CISPE Veri Koruma Davranış Kuralları

Genel Bakış

CISPE (Avrupa'daki Bulut Altyapısı Hizmet Sağlayıcıları), milyonlarca Avrupalı müşteriye hizmet sunan bulut bilgi işlem liderlerinden oluşan bir koalisyondur. CISPE Veri Koruma Davranış Kuralları (CISPE Kuralları), Avrupa Birliği Genel Veri Koruma Yönetmeliği'nin (GDPR) 40. Maddesi uyarınca bulut altyapısı hizmetleri sağlayıcılarına odaklanan ilk Pan-Avrupa veri koruma davranış kurallarıdır. Mayıs 2021'de Avrupa Veri Koruma Kurulu (EDPB) tarafından onaylanmış ve baş denetim makamı olarak hareket eden Fransız Veri Koruma Kurumu (CNIL) tarafından Haziran 2021'de resmi olarak kabul edilmiştir.

CISPE Kuralları, kuruluşlara bulut altyapısı hizmet sağlayıcılarının GDPR kapsamındaki bir veri işleyicisi için geçerli gereksinimleri karşıladığını garanti eder. Bu, GDPR'ye uygunlukları bağımsız olarak doğrulanmış hizmetler seçebilecekleri konusunda bulut müşterilerine ek güven sağlar.

CISPE Kuralları, GDPR uygunluğunun da ötesine geçerek, bulut altyapısı hizmet sağlayıcılarının, müşterilere müşteri verilerini tamamen Avrupa Ekonomik Alanı içinde depolayan ve işleyen hizmetleri seçebilme olanağı sunmasını gerektirir. Bulut altyapısı hizmet sağlayıcılarının ayrıca, beyan edilen hizmetleri sağlamak ve sürdürmek için gerekli olduğu durumlar haricinde hiçbir müşteri verisine erişmeyeceklerini veya bu verileri kullanmayacaklarını taahhüt etmesi gerekir. Özellikle bulut altyapısı hizmet sağlayıcılarının müşteri verilerini veri madenciliği, profil oluşturma veya doğrudan pazarlama dahil olmak üzere kendi amaçları için kullanmayacaklarını taahhüt etmesi gerekmektedir. Ernst and Young CertifyPoint (EYCP) bağımsız olarak 107 AWS hizmetinin CISPE Kurallarına uygun olduğunu onaylamıştır. EYCP, CNIL tarafından akredite edilmiş ve bulut altyapısı hizmet sağlayıcısının CISPE Kurallarına uygunluğunu doğrulayan ilk "izleme kurumudur".

AWS diğer bulut sağlayıcılarına kıyasla çok daha fazla güvenlik standardına ve uygunluk sertifikasına sahiptir; bu bağlamda, düzenleyici mevzuat ortamı geliştikçe biz de müşterilerimizin ihtiyaçlarını sürekli olarak gözden geçiriyoruz. CISPE Kuralları, AWS Cloud hizmetlerinin GDPR'ye uygun şekilde kullanılabileceğine ve günümüzde müşterilerimizin uygunluk gereksinimlerini karşıladığına dair ekstra bir teminat düzeyi sağlar.

• CISPE GDPR Veri Koruma Davranış Kuralları (CISPE Kuralları) nedir?

  Avrupa'daki Bulut Altyapısı Hizmeti Sağlayıcıları Veri Koruma Davranış Kuralları (CISPE Kuralları), Avrupa Birliği Genel Veri Koruma Yönetmeliği'nin (GDPR) 40. Maddesi uyarınca bulut altyapısı hizmetleri sağlayıcılarına odaklanan ilk Pan-Avrupa veri koruma davranış kurallarıdır. Mayıs 2021'de Avrupa Veri Koruma Kurulu (EDPB) tarafından onaylanmış ve Fransız Veri Koruma Kurumu (CNIL) tarafından Haziran 2021'de resmi olarak kabul edilmiştir.
  

• Müşterilerimiz için neden önemlidir?

  CISPE Kuralları, kuruluşlara bulut altyapısı hizmet sağlayıcılarının GDPR kapsamındaki bir veri işleyicisi için geçerli gereksinimleri karşıladığını garanti eder. Bu, GDPR'ye uygunlukları bağımsız olarak doğrulanmış hizmetler seçebilecekleri konusunda bulut müşterilerine ek güven sağlar.
  

• CISPE veri koruma davranış kuralları müşterilerin GDPR'ye uygunluk sağlamasına nasıl yardımcı oluyor?

  AWS'nin CISPE Kurallarına bağlılığı, müşterilerimize, AWS'nin GDPR'nin 28. Maddesi uyarınca işleyiciler için geçerli gereksinimleri karşılayan sözleşme ve operasyon önlemlerini uygulamaya koyduğuna dair ek teminat sağlamaktadır. AWS'nin CISPE Kurallarına uygunluğu, CNIL tarafından İzleme Kurumu olarak akredite edilmiş bir dış denetçi olan EY CertifyPoint tarafından doğrulanmıştır.
  

• CISPE Kuralları kapsamındaki AWS sertifikaları, müşterilerin verilerinin depolandığı ve işlendiği yer üzerinde daha fazla denetime ve şeffaflığa sahip olmalarına nasıl yardımcı olur?

  CISPE Kuralları, GDPR uygunluğunun da ötesine geçerek, bulut altyapısı hizmet sağlayıcılarının, müşterilere verilerini tamamen Avrupa Ekonomik Alanı içinde depolama ve işleme seçeneği sunmasını gerektirir. Bulut altyapısı hizmet sağlayıcılarının ayrıca, beyan edilen hizmetleri sağlamak ve sürdürmek için gerekli olduğu durumlar haricinde hiçbir müşteri verisine erişmeyeceklerini veya bu verileri kullanmayacaklarını taahhüt etmesi gerekir. Özellikle bulut altyapısı hizmet sağlayıcılarının müşteri verilerini veri madenciliği, profil oluşturma veya doğrudan pazarlama dahil olmak üzere kendi amaçları için kullanmayacaklarını taahhüt etmesi gerekmektedir.

• AWS neden hizmetlerin CISPE Kurallarına uygun olduğunu duyurdu?

  CISPE Kuralları, bulut müşterilerinin, GDPR'ye uygunluk sağlayarak kullanılabilecek bulut altyapısı hizmetlerini güvenle seçmesine olanak tanır. CISPE Kuralları, kuruluşlara bulut altyapısı hizmet sağlayıcılarının GDPR kapsamındaki bir veri işleyicisi için geçerli gereksinimleri karşıladığını garanti eder. Bu, GDPR'ye uygunlukları bağımsız olarak doğrulanan bulut hizmetleri seçebilecekleri konusunda bulut müşterilerine ek güven sağlar. AWS, müşterilerimize ek teminat sağlaması nedeniyle hizmetlerinin CISPE Kuralları kapsamında olduğunu duyurdu. CISPE Kuralları, bulut altyapısı hizmetlerine odaklanan ilk Pan-Avrupa veri koruma davranış kurallarıdır; veri koruma baş makamı olarak görev yapan Fransız Veri Koruma Kurumu (CNIL) tarafından onaylanmıştır ve Avrupa Veri Koruma Kurulu tarafından desteklenmektedir.

• Kişiyi tanımlayabilir bilgiler (PII) / kişisel bilgiler bulundurmuyorsam bir müşteri olarak CISPE Kuralları benim için önemli mi?

  Evet, AWS tüm müşteri içeriklerine yönelik olarak CISPE Kurallarında vurgulanan yüksek bir veri koruma ve gizlilik denetimleri standardına sahiptir.

• Bağımsız İzleme Kurumu kimdir?

  Ernst and Young CertifyPoint (EYCP) bağımsız olarak 107 AWS hizmetinin CISPE Kurallarına uygun olduğunu onaylamıştır. EYCP, CNIL tarafından akredite edilmiş ve bulut altyapısı hizmet sağlayıcısının CISPE Kurallarına uygunluğunu doğrulayan ilk "izleme kurumudur". CNIL, daha sonra Bureau Veritas ve LNE de dahil olmak üzere diğer pek çok izleme kurumunu akredite etti. Bunların tümü, şirketlerin veri koruma gereksinimlerine uygunluklarını doğrulama konusunda kanıtlanmış deneyime sahip uluslararası düzeyde kabul gören bağımsız denetçiler ve sertifika kurumlarıdır.

• AWS, CISPE Kurallarına uygun kaç adet hizmet olduğunu duyurdu?

  AWS, CISPE Kurallarına uygun 107 hizmet bulunduğunu duyurdu. Bu hizmetlere yönelik olarak AWS'nin CISPE Kuralları gerekliliklerine uygunluğu, CNIL tarafından akredite edilmiş bağımsız bir İzleme Kurumu olan EYCP tarafından doğrulanmıştır.

• AB Bulut Davranış Kuralları kapsamında yer alan hizmetleri duyurmayı planlıyor musunuz?

  AWS diğer bulut sağlayıcılarına kıyasla çok daha fazla güvenlik standardına ve uygunluk sertifikasına sahiptir; bu bağlamda, düzenleyici mevzuat ortamı geliştikçe biz de müşterilerimizin ihtiyaçlarını sürekli olarak gözden geçiriyoruz. CISPE Kuralları, müşterilerimizin GDPR'ye uygun şekilde kullanılabilecek ve günümüzde müşterilerimizin uygunluk gereksinimlerini karşılayan bulut altyapısı hizmetlerini güvenle seçmesine olanak tanır.

   

  AB Bulut Davranış Kuralları, CISPE Kurallarına benzer unsurlar ve yaklaşımlar içeren farklı bir girişimdir. AWS; CISPE Kurallarının, GDPR'ye yönelik AWS uygunluğunu ortaya koyan ve müşterilerimizin bununla ilişkili beklentilerine cevap veren mükemmel bir araç olduğuna inanmaktadır. Düzenleyici mevzuat ortamı geliştikçe müşterilerimizin ihtiyaçlarını gözden geçirmeye devam edeceğiz.