在COCI3上的工作、欧洲云基础设施服务提供商(ClSPE)14和云计算问责项目15的工作。COC反映了与云领域相关的GDPR要求,并且遵循GDPR的“地域范围”,“控口见GDP
33、R第37(4)条和第九章“与具体处理情况有关的规定:13 更多信息请访问:https:/ec.europa.eu/digital-single-market/en/cloud-select-industry-group-code-conduct=14 更多信息请访问:https:/cispe.doud/.)15 更多信息请访问:http:/www.a4cloud.eun另请参见:http:/cloudaccountability.euo制指南:PLA”超出了欧盟范围16。此外,COC还对每个定义的控制措施重要性提供了实际解释(第2部分),强调了实施每个控制措施背后的实际意义(通过适当的例子),
34、超出了对强制性要求的遵守(特别是没有法律要求的控制措施)。CoC的目标受众是CSP(因为只有CSP可以提交其服务以遵守CoC),但CoC也可以作为云计算和欧盟个人数据保护立法领域其他利益相关者的有用工具,如云客户和潜在的云客户,云审计人员和云代理商。COC是与一个由相关参与方组成的跨职能的工作组合作编写的,并向云计算社区广泛发布寻求意见。这个过程确保了CoC在它的每个控制中都考虑到了云计算领域的细微差别。此外,CoC还考虑到中小型企业在数据保护领域的需求一特别是需要清楚了解GDPR如何适用于他们,以便他们能够有效地分配资源以实现合规。从这个意义上说,CoC进一步规定了控制措施,以防止GDPR合
35、规(考虑到GDPR的所有内在职责和义务,合规需要大量的时间、金钱和精力投入)成为这些企业的竞争劣势:第2部分第6项控制措施中有一个例子,它依赖于CSA云控制矩阵中制定的详细控制措施,使中小企业能够清楚地了解他们应实施的不同类型和级别的安全措施。所期望的最终结果是COC为中小企业提供易于理解的指南,使他们能够有效地遵守适用的数据保护要求,并与更大的CSP公平竞争一简而言之,COC寻求在云计算领域为所有规模的CSP开发出一致的数据保护方法。目前,CoC并不是为了满足GDPR第46(2)(e)条款的要求一即作为适当的保障措施,在获得批准后可以作为将个人数据从欧盟境内转移到欧盟境外的法律依据(如果接收
36、国不在充分性认定的范围内)。然而CSA目前正在审议用于满足这些要求的COC附录。CNIL被确定为CoC的主管监管机构(ComPSA)。这是根据以下因素决定的: 该倡议由CNIL制定。CNIL已经制定了与CoC范围相关的若干准则和举措,包括CNIL云建议和CNIL安全指南。此外,最重要的是,CNIL从PLA的第一个版本开始就一直关注COC的进展,并在CSA发起的非正式协商过程中对COC提供了广泛的反馈。结果表明,CNIL是COmPSA的自然选择,有权决定CoC的批准。也是因为ComPSA的另一个潜在候选人一ICO(考虑到在苏格兰CSA附属机构的存在)一可能会因英国退出欧盟而受到损害。 处理活动/
37、部门最为密集的地点。法国是欧洲许多CSP的所在地,其中包见GDPR第3条:2.本条例适用于如下相关活动中的个人数据处理,即使数据控制者或处理者不在欧盟设立:a)为欧盟境内的数据主体提供商品或服务,无论此项商品或服务是否要求数据主体支付对价:或(b)对发生在欧盟境内的数据主体的活动进行持续监视。括约10家CSA企业会员的总部或子公司落户法国。 受影响的数据主体的最为密集的地点。考虑到对可能通过CSP提供的服务处理其个人数据的数据主体类别没有限制,且法国是欧盟人口最多的国家之一,因此法国再次被视为符合这一标准。鉴于CoC寻求适用于任何位置的,希望遵守其要求的所有类型的CSP,它的范围是跨越国界的,
38、以下所有其他欧盟监管机构都可能被视为相关的监管机构: 奥地利数据保护局; 比利时数据保护局; 保加利亚个人数据保护委员会; 克罗地亚个人数据保护局; 塞浦路斯个人数据保护专员; 捷克个人数据保护办公室; 丹麦数据网; 爱沙尼亚数据保护监察局;(安第斯监察局) 芬兰数据保护监察办公室; 德国联邦数据保护和信息自由委员会(以及组成德国的几个州的监管机构17); 希腊数据保护局; 匈牙利国家数据保护和信息自由局; 爱尔兰数据保护委员会; 意大利数据保护监管机构; 拉脱维亚国家数据检查局;17这些机构的名单可在以下网站上找到:https:WW.datenschutzwiki.de/Aufsichtsb
39、eh%C3%B6rden_und_Landesdatenschutzbeauftragte 立陶宛国家数据保护监察局; 卢森堡国家数据保护委员会; 马耳他信息和数据保护专员办公室; 荷兰个人数据管理局; 波兰个人数据保护办公室; 葡萄牙国家数据保护委员会; 罗马尼亚个人数据处理国家监督局; 斯洛伐克个人数据保护办公室; 斯洛文尼亚信息委员会; 西班牙数据保护局; 瑞典的数据检查机构。3.假设在签订提供云服务的合同之前,或当此类合同需要根据GDPR要求进行评审时,建议当前和潜在的云客户分别进行内部和外部尽职调查评估。例如:可以利用内部尽职调查来识别可能伴随或阻止使用云服务的限制和约束(例如,对于
40、实体希望在云中处理的数据类型,云是事实上可行的解决方案吗?)o外部尽职调查确定提议的云提供商的产品/服务是否满足潜在云客户的需求和合规义务。它可以帮助评估CSP提供的个人数据保护级别。例如,提议的CSP提供的服务是否提供了公司所需的隐私和数据保护级别以及适用的欧盟法律的合规级别(无论该级别是由公司自己决定,还是因为适用法律要求)?18有关此问题的更多信息,请参阅CSA安全指南。3.1 云客户的内部尽职调查作为内部尽职调查的一部分,打算将个人数据移动到云端的实体可能会考虑以下事项:1 .定义其安全性、数据保护和合规要求。2 .识别哪些数据/过程/服务需要移动到云端。3 .评审其内部安全和隐私/数
41、据保护策略以及对其使用个人数据的其他限制,如原有合同、适用的法律法规、指南和最佳实践。4 .分析和评估风险(例如,在GDPR第35条要求的范围内执行数据保护影响分析9)。5 .识别哪些安全控制措施和认证是必要的或有用的,以便充分保护其员工或云客户在云上处理的个人数据。6 .定义实施安全控制措施的职责和任务(即,了解哪些安全控制措施由组织直接管理,哪些安全控制措施由CSP负责)。7 .确定实体应监视其服务提供商的哪些活动以及如何监视(例如,是否需要现场访问,或者依赖第三方的认证或证明是否足够?)。3.2 云客户的外部尽职调查云客户还可以考虑对提议的CSP的实际工作进行尽职调查评估2。这应包括:1
42、 .使用“控制指南:PLA”评估CSP提供的服务一包括参与的(分)包商/子处理者,是否满足云客户关于隐私和数据保护的要求。19有关实用指南,请参阅WP29数据保护影响评估指南。20请注意,根据GDPR的职贡原则,始终建议对CSP进行尽职调查,无论他们的服务是否遵守C。CCoC云客户在任何情况下都对将个人数据委托给CSP承担最终职责。这意味着云客户必须确保具体的CSP适合开展云客户希望委托给他们的处理活动(在安全性、个人数据传输、分包商参与等方面).为CSP提供评估方案的相关机构也采用了这种方法一例如加拿大网络安全中心的CSPlT安全评估计划(说明见:https:/www.cyber.gc.ca
43、/sites/default/files/publications/ITSE.50.060_0.pdf):“注意,当我们评审CSP的过程和现有控制措施时,您的组织负责确定您的安全要求,并确保您选择SJCSP能够满足这些要求。您可以使用我们的评估结果(例如总结报告)来帮助您做出决策Z2 .根据独立的第三方评估确定CSP是否持有任何相关的认证或证明21。3 .了解是否以及如何知晓和监视CSP实施的安全控制措施和实践。4.说明性注释一个CSP可以为云客户提供多种服务。该规范并不适用于CSP本身(作为一个实体),而适用于它提供的一项或多项服务。因此,CSP有可能在其提供的多项服务中满足本准则的要求,但
44、仍提供本指南未涵盖的其它服务。此外,此规范可能会留有空间,或指向其它文件,以便进一步澄清将要提供的云服务的特定主题和时间框架,以及CSP处理个人数据的范围、方式和目的,以及将要处理的个人数据的类型。应收集此类信息并与云客户达成一致。22尽管CSP基于本指南所承担的义务独立于其对云客户承担的义务(例如,在与这些云客户签署的数据处理协议中),但CSP可以选择将本指南纳入其提供给云客户的合同文件中。在这种情况下,为了避免重复,也可以在主服务协议、服务级别协议(SLA)或云服务合同的其他文件中的适当条款中对其进行引用。例如,服务级别协议通常包含有关数据安全性的信息。文档之间交叉引用的使用旨在简化云客户
45、和CSP的工作(而不是误导云客户)。清晰化和透明度至关重要。CoC第二部分中的控制措施要求CSP证明它向潜在的云客户提供特定类型的信息,并遵守那些为云客户利益考虑的要求。这不会改变这样一个事实,即基于COC创建的关系是在CSA(作为Coe的所有者)和CSP(作为Ce)C成员)之间一CoC不会在CSP和云客户见GDPR第40条及以下。WP29云计算意见,第3.4.2节,第W页。23除非CSP决定将CoC纳入与云客户的合同关系中,如前段所述。之间创建关系。然而,从这个意义上看,CoC第二部分中的控制措施是以类似于B2B领域的第三方受益人合同的方式建立的,根据该合同,CSP向CSA承诺遵守为云客户和
46、最终数据主体(第三方受益人)的利益而设计的义务。必须强调的是,这一结构旨在确保云领域的数据主体得到更大的保护,符合GDPR和欧盟数据保护法律框架。CSP对实际和潜在云客户的透明性和职责义务的承诺越大,CSP呈现给云客户的合规姿态的意识就越强,而这反过来又会创造必要的条件,使云客户能够对其负责的个人数据提供更高级别的保护(从而确保对这些个人数据相关的数据主体亦提供保护)。5.词汇表有关本准则(CoC)中使用的法律和其他参考资料的定义,请参考下文第6节。有关本准则中技术部分和管理小组的定义,请参考下文第3部分第1节。“遵守标识”是指符合COC的标识,因其寻求符合的特定目标而授予CSP。正如第3部分
47、进一步说明的那样,遵守标识有一定的有效期,过期之后必须更新。根据CSP使用的遵守机制,遵守标识可以有两种类型:自评估遵守标识,或第三方评估遵守标识。“自动化决策”是指完全基于自动处理的决策,包括通过画像的方式,对相关数据主体产生法律效力或类似的重大影响。“CJEU”指欧盟法院。“云客户”指由CSP提供服务的B2B客户(即:公司、组织或法人,而非消费者)。“CNIL”指法国国家信息与自由委员会,为法国监管机构。CompSA指COC的主要监管机构,CNIL,拥有GDPR第55条规定的权限。“相关监管机构”是指关注个人数据处理的监管机构,因为(a)控制者或处理者设立在该监管机构的成员国境内,(b)居住在该监管机构的成员国的数据主体受到或可能受到处理的重大影响,或(C)该监管机构已收到投诉。“同意(ConSent)是指数据主体自主给予的、具体的、知情的和明确的
