Kodeks jako narzędzie weryfikowania zgodności
CISPE to ogólnoeuropejskie stowarzyszenie dostawców usług infrastruktury chmurowej, które zrzesza 34 członków z centralami w 14 państwach członkowskich UE. Kodeks CISPE to pierwszy europejski kodeks dla dostawców usług infrastruktury chmurowej, który zyskał akceptację organu nadzorczego i EROD.
Stosowanie Kodeksu CISPE nie jest niezbędne, aby dostosować usługi świadczone w chmurze do stanu zgodności z RODO, niemniej Kodeks ułatwia to zadanie, poprzez jasne określenie kroków, które mają być podjęte, aby zapewnić taką zgodność.
Ponadto, Kodeks wykracza poza wymogi RODO, poprzez akcent na umożliwienie klientom przechowywania i przetwarzania danych w Europejskim Obszarze Gospodarczym. Wymogi kodeksu mają zagwarantować także zapewnienie, że dostawcy usług chmurowych będą wykorzystywać dane klientów wyłącznie do świadczenia tych usług, a nie do celów marketingowych.
Celem takiego ukształtowania wymogów kodeksu jest budowa zaufania klientów, iż dostarczana usługa pozostaje w pełnej zgodności z RODO.
Lista kontrolna
W celu dostosowania usługi chmurowej do wymogów Kodeksu CISPE przydatna może być w szczególności lista kontrolna, która stanowi Załącznik B do Kodeksu.
Lista kontrolna Kodeksu CISPE to obszerny dokument w formie tabeli (35 stron), podzielony na liczne sekcje, np. „Prawa osób, których dane dotyczą” lub „Wykazywanie zgodności”. Każda z sekcji stanowi odrębne zagadnienie wymagające rozważenia przy tworzeniu lub oferowaniu zgodnej z RODO usługi chmurowej.
Każda z sekcji zawiera:
- szczegółowy opis wymagań Kodeksu dotyczący danego zagadnienia,
- opis mechanizmów kontrolnych, które muszą zostać wdrożone w celu osiągnięcia zgodności z konkretnymi wymaganiami Kodeksu,
- przykładowe pytania, na które podmiot świadczący usługi chmurowe powinien udzielić odpowiedzi w celu ustalenia zgodności,
- wskazanie konkretnych dowodów (dokumentów), które powinny być przygotowane i wdrożone w celu zapewnienia zgodności z konkretnymi wymaganiami Kodeksu,
- odniesienie do mających zastosowanie artykułów RODO, bądź norm ISO 27001.
Lista kontrolna – polskie tłumaczenie
Zespół ODO 24 z przyjemnością przedstawia Państwu tłumaczenie niniejszej listy kontrolnej, które rozszerzyliśmy o dodatkową kolumnę, umożliwiającą odnotowanie stanu zgodności lub niezgodności Państwa usługi chmurowej z poszczególnymi sekcjami.
Narzędzia RODO
Ankieta CISPE
wymogi dla dostawcy usług chmurowych
Sprawdź, czy Twoje dane w chmurze są bezpieczne! Gdybyś potrzebował/a naszego wsparcia, nie wahaj się pytać.
Mamy nadzieję, iż niniejszy dokument ułatwi Państwu analizę usług chmurowych, z których Państwo korzystają, w świetle najnowszych i najwyższych standardów opracowanych przez europejskie stowarzyszenia branżowe, a także zaakceptowanych przez europejskie organy publiczne, które stoją na straży zgodności z RODO.
Należy jednak pamiętać, iż dogłębne badanie zgodności usługi z RODO może wymagać odpowiedniej wiedzy i doświadczenia, zarówno w dziedzinie prawa jak i IT. Z tego względu w każdym przypadku najlepszą i najbardziej zalecaną praktyką jest powierzenie tego zadania profesjonalnym i niezależnym audytorom.
