Príprava na novú éru regulácie ochrany osobných údajov s Microsoft Cloudom

Spoločnosť Microsoft má rozsiahle skúsenosti v oblasti ochrany údajov, podpory ochrany osobných údajov a dodržiavania súladu s komplexnými nariadeniami. Microsoft dodržiava súbor princípov ochrany osobných údajov a všetkým zákazníkom ponúka vzorové doložky EÚ. Sme presvedčení, že všeobecné nariadenie o ochrane údajov (General Data Protection Regulation, GDPR) je dôležitým krokom smerom k vyjasneniu a podpore práv na ochranu osobných údajov jednotlivca.

S blížiacim sa vstupom nariadenia GDPR do platnosti bude musieť pravdepodobne aj vaša organizácia už čoskoro preukázať v auditoch regulačných orgánov a pri vybavovaní žiadostí o poskytnutie informácií, že podnikla všetky potrebné kroky na ochranu osobných údajov zákazníkov.

Dôležitým krokom pri preukazovaní zodpovednosti je implementácia vhodných bezpečnostných kontrolných mechanizmov. Rovnako dôležité je aj zavedenie správnych procesov, ako napríklad reakcia na požiadavku dotknutej osoby (Data Subject Request, DSR) a poskytnutie oznámenia o úniku údajov, aby ste zabezpečili dodržiavanie súladu s nariadením GDPR a získali dôveru svojich zákazníkov.

Dnes by sme chceli oznámiť niekoľko nových zdrojov a funkcií, ktoré vám pomocou Microsoft Cloudu umožnia pripraviť sa na povinnosti vyplývajúce z nariadenia GDPR. Tieto aktualizácie zahŕňajú:

• nové zdroje ochrany osobných údajov v Microsoft Cloude vo verzii Public Preview,
• nové funkcie zamerané na pomoc s požiadavkami DSR v celých službách Microsoft Cloudu týkajúcimi sa nariadenia GDPR,
• nové, auditovateľné funkcie riešenia Privileged Access Management v službách Office 365,
• možnosť rozmiestnenia jedného nájomníka služieb Office 365 do údajových centier služieb Office 365 v rôznych častiach sveta.

Ak sa chcete dozvedieť viac podrobností a získať informácie aj o ďalších aktualizáciách, čítajte ďalej.

Lepšie plnenie povinností vyplývajúcich z nariadenia GDPR pomocou portálu Service Trust Portal

Dnes by sme chceli oznámiť zverejnenie nových nástrojov a zdrojov vo verzii Public Preview určených na podporu nariadenia GDPR vrátane oznámení o požiadavkách DSR a o úniku údajov týkajúcich sa služieb Office 365, Dynamics 365, Azure, Windows, Intune a profesionálnych služieb na portáli Service Trust Portal.

Zdroje pre nariadenie GDPR obsahujú dokumentáciu o oznámeniach o úniku údajov, ktorá popisuje, kedy a ako bude spoločnosť Microsoft vám a iným používateľom oznamovať únik osobných údajov, aké informácie bude spoločnosť Microsoft poskytovať a aké nástroje môžete použiť na zabezpečenie informovania tých pracovníkov v organizácii, ktorí informovaní byť musia.

Všetky zdroje DSR sme sústredili na jednu stránku, ktorá poskytuje nástroje použiteľné v Centre zabezpečenia a dodržiavania súladu pre Office 365 a Centre spravovania pre Azure. Zároveň sú tu k dispozícii dokumenty, ktoré vás prevedú procesom vyhľadania, exportovania a vymazania údajov zo služby Microsoft Cloud.

Ďalšie informácie získate zo zdrojov ochrany osobných údajov na portáli Service Trust Portal.

Odpoveď na požiadavky DSR v službách Microsoft Cloud

Na podporu požiadaviek DSR implementujeme do služieb Microsoft Cloud niekoľko nových funkcií vrátane karty Ochrana osobných údajov v službách Office 365, portálu Azure DSR a nových funkcií vyhľadávania požiadaviek DSR v službe Dynamics 365.

• Karta Ochrana osobných údajov v službách Office 365 – V Centre zabezpečenia a dodržiavania súladu pre Office 365 sme pridali kartu Ochrana osobných údajov (vo verzii Preview), ktorá umožní efektívne spravovanie požiadaviek DSR týkajúcich sa služieb Office 365. Na karte Ochrana osobných údajov sa nachádza časť týkajúca sa nariadenia GDPR, ktorá obsahuje dokumentáciu a zdroje na dodržiavanie súladu s nariadením GDPR, ako aj kartu určenú na prácu s požiadavkami DSR.

Nové používateľské rozhranie na prácu s požiadavkami DSR poskytuje nástroje na vytváranie prípadov požiadaviek DSR, vyhľadávanie a spracovanie relevantných údajov v jednotlivých umiestneniach služieb Office 365, ako napríklad Exchange, SharePoint, OneDrive, Groups a Microsoft Teams, a nakoniec aj na export údajov.

Jedna zo situácií použitia požiadavky DSR je, že zamestnanec opúšťa organizáciu a žiada si svoje údaje. V podobných situáciách je pre zákazníkov so službami Office 365 E5 v rámci Rozšíreného riadenia údajov k dispozícii funkcia uchovávania údajov založená na udalosti.

Ďalšie informácie o karte Ochrana osobných údajov v službách Office 365 a uchovávaní na základe udalostí v článku Rozšírené riadenie údajov na blogu komunity Tech.

Ak chcete vidieť, ako požiadavky DSR v službách Office 365 fungujú, pozrite si video zo série Mechanics:

 

• Portál Azure DSR – Pred termínom vstupu nariadenia GDPR do platnosti (25. mája 2018) plánujeme vydať funkciu spracovávania požiadaviek DSR v službe Azure. Správcovia nájomníkov služby Azure budú mať jednoduchý a účinný nástroj na rýchle spracovanie požiadaviek DSR vychádzajúcich z nariadenia GDPR. Pomocou portálu Azure DSR budú môcť správcovia nájomníkov identifikovať informácie týkajúce sa používateľov a následne opraviť, zmeniť, odstrániť alebo exportovať údaje používateľov. Správcovia tiež môžu identifikovať informácie týkajúce sa dotknutej osoby a spracovať požiadavky DSR na základe denníkov vygenerovaných systémom (tieto údaje Microsoft vytvára na poskytovanie služieb).

Portál Azure DSR je pomôckou pri spracovaní požiadavky DSR.

Ďalšie informácie nájdete na blogu Azure.

• Možnosti vyhľadávania požiadaviek DSR v službe Dynamics 365 – Zákazníci môžu na požiadavky DSR v službe Dynamics 365 reagovať prostredníctvom dvoch nových funkcií vyhľadávania: vyhľadávania podľa relevancie a zostavou vyhľadávania osoby. Vyhľadávanie podľa relevancie poskytuje rýchly a jednoduchý spôsob, ako vyhľadať potrebné informácie pomocou funkcie Azure Search. Zostava vyhľadávania osoby poskytuje vopred pripravený súbor rozšíriteľných entít vytvorených spoločnosťou Microsoft na identifikáciu osobných údajov, ktoré sa používajú na definovanie osoby a jej priradených rolí.

Postup v prípade úniku údajov podľa nariadenia GDPR

Podľa nariadenia GDPR musia organizácie v prípade úniku údajov spĺňať prísnejšie požiadavky. Zahŕňa to poskytnutie informácií obom regulačným orgánom a všetkým postihnutým stranám väčšinou do 72 hodín po zaznamenaní úniku údajov. Microsoft 365 obsahuje veľké množstvo funkcií, ktoré pomáhajú chrániť pred únikom údajov, zistiť ho a reagovať naň. Rozšírená ochrana pred bezpečnostnými hrozbami pre Office 365 (ATP) napríklad pomáha chrániť ekosystém služieb Office 365 v organizácii, aby škodlivé e-maily ani dôležité súbory podniku nemohli preniknúť do používateľského konta. Windows Defender ATP sa zameriava na ochranu používateľských kont pred škodlivými webovými súbormi a malvérom zo zariadení.

ATP – Bezpečné prílohy blokujú škodlivú e-mailovú prílohu.

Ak spoločnosť Microsoft zaznamená únik osobných údajov podľa definície nariadenia GDPR, informujeme správcu nájomníkov. Okrem toho odporúčame v službe Azure Active Directory vytvoriť alias kontaktnej osoby zodpovednej za ochranu osobných údajov, ktorá spolu so správcami taktiež dostane oznámenie.

Zhromažďovanie, spracovanie a revízia súhlasu používateľov pomocou služby Azure Active Directory

Podľa nariadenia GDPR musia spoločnosti spracovať súhlas používateľov, ako aj používať auditovateľný systém zostáv. Vďaka podmienkam používania služby Azure Active Directory môžu organizácie súhlas používateľov jednoducho zhromažďovať, spracovávať a revidovať. Môžete požadovať, aby si používatelia predtým, ako získajú prístup k aplikácii, prečítali podmienky používania platné vo vašej organizácii a vyjadrili svoj súhlas s nimi. ​Podmienkami používania môže byť každý dokument, ktorý sa týka obchodných a právnych politík platných vo vašej organizácii.

Príklad podmienok používania služby Azure Active Directory vo viacerých jazykoch.

Ďalšie informácie získate v dokumentácii týkajúcej sa podmienok používania služby Azure Active Directory.

Využitie auditovateľných kontrolných mechanizmov pri privilegovanom prístupe správcu

Zatiaľ čo sa organizácie snažia minimalizovať riziko úniku údajov z privilegovaných kont spôsobené hrozbami, potrebujú tiež mať možnosť reagovať na požiadavky regulačných orgánov a poskytnúť zdokumentovaný záznam privilegovaných prístupov, ktorý obsahuje popis pristupovania k údajom zákazníkov. S cieľom pomôcť organizáciám chrániť údaje a reagovať na povinnosť dodržiavania súladu predstavujeme dnes nové funkcie riešenia Privileged Access Management v službe Microsoft 365, ktoré poskytujú auditovateľné kontrolné mechanizmy prístupu. Tieto kontrolné mechanizmy sú časovo obmedzené a dokážu upravovať rozsah prístupu k údajom.

Pomocou riešenia Privileged Access Management v službách Office 365 môžete lepšie chrániť svoje údaje sledovaním alebo vynucovaním pracovného postupu schvaľovania, ktoré sú nastavené podľa vašich úloh s vysokým rizikom v službách Office 365. Široké privilégiá správcu napríklad umožnia správcom vykonávať úlohy, ktoré umožňujú voľný prístup k údajom organizácie, ako napríklad k pravidlu denníka, prostredníctvom ktorého je možné odosielať e-maily do externej poštovej schránky a nepozorovane tak vynášať citlivé údaje. Privileged Access Management v službách Office 365 umožňuje používať politiky, ktoré pred vykonaním úloh s vysokým rizikom vyžadujú schválenie. Žiadosti o prístup je možné schvaľovať automaticky alebo manuálne, a zároveň sú všetky činnosti zaznamenané a auditovateľné. Ďalšie informácie získate v tomto videu:

Tešíme sa z uvedenia riešenia Privileged Access Management v službách Office 365 vo verzii Public Preview. Ak chcete začať, navštívte stránku Office Previews (zadajte kód PAM044) a potom si prečítajte podrobný blog komunity Tech.

Riešenie požiadaviek globálneho umiestnenia údajov

Čoraz viac vlád, regulačných orgánov tretích strán a podnikových požiadaviek na dodržiavanie súladu stanovuje pokyny na umiestnenie údajov s cieľom riešiť problémy ochrany osobných údajov. Tieto pokyny bránia slobodnému cezhraničnému pohybu informácií a vyžadujú, aby sa údaje organizácie ukladali v rámci určenej geografickej oblasti. Aj keď nariadenie GDPR nevyžaduje umiestnenie údajov, mnohí zákazníci nám povedali, že potrebujú flexibilitu na ukladanie údajov vo vybratých geografických oblastiach, aby splnili regionálne, odvetvové alebo organizačné požiadavky na umiestnenie údajov.

Funkcia Multi-Geo Capabilities umožňuje nájomníkovi služieb Office 365 využívať údajové centrá služieb Office 365 v rôznych geografických oblastiach a zákazníkom dáva príležitosť ukladať údaje služieb Office 365 podľa zamestnancov vo vybratých geografických oblastiach. Funkcia Multi-Geo bola spustená v službe Exchange Online a OneDrive for Business. Prečítajte si článok Získajte kontrolné mechanizmy globálneho umiestnenia údajov s funkciou Multi-Geo v službách Office 365 a dozviete sa viac.

Vydajte sa už dnes s Microsoft Cloudom na cestu za dodržiavaním súladu s nariadením GDPR

Bez ohľadu na to, kde sa v rámci práce s nariadením GDPR nachádzate, chceme vám na vašej ceste za dodržiavaním súladu s nariadením GDPR pomôcť. Ponúkame vám niekoľko zdrojov, ktoré vám pomôžu začať už dnes:

• Stiahnite si bezplatnú technickú dokumentáciu a elektronickú knihu.
• Absolvujte naše bezplatné online hodnotenie v súvislosti s nariadením GDPR.

Získajte ďalšie informácie o tom, ako vám spoločnosť Microsoft dokáže pomôcť pripraviť sa na nariadenie GDPR.

– Alym Rayani, riaditeľ služby Microsoft 365