2022GDPR合规行为准则4.0版.docx

GDPR合规行为准则

PAGE\*roman

PAGE\*romanvi

目录

简介 1

背景信息 3

CSAGDPR合规行为准则的结构 6

第一部分CSACoC的目标、范围、方法、假设和注释说明 7

CSACoC的目标 8

范围和方法 10

3. 假设 14

云客户的内部尽职调查 15

云客户的外部尽职调查 15

说明性注释 16

词汇表 17

参考文献列表 21

第二部分CSA行为准则控制指南：隐私级别协议 27

CSP的合规和职责声明 28

CSP相关联系人及其角色 32

数据处理方式 34

3.1 指令 34

服务变更 35

个人数据位置 36

子处理者 37

在云客户系统上安装软件 39

数据处理协议（或其他具有约束力的法律行为） 40

通过设计和默认的设置保护数据 42

记录保存 44

数据传输 45

数据安全措施 48

7. 监督 52

个人数据违规 52

数据转移、迁移和回传 55

对处理的限制 56

数据留存、归还和删除 57

数据留存、归还和删除策略 57

数据留存 57

为遵守特定部门的法律要求而留存数据 58

数据归还和/或删除 58

与云客户的合作 59

法律要求的披露 60

云客户的补救措施 60

CSP保险策略 62

第三部分CSA行为准则治理和遵守机制 63

技术构建 65

控制指南：PLA 68

CoC遵守机制 68

道德准则 74

隐私级别协议（PLA）工作组及开放认证框架（OCF）工作组章程 74

治理工作组、角色和职责 74

PLA工作组 74

OCF工作组 74

云安全联盟（CSA） 75

针对监管机构的协作和支持行动 76

监督机构 76

治理过程和相关活动 86

控制指南：PLA的评审过程 86

CoC遵守机制的评审过程 87

CoC认证标识的颁发和遵守声明的发布 87

投诉管理过程 88

持续监督过程 88

道德准则评审过程 89

PLA和开放认证框架工作组章程文件评审过程 90

附录1：隐私级别协议[v4]模板 1

附录2：遵守声明模板 1

附录3：CSASTAR计划和开放认证框架（OCF） 1

附录4：道德准则 1

附录5：隐私级别协议工作组章程 1

附录6：开放认证框架工作组章程 1

附录7：投诉管理过程 1

附录8：监督/审计过程 1

附录9：ENISA技术指南：安全目标 1

PAGE

PAGE1

简介

考虑到EDPB的行为准则（CoC）指南1，CoC的第1部分以及提交CoC时的封面，包含了详细说明CoC目的、CoC范围以及它将如何促进GDPR有效应用的“解释性声明”。

数据保护合规越来越以风险为基础2。数据控制者和处理者有职责在其组织中确定并实施对所处理个人数据的适当保护级别。在这样的决定中，他们必须考虑到各种因素，如技术级别，实施成本，处理的性质、范围、背景和目的，以及对自然人3权利和自由产生不同可能性和严重程度的风险。因此，云服务提供商（CSP）将负责确定所处理个人数据所需的保护级别。

正是在这种情况下，CSA创建了CoC。

CoC的目标是为CSP和云客户提供GDPR合规的解决方案，以及关于CSP所能提供的数据保护级别的透明性指南。

CoC主要是为了提供：

任何规模的云客户都可以使用的一个工具，来评估不同CSP所提供服务的个人数据保护级别（从而支持知情决策）4

任何规模和地点的CSP都可以使用的一个指南，可以用来遵守欧盟个人数据保护法规，并以结构化方式披露他们向客户所提供服务的个人数据保护级别。

尽管CoC的直接目标受众是CSP（而不是云客户），因为只有CSP才会实际提供其遵守CoC的服务。然而，CoC通过隐私级别协议（PLA）控制措施（控制指南：PLA），最终使CSP和云客户（以及数据主体和整个云社区）都受益。

CoC的合规基于两个主要的技术部分，即“控制指南：PLA”（这是一个技术

1下文第一部分第6节中包含一个词汇表，它包括本准则中使用的定义和缩写，以及那些与立法和其他参考资料有关的词汇。

2例如序言部分83条，和GDPR第25，32，33，34和35条款。

3例如GDPR第24，25，32，35和39条款。

4WP29云计算指南，第2页：“所有在欧洲经济区（EEA）提供服务的云供应商应向云客户提供所有必要的信息，以正确评估采用此类服务的利弊。安全性、透明度和客户的法