Перейти до вмісту

Кодекс поведінки в хмарі

Матеріал з Вікіпедії — вільної енциклопедії.

Ко́декс поведі́нки в хма́рі (скорочено «EU Cloud CoC », також відомий під розширеною назвою «Європейський кодекс поведінки щодо захисту даних для постачальників хмарних послуг») — транснаціональний кодекс поведінки[en] створений відповідно до статті 40 європейського Загального регламенту захисту даних (GDPR).[1]

Кодекс визначає чіткі вимоги до постачальників хмарних послуг (CSP) щодо виконання статті 28 GDPR[2] та всіх пов’язаних із нею статей, які охоплюють діяльність з обробки кожного типу персональних даних.[3]

Охоплюючи всі рівні хмарних послуг (включаючи, але не обмежуючись IaaS, PaaS і SaaS),[4] кодекс дозволяє постачальникам хмарних сервісів демонструвати відповідність GDPR у своїй ролі обробників даних, що контролюється акредитованим органом моніторингу,[5] як цього вимагає стаття 41 GDPR.[6]

Історія

[ред. | ред. код]

Робота над кодексом почалася в 2012 році, коли колишня віцепрезидентка Європейської комісії Нілі Крус запустила Європейську хмарну стратегію.[7] У цьому контексті була створена спеціальна робоча група із завданням розробити хмарний кодекс поведінки відповідно до Директиви про захист даних.

Однією з головних цілей розробки такого кодексу було підвищення довіри та розширення впровадження хмарних обчислень у Європейському Союзі.[8] Перший проєкт, розроблений робочою групою, було передано на її першу оцінку в січні 2015 року, яку потім здійснила Робоча група зі статті 29[en].[9]

Із запровадженням GDPR кодекс необхідно було відповідним чином адаптувати, і до 2017 року[10] Європейська комісія повністю передала проєкт галузі.[11]

Ще в 2017 році шість компаній, які вийшли з цієї робочої групи (Alibaba Cloud[en], Fabasoft[en], IBM, Oracle, Salesforce і SAP), заснували генеральну асамблею EU Cloud CoC і призначили SCOPE Europe її органом моніторингу та секретаріатом.[12][13]

Після кількох обмінів інформацією з наглядовими органами та відповідних переглядів,[14] остаточну версію кодексу було подано до Бельгійського органу із захисту даних для затвердження в 2019 році.[14] Відповідно до часових позначок версій кодексу, опублікованих на вебсайті ініціативи,[14] кодекс розвивався далі після подання та до його затвердження в травні 2021 року. Очікується така продовжена розробка кодексів поведінки відповідно до Рекомендацій 1/2019 Європейської ради із захисту даних щодо кодексів поведінки та органів моніторингу відповідно до Регламенту 2016/679.[15]

Кодекс було схвалено Бельгійським органом із захисту даних 20 травня 2021 р.[16] після позитивного висновку, виданого Європейською радою із захисту даних.[17]

Обсяг і структура

[ред. | ред. код]

Кодекс дозволяє CSP доводити та демонструвати відповідність у межах статті 28 GDPR та всіх пов’язаних із нею статей. Таким чином, цей кодекс включає зобов’язання CSP щодо захисту даних під час обробки будь-яких персональних даних, і його вимоги застосовуються до всіх хмарних пропозицій(включаючи, але не обмежуючись IaaS, PaaS, SaaS).[18][19]

Є п’ять розділів, які разом складають основну структуру кодекс, а саме: Сфера застосування, Захист даних, Вимоги безпеки, Моніторинг і відповідність і Внутрішнє управління.[20]

Крім основного тексту, кодекс супроводжується каталогом засобів контролю, який був розроблений для відображення вимог кодексу до елементів, які підлягають перевірці, «Контролю» та до всіх відповідних положень GDPR. Крім того, каталог елементів керування також забезпечує відповідність відповідним міжнародним стандартам (таким як ISO 27001, ISO 27017, SOC 2 і BSI C5).[21]

Організаційна структура

[ред. | ред. код]

Організаційна структура кодексу описана в розділі внутрішнього управління, який описує правила та процедури, що застосовуються для управління кодексом. Згаданий розділ викладає організаційну структуру самого кодексу, а також його органів, а саме Генеральної асамблеї,[22] Наглядової ради та Секретаріату.[20]

Спеціальний моніторинговий орган

[ред. | ред. код]

Загальний регламент про захист даних вимагає незалежного моніторингового органу,[23] щоб гарантувати належне впровадження його положень.

У травні 2021 року SCOPE Europe був офіційно акредитований Бельгійським органом із захисту даних як спеціальний моніторинговий орган цього кодексу.

Відповідно до GDPR, моніторинговий орган несе відповідальність за проведення постійної належної перевірки. Згідно з цим кодексом, окрім початкової оцінки для відповідності кодексу, CSP щорічно переглядаються.

Додаткові оцінки також можуть бути викликані обґрунтованими скаргами, повідомленнями в ЗМІ, новими законодавчими актами, публікаціями та рекомендаціями органів із захисту даних та будь-якими іншими відповідними подіями, які потенційно можуть вплинути на дотримання кодексу.

Постачальник послуг може обрати три рівні відповідності,[24] заявивши про прихильність до цього кодексу. Ці рівні стосуються виключно типу доказів, які підлягають розгляду контролюючим органом. Тим не менш, кожен із цих рівнів вимагає дотримання всіх вимог кодексу.

Членство та прихильники

[ред. | ред. код]

Членство в кодексі відкрите для будь-якого CSP, якщо він погоджується з підходом і принципами, встановленими в кодексі. У зв’язку з цим цей кодекс пропонує два основні варіанти членства: перший призначений для CSP, а другий охоплює будь-яку організацію, яка не є CSP і бажає приєднатися до ініціативи як прихильник.

У рамках членства в CSP існує спеціальна схема ціноутворення[25], яка враховує потреби компаній різних розмірів, що забезпечує доступність для малих і середніх підприємств (МСП).

Сьогодні Генеральна асамблея кодексу представляє значну частку європейського ринку хмарної індустрії, а станом на серпень 2021 року її членами є Alibaba Cloud[en],[26][27][28] Alight Solutions[en], Arcules,[29][30] Cisco,[31] Dropbox,[32] Epignosis,[33] Fabasoft[en],[34] Google Cloud,[35] IBM,[36][37] K&L Gates[en],[38] Microsoft,[39][40] Okta, Inc.[en], Oracle,[13] Qompium (Extra Horizon),[41] Salesforce,[42] SAP,[43] Schellman,[44] SecureAppbox,[45] Timelex, TrustArc[en][46] [47] і Workday, Inc.[en].[48]

Ініціатива трансферу в третю країну

[ред. | ред. код]

Після рішення Суду ЄС у справі Schrems II,[49] Генеральна асамблея кодексу хмарних технологій ЄС розпочала роботу над ефективним і водночас доступним заходом захисту для передач у треті країни у форматі додаткового модуля до кодексу.[50][51]

Так званий Модуль передачі даних до третіх країн повинен охоплювати правові вимоги до передачі даних до третіх країн, викладені в Главі V GDPR, і оскільки будь-який додатковий модуль не є окремою ініціативою, передбачає, що попередньою умовою є дотримання Кодексу поведінки в хмарних сервісах ЄС.[52]

Див. також

[ред. | ред. код]

Примітки

[ред. | ред. код]
  1. Art. 40 GDPR - Codes of conduct. EUR-Lex: EU law (амер.). Процитовано 20 серпня 2021.
  2. Art. 28 GDPR - Processor. EUR-Lex: EU law (амер.). Процитовано 20 серпня 2021.
  3. Belgian DPA Approves First EU Data Protection Code of Conduct for Cloud Service Providers. Privacy & Information Security Law Blog (амер.). 24 травня 2021. Процитовано 26 серпня 2021.
  4. Conduct most becoming - Europe's new Cloud Code of Conduct shines a light on trust and transparency between buyers and sellers. diginomica (англ.). 24 травня 2021. Процитовано 26 серпня 2021.
  5. About EU Cloud CoC: EU Cloud CoC. eucoc.cloud. Процитовано 20 серпня 2021.
  6. Art. 41 GDPR - Monitoring of approved codes of conduct. GDPR.eu (амер.). Процитовано 20 серпня 2021.
  7. What's behind the EU's new Cloud Code of Conduct?. Процитовано 26 серпня 2021.
  8. Cloud Select Industry Group | Shaping Europe's digital future. digital-strategy.ec.europa.eu. Процитовано 25 серпня 2021.
  9. Opinion of the Article 29 Data Protection Working Party on the Code of conduct on data protection for cloud service providers | Shaping Europe's digital future. digital-strategy.ec.europa.eu. Процитовано 20 серпня 2021.
  10. The Belgian DPA approved the EU Cloud Code of Conduct for cloud service providers acting as a processor. Lexology (англ.). 3 червня 2021. Процитовано 26 серпня 2021.
  11. Oversight body handed Code of Conduct for Cloud Service Providers. Процитовано 20 серпня 2021.
  12. Belgian DPA approves first EU Data Protection Code of Conduct for Cloud Service Providers | privacy-ticker.com (амер.). Процитовано 26 серпня 2021.
  13. а б Press Release, December 12th, 2017. eucoc.cloud (англ.). Архів оригіналу за 26 серпня 2021. Процитовано 26 серпня 2021.
  14. а б в History: EU Cloud CoC. eucoc.cloud. Архів оригіналу за 22 серпня 2021. Процитовано 25 серпня 2021.
  15. Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679 - version adopted after public consultation | European Data Protection Board. edpb.europa.eu. Процитовано 25 серпня 2021.
  16. GDPR: What Cloud Service Providers Should Know - Blog | GlobalSign. GlobalSign GMO Internet, Inc. (англ.). 30 липня 2021. Процитовано 26 серпня 2021.
  17. OneTrust. EU Cloud Code of Conduct Approved by DPA | Blog. OneTrust (амер.). Процитовано 26 серпня 2021.
  18. Privacy, il primo codice di condotta transnazionale è sul cloud: perché è importante. Agenda Digitale. 27 травня 2021. Процитовано 26 серпня 2021.
  19. Simmons & Simmons. www.simmons-simmons.com. Процитовано 26 серпня 2021.
  20. а б Request the EU Cloud Code of Conduct: EU Cloud CoC. eucoc.cloud. Процитовано 20 серпня 2021.
  21. Data watchdogs seek 'added value' in GDPR cloud codes. Pinsent Masons (брит.). Процитовано 26 серпня 2021.
  22. What you should know about the EU Cloud Code of Conduct. JD Supra (англ.). Процитовано 26 серпня 2021.
  23. Art. 41 GDPR - Monitoring of approved codes of conduct. EUR-Lex: EU law (амер.). Процитовано 20 серпня 2021.
  24. Levels of Compliance: EU Cloud CoC. eucoc.cloud. Процитовано 20 серпня 2021.
  25. Pricing: EU Cloud CoC. eucoc.cloud. Процитовано 20 серпня 2021.
  26. Belgian DPA Approves Code of Conduct for the Cloud Industry. The WSGR Data Advisor (амер.). 22 червня 2021. Процитовано 26 серпня 2021.
  27. Alibaba Cloud adheres to the EU Cloud Code of Conduct. eucoc.cloud (англ.). Процитовано 26 серпня 2021.
  28. Alibaba Cloud Joins the EU Code of Conduct for Cloud Service Providers | Alibaba Cloud Press Room. www.alibabacloud.com. Процитовано 26 серпня 2021.
  29. Arcules joins the EU Cloud Code of Conduct, committing to robust video data protection. eucoc.cloud (англ.). Архів оригіналу за 26 серпня 2021. Процитовано 26 серпня 2021.
  30. Wolff, Kevin (24 квітня 2018). Arcules Joins the European Union Cloud Code of Conduct, Committing to Robust Video Data Protection. Arcules (амер.). Процитовано 26 серпня 2021.
  31. The EU Cloud Code of Conduct becomes first GDPR code of conduct to receive green light from data protection authorities. eucoc.cloud (англ.). Процитовано 26 серпня 2021.
  32. PRESS RELEASE: Dropbox joins the EU Cloud Code of Conduct General Assembly. eucoc.cloud (англ.). Процитовано 26 серпня 2021.
  33. Epignosis joins the EU Cloud Code of Conduct. Epignosis (амер.). 1 березня 2018. Процитовано 26 серпня 2021.
  34. PRESS RELEASE: Fabasoft is the first company to reach the highest compliance level available while declaring adherence to the EU Cloud Code of Conduct. eucoc.cloud (англ.). Процитовано 26 серпня 2021.
  35. Google Cloud Addresses the Approval of the EU Cloud Code of Conduct. eucoc.cloud (англ.). Процитовано 26 серпня 2021.
  36. IBM Adds New Cloud Services to EU Data Protection Code of Conduct. THINKPolicy Blog (амер.). 13 червня 2017. Процитовано 26 серпня 2021.
  37. IBM Among 1st to Adopt EU's New Code of Conduct for Cloud Computing. THINKPolicy Blog (амер.). 13 березня 2017. Процитовано 26 серпня 2021.
  38. EU Cloud Code of Conduct welcomes K&L Gates as new Supporter. eucoc.cloud (англ.). Процитовано 26 серпня 2021.
  39. Microsoft Azure adheres to the EU Cloud Code of Conduct. EU Policy Blog (амер.). 20 травня 2021. Процитовано 26 серпня 2021.
  40. GDPR-readiness of EU Cloud Code of Conduct wins backing of European data protection authorities. ComputerWeekly.com (англ.). Процитовано 26 серпня 2021.
  41. Extra Horizon has joined the EU Cloud Code of Conduct's General Assembly. www.extrahorizon.com (англ.). 18 серпня 2021. Процитовано 26 серпня 2021.
  42. UpCRM (7 червня 2021). Salesforce Adopts European Union's New Cloud Code of Conduct | UpCRM Salesforce Luxembourg. UpCRM | Top partner Salesforce Luxembourg, CRM & Data Solutions (амер.). Процитовано 26 серпня 2021.
  43. SAP Business Technology Platform EU Cloud CoC. SAP (English) . Архів оригіналу за 26 серпня 2021. Процитовано 26 серпня 2021.
  44. PRESS RELEASE: Schellman becomes the newest supporting member of the EU Cloud Code of Conduct. eucoc.cloud (англ.). Процитовано 26 серпня 2021.
  45. EU Cloud Code of Conduct General Assembly welcomes SecureAppbox as newest member. eucoc.cloud (англ.). Архів оригіналу за 26 серпня 2021. Процитовано 26 серпня 2021.
  46. EU Cloud Code of Conduct Resources. TrustArc The Leader in Privacy Management Software (en-CA) . Процитовано 26 серпня 2021.
  47. TrustArc. TrustArc Incorporates EU Cloud Code of Conduct Into PrivacyCentral Platform. Tank Town Media (англ.). Архів оригіналу за 26 серпня 2021. Процитовано 26 серпня 2021.
  48. Workday Joins the General Assembly of the EU Cloud Code of Conduct. Workday Blog (амер.). Процитовано 26 серпня 2021.
  49. EUR-Lex - CJEU C‑311/18. EUR-lex. Процитовано 20 серпня 2021.
  50. EU Cloud Services Group Working on Post-Schrems II Data Transfer Solution. Privacy Compliance & Data Security (амер.). 17 вересня 2020. Процитовано 26 серпня 2021.
  51. EU data protection code to replace US/EU data rules. ITEuropa (англ.). 16 вересня 2020. Процитовано 26 серпня 2021.
  52. Third Country Transfer Initiative: EU Cloud CoC. eucoc.cloud. Процитовано 20 серпня 2021.

Посилання

[ред. | ред. код]
Отримано з https://uk.wikipedia.org/w/index.php?title=Кодекс_поведінки_в_хмарі&oldid=46171953