Cloudflare saab uue ELi pilveteenuste käitumiskoodeksi privaatsussertifikaadi, mis kinnitab GDPRi järgimist, et suurendada usaldust pilveteenuste vastu
Veebipõhise eraelu puutumatuse seadused on riigiti erinevad ja viimastel aastatel on palju kirjutatud piiriülese andmeedastuse kohta. Paljudes õigusaktides nõutakse, et enne isikuandmete edastamist üle maailma tuleb kehtestada piisavad kaitsemeetmed, nagu näiteks Euroopa üldises andmekaitsemääruses (GDPR). Seadus seab õigustatult kõrge lati sellele, kuidas organisatsioonid peaksid isikuandmeid käsitlema, ning määruse koostamisel nägid seadusandjad ette, et isikuandmed ületavad riigipiire: Määruse V jaotis on pühendatud sellisele andmeedastusele.
Oluline on läbipaistvus selle kohta, kus isikuandmeid säilitatakse, kuid sama oluline on ka see, kuidas neid töödeldakse ning kuidas neid hoitakse turvaliselt ja ohutult. Meie Cloudflare'is usume isikuandmete privaatsuse kaitsmisse kogu maailmas ning anname oma klientidele vahendid ja valikud selle kohta, kuidas ja kus nende andmeid töödeldakse. Lihtsalt öeldes nõuame, et andmeid töödeldakse ja kaitstakse ühtemoodi, turvaliselt ja hoolikalt, olenemata sellest, kas meie kliendid otsustavad andmeid üle kogu maailma edastada või hoida neid ühes riigis.
Ja täna võime uhkusega teatada, et oleme edukalt läbinud oma hindamisprotsessi ja saanud ELi pilvepõhise käitumiskoodeksi heakskiitmise pitseri, mis näitab meie GDPRi järgimist, kaitstes isikuandmeid seoses pilvekeskkondadega kogu maailmas.
Oluline on see, kuidas isikuandmeid töödeldakse, mitte ainult see, kus maailmas neid säilitatakse.
Samad GDPRi seadusandjad eeldasid ka, et organisatsioonid soovivad töödelda ja kaitsta isikuandmeid järjepidevalt, läbipaistvalt ja turvaliselt. Artikli 40 algus, pealkirjaga "Käitumisjuhendid":
«Liikmesriigid, järelevalveasutused, nõukogu ja komisjon soodustavad tegevusjuhendite väljatöötamist, mille eesmärk on hõlbustada käesoleva määruse nõuetekohast kohaldamist, võttes arvesse erinevate andmetöötlussektorite eripära ning mikro-, väikeste ja keskmise suurusega ettevõtete erivajadusi».
Ka käitumisjuhendite kasutamine eraelu puutumatust käsitlevate õigusaktide järgimise tõendamiseks on pikemaajaline. Sarnaselt üldisele isikuandmete kaitse määrusele sisaldas ka 1995. aasta murranguline ELi andmekaitsedirektiiv (ametlikult direktiiv 95/46/EÜ) sätteid ühenduse tegevusjuhendite eelnõude esitamiseks riiklikele ametiasutustele ning nende tegevusjuhendite ametlikuks heakskiitmiseks Euroopa Liidu ametliku organi poolt.
Ametlik GDPR toimimisjuhend
Pärast GDPRi vastuvõtmist 2016. aastal kulus viis aastat, et esimene tegevusjuhend ametlikult heaks kiita. Lõpuks, 2021. aasta mais, kiitis Euroopa Andmekaitsenõukogu, mis koosneb kõigi liikmesriikide andmekaitseasutuste esindajatest kogu liidus, heaks ELi pilveteenuste käitumisjuhendi (lühendatult "EU Cloud CoC") kui esimese ametliku GDPRi käitumisjuhendi pilveteenuste pakkujatele. ELi pilvandmetöötluse toimimisjuhendi esitas nõuandekomiteele Belgia järelevalveasutus SCOPE Europe'i nimel, mis on teinud mitu aastat koostööd tegevusjuhendi väljatöötamiseks, sealhulgas koos Euroopa Komisjoni, pilvandmetöötluse kogukonna liikmete ja Euroopa andmekaitseasutustega.
Koodeks on raamistik pilveteenuste ostjatele ja pakkujatele. Kliendid saavad hõlpsasti aru, kuidas pilveteenuse pakkuja käitleb isikuandmeid. Pilveteenuse pakkujad läbivad sõltumatu hindamise, et näidata oma pilveteenuste ostjatele, et nad töötlevad isikuandmeid turvaliselt ja koodeksis sätestatud viisil. ELi pilveteenuste koodeksi puhul ja ainult seetõttu, et koodeks on ametlikult kinnitatud, teavad koodeksile vastavate pilveteenuste ostjad, et pilveteenuse pakkuja töötleb klientide isikuandmeid GDPRi kohasel viisil.
Mida hõlmab koodeks?
Koodeksis on sätestatud selged nõuded pilveteenuste pakkujatele GDPRi artikli 28 ("volitatud töötleja") ja sellega seotud artiklite rakendamiseks. Raamistik hõlmab nii andmekaitsepoliitikat kui ka tehnilisi ja organisatsioonilisi turvameetmeid. Dokumendis on jaotised, mis käsitlevad müüja tingimusi, privaatsust ja andmete säilitamist, kliendi auditiõigusi, kuidas reageerida võimalikele andmerikkumistele ja kuidas müüja läheneb alltöötlemisele - kui isikuandmete töötlemisse on kaasatud kolmas isik koos peamise andmetöötlejaga - ja palju muud.
Raamistik hõlmab ka seda, kuidas isikuandmeid saab seaduslikult rahvusvaheliselt edastada, kuigi ELi pilvandmetöötluse kaasuskoodeks hõlmab küll selle tagamist, et see toimub kooskõlas seadusega, kuid koodeks ise ei ole "kaitsemeetmed" ega vahend andmete edastamiseks kolmandatesse riikidesse. Koodeksi tulevane ajakohastamine võib seda funktsiooni laiendada lisamooduliga, kuid 2023. aasta märtsi seisuga on see veel väljatöötamisel.
Vaatleme lähemalt mõningaid ELi pilvepõhise koostöökokkuleppe nõudeid ja seda, kuidas sellega saab tõendada GDPRi järgimist.
Näide üks
Üks koodeksi nõuetest on dokumenteeritud menetluste olemasolu, et aidata kliente "andmekaitsele avaldatava mõju hindamisel". GDPRi kohaselt hõlmab see järgmist:
"...kavandatud töötlemistoimingute mõju hindamine isikuandmete kaitsele." GDPR artikkel 35.1
Seetõttu peaks pilveteenuse pakkujal olema kirjalik protsess, mis toetab kliente nende enda hindamiste läbiviimisel. Kliendile tuge pakkudes näitab teenusepakkuja ka oma pühendumust GDPRi rangete andmekaitsestandardite järgimisele. Cloudflare täidab seda nõuet ja toetab läbipaistvust veelgi, avaldades isikuandmete töötlemisel kasutatavate alltöötlejate üksikasjad ja suunates kliente Cloudflare'i armatuurlaual kättesaadavate auditiaruannete juurde.
GDPRis viidatakse andmekaitse mõjuhinnangute kontekstis veel kord käitumisjuhenditele:
"Vastavust heakskiidetud tegevusjuhenditele ... võetakse nõuetekohaselt arvesse teostatud töötlemistoimingute mõju hindamisel ... eelkõige andmekaitsele avaldatava mõju hindamisel". GDPR artikkel 35.8
Seetõttu peaks pilveteenuse klient mõjuhinnangu koostamisel arvestama, et teenusepakkuja järgib heakskiidetud käitumiskoodeksit. Veel üks võimalus, kuidas nii kliendid kui ka pilveteenuse pakkujad saavad tegevusjuhendite kasutamisest kasu!
Näide kaks
Teine näide koodeksi nõudest on see, et kui pilveteenuse pakkujad pakuvad krüpteerimisvõimalusi, siis peavad need olema tõhusalt rakendatud. Nõue täpsustab ka seda, et selleks tuleb kasutada tugevaid ja tõestatud krüpteerimismeetodeid, võttes arvesse tehnika taset ja takistades piisavalt volitamata juurdepääsu klientide isikuandmetele. Krüpteerimine on isikuandmete kaitsmisel pilves ülioluline; ilma krüpteerimiseta või nõrgemate või aegunud krüpteeringutega ei ole eraelu puutumatus ja turvalisus võimalik. Seega aitavad pilveteenuse pakkujad krüpteerimise nõuetekohase kasutamisega ja testimisega täita GDPRi nõudeid oma klientide isikuandmete kaitsmiseks.
Cloudflare'is oleme eriti uhked oma saavutuste üle: oleme teinud tõhusa krüpteerimise kõigile oma klientidele tasuta kättesaadavaks. Me aitame oma klientidel mõista krüpteerimist ja mis kõige tähtsam, me ise kasutame oma klientide isikuandmete kaitsmiseks tugevaid ja tõestatud krüpteerimisalgoritme ja -tehnikaid. Meil on ametlik teadus- ja arendusmeeskond, mis koosneb teadlastest ja krüptograafidest, kes töötavad välja ja rakendavad tipptasemel krüpteerimisprotokolle, mis on loodud tõhusaks kaitseks aktiivsete ja passiivsete rünnakute vastu, sealhulgas selliste rünnakute vastu, mis kasutavad valitsusasutustele teadaolevalt kättesaadavaid ressursse; samuti kasutame usaldusväärseid avaliku võtme sertifitseerimisasutusi ja infrastruktuuri. Alles sel kuul teatasime, et kvantumisjärgne krüptoraha peaks olema tasuta, seega lisame selle tasuta, igavesti.
Rohkem teavet
Seadustik sisaldab nõudeid, mida on kirjeldatud 87 sättes, mida nimetatakse kontrollideks. Lisateavet ELi pilvandmetöötluskoodeksi kohta, koodeksi täieliku koopia allalaadimist ja ajakohastamist leiate aadressilt https://eucoc.cloud/en/home
Miks on see Cloudflare'i klientide jaoks oluline?
Cloudflare liitus eelmise aasta mais ELi pilvede käitumiskoodeksi üldkoosolekuga. Üldkogu liikmed läbivad hindamise, mis hõlmab deklaratsiooni ELi pilveteenuste käitumiskoodeksi järgimise kohta, ning pärast akrediteeritud järelevalveasutuse SCOPE Europe poolt läbiviidud sõltumatut hindamisprotsessi saavad nad ELi pilveteenuste käitumiskoodeksi märgise.
Cloudflare on läbinud hindamisprotsessi ja kontrollinud 47 pilveteenust.
Cloudflare'i teenuste suhtes kohaldatakse ELi pilveteenuste käitumiskoodeksit:
Teenused on kinnitanud vastavust ELi pilvekeskkondade tegevusjuhendile, Kontrollimise identifitseerimisnumber: 2023LVL02SCOPE4316.
Lisateabe saamiseks külastage palun https://eucoc.cloud/en/public-register
Ja me ei ole veel lõpetanud...
ELi pilvekeskkondade käitumisjuhend on uusim privaatsuse kinnitamine, mis on lisatud meie kasvavasse privaatsussertifikaatide nimekirja. Kaks aastat tagasi oli Cloudflare üks esimesi meie valdkonna organisatsioone, kes sai uue ISO/IEC 27701:2019 privaatsussertifikaadi, ning esimene ettevõte, kes sai veebipõhise tulemuslikkuse ja turvalisuse sertifikaadi. Eelmisel aastal sai Cloudflare teise rahvusvahelise isikuandmete töötlemisega seotud privaatsusstandardi ISO/IEC 27018:2019 sertifikaadi. Hiljuti, selle aasta jaanuaris, lõpetas Cloudflare meie iga-aastase ISO-auditi koos kolmanda osapoole audiitoriga Shellman; ja meie uus sertifikaat, mis hõlmab ISO 27001:2013, ISO 27018:2019 ja ISO 27701:2019, on nüüd klientide jaoks kättesaadav Cloudflare'i armatuurlaualt allalaadimiseks.
Ja rohkem on veel tulemas! Nagu me kirjutasime oma andmekaitsepäeva blogis jaanuaris, jälgime huviga piiriüleste eraelu puutumatuse reeglite (CBPR) sertifitseerimise edenemist. Kavandatav ühtne ülemaailmne sertifitseerimine võib olla piisav, et osalevad ettevõtted saaksid turvaliselt edastada isikuandmeid osalevate riikide vahel üle kogu maailma, ning see, mida juba toetavad mitmed Põhja-Ameerika ja Aasia valitsused, tundub selles osas väga paljutõotav.
Cloudflare'i sertifikaadid
Lugege, kuidas olemasolevad kliendid saavad Cloudflare'i sertifikaatide ja aruannete koopiaid alla laadida oma Cloudflare'i armatuurlaualt; uued kliendid saavad neid taotleda ka oma müügiesindajalt.
Värskeimat teavet meie sertifikaatide ja aruannete kohta leiate meie usalduskeskusest.