Kodeks CISPE, przedstawiony przez francuski organ ochrony danych (DPA, CNIL), jest pierwszym ogólnoeuropejskim kodeksem dla dostawców usług infrastruktury chmurowej, który zyskał akceptację regulatorów.

Zgodnie z założeniami CISPE, kodeks ma pomagać organizacjom w całej Europie przyspieszyć rozwój usług opartych na chmurze, zgodnych z wytycznymi RODO, dedykowanych konsumentom, firmom i instytucjom. Wybierając usługi zgodne z kodeksem CISPE, klienci decydujący się na zakup usług typu IaaS mają mieć pewność, że wybierają rozwiązania w pełni zgodne z treścią Rozporządzenia o Ochronie Danych Osobowych.

 

- RODO było bardzo wyczekiwaną regulacją, zaś opracowany przez CISPE kodeks zapewnia całkowitą przejrzystość wymagań z zakresu ochrony danych dla dostawców infrastruktury chmurowej” - tłumaczy Alban Schmutz, prezes CISPE (Cloud Infrastructure Service Providers in Europe), stowarzyszenia branżowego odpowiedzialnego za powstanie dokumentu. - Kodeks postępowania w zakresie ochrony danych CISPE zapewnia dostawcom usług cloud computingu autoryzowane ramy do wykazania pełnej zgodności ich rozwiązań chmurowych z RODO, podając konkretne przykłady tego, co oni i ich klienci powinni robić, aby chronić dane zgodnie z tym rozporządzeniem– dodaje.

A Stefano Cecconi, wiceprezes CISPE i dyrektor generalny Aruba SpA dodaje, że zatwierdzenie Kodeksu CISPE to duże osiągnięcie, zarówno dla branży, jak i dla użytkowników końcowych, które zapewni przejrzyste zasady ochrony danych obywateli Europy w erze cyfrowej.

Czytaj także: RODO: Wkrótce ma być zatwierdzony pierwszy kodeks branżowy>>
 

Pierwszy taki kodeks w Europie

Jak podkreślają przedstawiciele CISPE, kodeks jest wyjątkowy pod trzema ważnymi względami. Jest to pierwszy i obecnie jedyny spis reguł skupiający się wyłącznie na sektorze infrastruktury udostępnianej jako usługa (IaaS) i odnoszący się do konkretnych ról i obowiązków dostawców IaaS. Ponadto, kształtuje on pewność i zaufanie wśród klientów, że dostarczana usługa IaaS jest zgodna z RODO. Gwarantuje im także, że dostawcy usług infrastruktury chmurowej będą uzyskiwać dostęp do danych klientów lub wykorzystywać je wyłącznie w celu zarządzania lub świadczenia usługi, i nie będą wykorzystywać ich do celów marketingowych.

Przetwarzanie danych na terenie Europejskiego Obszaru Gospodarczego

Chociaż stosowanie się do treści kodeksu nie jest obligatoryjne do przestrzegania RODO, wiele europejskich przedsiębiorstw chce zachować suwerenność swoich danych, mając pewność, że będą one gromadzone i przetwarzane na terenie Unii Europejskiej.  CISPE podkreśla, że kodeks daje klientom IaaS wyraźne opcje wyboru usług, które umożliwiają przetwarzanie danych w całości na terenie Europejskiego Obszaru Gospodarczego. W związku z tym, kodeks postępowania CISPE promuje również najlepsze praktyki w zakresie ochrony danych, które wspierają unijną inicjatywę GAIA-X, mającą na celu wspieranie dostawców cloud computingu ze starego kontynentu.

Niezależni eksperci sprawdzą

CISPE podkreśla też, że zgodność z Kodeksem postępowania CISPE jest weryfikowana przez niezależnych, zewnętrznych audytorów akredytowanych przez odpowiedni organ ochrony danych. Kodeks postępowania CISPE oferuje różnorodne portfolio niezależnych organów monitorujących, co jest ukłonem w stronę zróżnicowanego rynku dostawców usług chmurowych. Mogą oni decydować się na zakres audytu dostosowany do swoich możliwości finansowych. Według CISPE to również zwrot w stronę przedsiębiorstw MŚP oraz start-upów, w przypadku których uzyskanie zgodności oferowanych usług z RODO dotąd bywało dość kosztowne.

Kodeks dla egzekwowania zasad RODO

Kodeks postępowania CISPE dotyczący ochrony danych ma wspierać egzekwowanie ogólnego rozporządzenia o ochronie danych (RODO) Unii Europejskiej. Dokument opisuje najlepsze praktyki i określa praktyczne wskazówki, dzięki którym dostawcy usług infrastruktury chmurowej mogą podnieść poprzeczkę w zakresie zabezpieczania danych swoich klientów i, co najważniejsze, jasno określić rolę, obowiązki i granice zarówno dostawców, jak i klientów. 

Czym są kodeksy postępowania?

Kodeksy postępowania to wytyczne opracowane przez stowarzyszenia branżowe lub organy przedstawicielskie, które uwzględniają specyfikę różnych sektorów i działań, a także szczególne potrzeby przedsiębiorstw różnej wielkości, w tym mikro oraz małych i średnich przedsiębiorstw. Przestrzeganie Kodeksu Postępowania zapewnia organizacjom w całej Europie lepszą operacjonalizację ochrony danych i wykazanie zgodności z RODO. Kodeksy postępowania są zatwierdzane przez jeden organ ochrony danych działający w imieniu 27 innych organów po formalnej opinii Europejskiej Rady Ochrony Danych.

CISPE to stowarzyszenie dostawców usług infrastruktury chmurowej w Europie. CISPE ma 34 członków z centralami w 14 państwach członkowskich UE.