Ochrona indywidualnych praw do zachowania prywatności zgodnie z rozporządzeniem RODO za pomocą inteligentnej chmury Microsoft

Przez

25 maja 2018

Dzisiejszy post został napisany przez Alym Rayani, dyrektora ds. rozwiązania Microsoft 365

Dzisiaj wchodzi w życie Ogólne rozporządzenie o ochronie danych (RODO), co stanowi przełom w obszarze indywidualnych praw do zachowania prywatności. Żyjemy w czasach, w których technologia cyfrowa głęboko wpływa na nasze życie — od sposobu, w jaki się ze sobą kontaktujemy, po interpretację otaczającego nas świata. Kluczem do tej cyfrowej transformacji jest możliwość przechowywania i analizowania ogromnych ilości danych w celu uzyskania dokładniejszych wyników i bardziej spersonalizowanej obsługi klienta. Pomaga to nam wszystkim osiągnąć więcej, niż kiedykolwiek wcześniej, ale pozostawia też rozległy ślad danych, obejmujących dane osobowe i poufne informacje biznesowe, które trzeba chronić.

Misją firmy Microsoft jest zapewnienie każdemu człowiekowi i każdej organizacji na świecie możliwości, dzięki którym uda im się osiągnąć więcej. Zaufanie leży u podstaw wszystkiego, co robimy, ponieważ już dawno uznaliśmy, że ludzie nie będą używać technologii, której nie ufają. Uważamy również, że prywatność jest fundamentalnym prawem każdego człowieka, które należy chronić. Tak jak napisała Julie Brill, lider w dziedzinie prywatności w firmie Microsoft, w swoim ostatnim blogu, firma Microsoft uważa, że rozporządzenie RODO ustanawia ważne zasady, które mają zastosowanie globalne.

Poza naszym stałym zaangażowaniem w ochronę prywatności, w ciągu ostatniego roku poczyniliśmy wiele inwestycji, aby zapewnić zgodność z rozporządzeniem RODO i wspierać indywidualne prawa do prywatności każdego człowieka. Oto podsumowanie tych możliwości, przy użyciu których możesz pomóc swojej organizacji w zachowaniu zgodności z rozporządzeniem RODO.

Ocenianie ryzyka związanego ze zgodnością i zarządzanie nim

Osiągnięcie zgodności organizacyjnej może stanowić trudne wyzwanie, dlatego zrozumienie ryzyka dotyczącego zgodności powinno mieć najwyższy priorytet. Klienci opowiedzieli nam o wyzwaniach związanych z brakiem wewnętrznych możliwości zdefiniowania i zaimplementowania mechanizmów kontroli oraz niewydajnymi działaniami dotyczącymi przygotowania inspekcji.

Menedżer zgodności i wskaźnik zgodności pomagają w ciągłym monitorowaniu stanu zgodności. Menedżer zgodności przechwytuje i dostarcza szczegółowe informacje dla każdego mechanizmu kontroli firmy Microsoft zaimplementowanego w celu spełnienia określonych wymagań, w tym szczegóły planu wdrożenia i testowania oraz odpowiedzi związane z zarządzaniem, jeśli to konieczne. Oferuje on także zalecane działania, które może podjąć organizacja, aby zwiększyć możliwości ochrony danych i wypełnić zobowiązana związane z zachowaniem zgodności.

Zrzut ekranu przedstawiający pulpit nawigacyjny Menedżera zgodności.

Oto jak klient rozwiązania Microsoft 365 — firma Abrona — używa Menedżera zgodności:

Ochrona danych osobowych

Sedno rozporządzenia RODO polega na ochronie danych osobowych poszczególnych ludzi przez upewnienie się, że firmy stosują odpowiednie zabezpieczenia tych danych i sposoby zarządzania nimi, aby nie zostały one użyte w nieodpowiednich celach lub nie trafiły w niepowołane ręce. Aby pomóc zapewnić, że Twoja organizacja efektywnie chroni dane osobowe oraz poufną zawartość związaną z potrzebami zgodności organizacyjnej, należy wdrożyć rozwiązania i procesy, które umożliwiają organizacji odnajdywanie, klasyfikowanie, chronienie i monitorowanie najważniejszych danych.

Funkcje ochrony informacji rozwiązania Microsoft 365, takie jak Zarządzanie danymi w usłudze Office 365 i usługa Azure Information Protection, oferują zintegrowane środowisko klasyfikowania, etykietowania i chronienia, zapewniając trwalszą ochronę danych, niezależnie od miejsca ich przechowywania lub przemieszczania. Strategia proaktywnego zarządzania danymi związana z klasyfikacją danych osobowych i poufnych pozwala na precyzyjną odpowiedź, gdy trzeba znaleźć odpowiednie dane w celu spełnienia żądania lub wymagania związanego z przepisami, na przykład wniosku osoby, których dane dotyczą (ang. Data Subject Request — DSR) w ramach rozporządzenia RODO.

Zrzut ekranu ustawień ochrony w Centrum zabezpieczeń i zgodności.

Skaner usługi Azure Information Protection odnosi się do scenariuszy hybrydowych i lokalnych, umożliwiając konfigurowanie zasad automatycznego wykrywania, klasyfikowania, etykietowania i chronienia dokumentów w repozytoriach lokalnych, takich jak serwery plików i lokalne serwery programu SharePoint. Możesz wdrożyć skaner we własnym środowisku, postępując zgodnie z instrukcjami w tym przewodniku technicznym.

W pełni zarządzane usługi baz danych platformy Azure, takie jak Azure SQL Database, pomagają zmniejszyć obciążenie związane z instalowaniem poprawek i aktualizacji platformy danych, zapewniając jednocześnie inteligentne, wbudowane funkcje ułatwiające określanie lokalizacji przechowywania poufnych danych. Nowe technologie, takie jak usługa Azure SQL Data Discovery and Classification, dostarczają zaawansowane możliwości odnajdywania, klasyfikowania, etykietowania i chronienia danych poufnych na poziomie bazy danych. Dane osobowe można chronić za pomocą technologii takich jak Transparent Data Encryption (TDE), która obsługuje funkcję korzystania z własnego klucza (BYOG, Bring Your Own Key) dzięki integracji z rozwiązaniem Azure Key Vault.

Zobaczmy, jak klient rozwiązania Microsoft 365, firma INAIL, wykorzystuje usługę Azure Information Protection do klasyfikowania, etykietowania i chronienia swoich najbardziej poufnych danych:

Pewne reagowanie

Zapewnienie wdrożenia procesów pozwalających na wydajne zarządzanie i spełnianie niektórych wymogów rozporządzenia RODO, takich jak odpowiadanie na wnioski DSR lub reagowanie na naruszenia danych, jest dla wielu organizacji poważną trudnością.

Aby ułatwić nawigowanie po zasobach związanych z RODO oferowanych w usługach chmurowych, w zeszłym miesiącu wprowadziliśmy kartę Prywatność w Portalu zaufania usług. Zawiera ona informacje potrzebne do przygotowania się do własnej oceny wpływu ochrony danych (DPIA, Data Protection Impact Assessment) na usługi platformy Microsoft Cloud, wskazówki dotyczące odpowiadania na wnioski DSR oraz informacje o tym, jak firma Microsoft wykrywa i reaguje na naruszenia danych osobowych oraz jak otrzymywać powiadomienia bezpośrednio od firmy Microsoft.

Obejrzyj nowy klip wideo z serii Mechanics, aby dowiedzieć się więcej o zasobach związanych z RODO w Portalu zaufania usług.

Funkcje do obsługiwania wniosków DSR

Usługi platformy Microsoft Cloud oferują kilka funkcji ułatwiających obsługę wniosków DSR — jest to m.in. karta Poufność danych w usłudze Office 365, portal wniosków DSR na platformie Azure i nowe funkcje wyszukiwania na potrzeby wniosków DSR w usłudze Dynamics 365.

Nowa karta Poufność danych, pulpit nawigacyjny RODO i środowisko obsługi DSR w usłudze Office 365 są teraz ogólnie dostępne dla wszystkich klientów komercyjnych. To środowisko ma na celu zapewnienie narzędzi do wydajnego i efektywnego wykonywania wniosków DSR dla zawartości usługi Office 365 — takiej jak Exchange, SharePoint, OneDrive, Grupy, a teraz także Microsoft Teams.

Kelly Clay z firmy GlaxoSmithKline mówi „RODO 2016/679 to rozporządzenie w przepisach prawnych UE dotyczące ochrony danych i prywatności wszystkich osób w Unii Europejskiej. Rozporządzenie RODO zapewnia również obywatelom UE nowy zestaw „praw cyfrowych” w erze wzrostu ekonomicznej wartości danych osobowych w cyfrowej ekonomii. Rozporządzenie RODO będzie wymagać od firm przechowujących i przetwarzających duże ilości danych zarządzania wnioskami DSR — organizacje te będą potrzebować narzędzi w usłudze Office 365 do zarządzania wnioskami DSR”.

Patrick Oots z firmy prawniczej Shook, Hardy & Bacon obserwuje organizacje swoich klientów oraz ich drogę do zgodności z rozporządzeniem RODO. „Cieszymy się, że firma Microsoft inwestuje w usługę Office 365. Gdy nasi klienci przygotowują się do rozporządzenia RODO, widzimy olbrzymią wartość narzędzi w portalu poufności danych do zarządzania wnioskami DSR zgodnie z Artykułem 15. Wraz z rozwojem przepisów prawnych dotyczących prywatności danych przypominamy naszym klientom usługi Office 365 o tym, jak istotne jest właściwe wdrożenie zasad zarządzania informacjami w Centrum zabezpieczeń i zgodności w celu zminimalizowania ryzyka”. Patrick podkreśla dalej, jak strategia proaktywnego zarządzania danymi może pomóc organizacjom w precyzyjnym reagowaniu na regulacje takie jak RODO, gdy zajdzie taka potrzeba.

Zrzut ekranu pulpitu nawigacyjnego RODO w Centrum zabezpieczeń i zgodności.

Portal wniosków DSR platformy Azure jest teraz także ogólnie dostępny. Portal wniosków DSR platformy Azure umożliwia administratorom dzierżaw znajdowanie informacji związanych z użytkownikiem, a następnie poprawianie, uzupełnianie, usuwanie lub eksportowanie danych użytkownika. Administratorzy mogą także rozpoznawać informacje związane z osobą, której dane dotyczą, i wykonywać jej wnioski DSR w dziennikach generowanych przez system (czyli w danych generowanych przez firmę Microsoft w celu realizacji określonej usługi) dla usług platformy Microsoft Cloud. Inne nowe oferty platformy Azure obejmują ogólną dostępność usługi Azure Policy, Menedżera zgodności dla RODO na platformie Azure oraz Plan zabezpieczeń i zgodności platformy Azure dla rozporządzenia RODO.

Więcej informacji zawiera wpis w blogu dotyczącym platformy Azure na temat funkcji związanych z rozporządzeniem RODO.

Zrzut ekranu przedstawiający ekran „Wprowadzenie do prywatności użytkowników” w usłudze Azure Directory.

Aby pomóc klientom w odpowiadaniu na wnioski DSR w usłudze Dynamics 365, przygotowaliśmy dwie funkcje wyszukiwania: Wyszukiwanie według istotności oraz raport Wyszukiwanie osoby. Wyszukiwanie według istotności umożliwia szybkie i łatwe znalezienie istotnych informacji przy użyciu usługi Azure Search. Raport Wyszukiwanie osoby zawiera gotowy zestaw opracowanych przez firmę Microsoft rozszerzalnych jednostek umożliwiających identyfikację danych osobowych, używanych do definiowania użytkowników i przypisanych im ról.

Więcej informacji zawiera wpis w blogu dotyczącym usługi Dynamics 365.

Zrzut ekranu przedstawiający funkcję Wyszukiwanie według istotności w usłudze Dynamics 365.

Nowe centrum prywatności systemu Windows zawiera powiązaną zawartość na temat prywatności w systemie Windows z witryny docs.microsoft.com. Znajdziesz tutaj nowe wskazówki ułatwiające osobom podejmującym decyzje w sprawach IT przygotowanie się do rozporządzenia RODO, listę ustawień konfiguracji usług systemu Windows 10 używanych do ochrony prywatności danych osobowych, opis danych diagnostycznych systemu Windows i wiele więcej.

Obsługa naruszeń danych

Wejście w życie rozporządzenia RODO oznacza również bardziej restrykcyjne przepisy, zgodnie z którymi muszą działać organizacje w przypadku naruszenia danych. Rozwiązanie Microsoft 365 oferuje niezawodny zestaw funkcji, od Zaawansowanej ochrony przed zagrożeniami w usłudze Office 365 (ATP, Advanced Threat Protection) po usługę Azure ATP, które pomagają w ochronie przed naruszeniami danych i pomagają je wykryć.

Rozpocznij już dziś zapewnianie zgodności z RODO dzięki firmie Microsoft

Firma Microsoft ma rozległe doświadczenie w dziedzinie ochrony danych i prywatności oraz zapewnienia zgodności ze szczegółowymi wymogami prawnymi. Uważamy, że rozporządzenie RODO jest ważnym krokiem w kierunku wyraźnego ustanowienia indywidualnych praw do zachowania prywatności i wprowadzenia gwarancji związanych z tym rozporządzeniem do zobowiązań umownych.

Niezależnie od tego, na jakim etapie drogi do zapewnienia zgodności z rozporządzeniem RODO jesteś, pomożemy Ci dotrzeć do celu. Oto kilka zasobów, które pomogą Ci już dziś zrobić pierwszy krok:

Pobierz nasz bezpłatny oficjalny dokument i nasz e-book.
Wykonaj bezpłatnie ocenę gotowości na RODO online.
Znajdź partnera RODO.

Dowiedz się więcej o tym, w jaki sposób firma Microsoft może pomóc w przygotowaniu się do RODO.