Zabezpečenie práv na ochranu osobných údajov jednotlivcov podľa nariadenia GDPR s inteligentným cloudom od spoločnosti Microsoft

25. mája 2018

Autorom dnešného príspevku je Alym Rayani, riaditeľ služby Microsoft 365.

Dnes vstupuje do platnosti Všeobecné nariadenie o ochrane osobných údajov (General Data Protection Regulation, GDPR) a to z tohto dňa robí medzník v oblasti práv na ochranu osobných údajov. Žijeme v časoch, keď digitálne technológie výrazne vplývajú na naše životy, od spôsobu komunikácie až po naše vnímanie sveta. V centre tejto digitálnej transformácie sa nachádza schopnosť ukladať a analyzovať obrovské množstvo údajov, aby sme mohli generovať hlbšie poznatky a osobnejšie služby pre zákazníkov. Toto nám všetkým pomáha dosiahnuť viac než kedykoľvek predtým, ale zanecháva aj výraznú stopu údajov vrátane osobných a citlivých obchodných údajov, ktoré je potrebné chrániť.

Poslaním spoločnosti Microsoft je umožniť každému a každej organizácii na svete dosiahnuť viac. Dôveryhodnosť je podstatou všetkého, čo robíme, pretože si už dlho uvedomujeme, že ľudia nebudú používať technológie, ktorým nedôverujú. Takisto veríme, že ochrana osobných údajov je základným ľudským právom, ktoré musíme chrániť. Tak, ako to popisuje Julie Brillová, riaditeľka oblasti ochrany osobných údajov v spoločnosti Microsoft, vo svojom nedávnom príspevku na blogu, verí Microsoft, že nariadenie GDPR vytvára dôležité, globálne relevantné zásady.

Okrem našich pretrvávajúcich záväzkov k ochrane osobných údajov sme za posledný rok viackrát investovali do podpory nariadenia GDPR a práv jednotlivcov na ochranu osobných údajov. Tu je rekapitulácia možností, ktoré môžu pomôcť vašej organizácii na ceste k dodržiavaniu súladu s nariadením GDPR.

Posudzovanie a spravovanie rizika pri dodržiavaní súladu

Dosiahnutie dodržiavania súladu v celej organizácii môže byť veľmi náročné, preto by porozumenie vášmu riziku pri dodržiavaní súladu malo byť vašou hlavnou prioritou. Zákazníci nás informovali o problémoch s nedostatkom interných možností definovania a implementácie kontrolných mechanizmov a o nedostatkoch v prípravných aktivitách na audit.

Správca dodržiavania súladu a Skóre dodržiavania súladu vám pomáhajú kontinuálne monitorovať váš stav dodržiavania súladu. Správca dodržiavania súladu zaznamenáva a poskytuje podrobnosti o každom kontrolnom mechanizme spoločnosti Microsoft, ktorý bol implementovaný tak, aby spĺňal konkrétne požiadavky, vrátane podrobností o implementácii a testovacích plánoch, a v prípade potreby aj odoziev na riadenie. Poskytuje aj odporúčané kroky, pomocou ktorých môže vaša organizácia vylepšiť možnosti ochrany údajov a ktoré vám pomôžu splniť si povinnosti pri dodržiavaní súladu.

Snímka obrazovky s tabuľou Správcu dodržiavania súladu.

Pozrite si, ako organizácia Abrona, zákazník so službou Microsoft 365, používa Správcu dodržiavania súladu:

Ochrana osobných údajov

Nariadenie GDPR slúži vo svojej podstate na ochranu osobných údajov jednotlivcov a to tak, že zabezpečuje správnu bezpečnosť, riadenie a spravovanie týchto údajov, aby sa predišlo ich zneužitiu a aby sa nedostali do nesprávnych rúk. Ak chcete zabezpečiť, aby vaša organizácia efektívne chránila osobné údaje a citlivý obsah, ktorý súvisí s organizačnými požiadavkami na dodržiavanie súladu, musíte implementovať riešenia a procesy, ktoré umožnia vašej organizácii objaviť, klasifikovať, chrániť a monitorovať najdôležitejšie údaje.

Možnosti ochrany informácií v službe Microsoft 365, ako napríklad Riadenie údajov pre Office 365 a Azure Information Protection, poskytujú integrované možnosti klasifikácie, označovania a ochrany, čo umožňuje trvalejšiu ochranu vašich údajov bez ohľadu na to, kde sú uložené a kam sa presúvajú. Proaktívna stratégia riadenia údajov na klasifikáciu osobných a citlivých údajov vám umožní presne reagovať, keď budete kvôli nariadeniu GDPR potrebovať nájsť relevantné údaje na splnenie regulačnej žiadosti alebo požiadavky, napríklad žiadosti dotknutej osoby (Data Subject Request – DSR).

Snímka obrazovky s nastaveniami ochrany v Centre zabezpečenia a dodržiavania súladu.

Skener služby Azure Information Protection je určený pre hybridné a lokálne scenáre ukladania údajov a umožňuje konfigurovať politiky na automatické zisťovanie, klasifikáciu, označovanie a ochranu dokumentov v lokálnych odkladacích priestoroch, ako sú napríklad súborové servery a lokálne sharepointové servery. Ak chcete skener nasadiť vo svojom prostredí, postupujte podľa pokynov v tejto technickej príručke.

Plne spravované databázové služby platformy Azure, ako napríklad databáza Azure SQL, pomáhajú odstrániť záťaž opravy a aktualizácie platformy údajov a súčasne s tým prinášajú inteligentné vstavané funkcie, ktoré pomáhajú identifikovať, kde sú uložené citlivé údaje. Nové technológie, ako je Azure SQL Data Discovery and Classification, poskytujú rozšírené možnosti zisťovania, klasifikácie, označovania a ochrany citlivých údajov na úrovni databázy. Osobné údaje môžete ochrániť pomocou technológií ako Transparent Data Encryption (TDE), ktoré ponúkajú podporu pre Bring Your Own Key (BYOK) s integráciou služby Azure Key Vault.

Pozrite si, ako inštitút INAIL, zákazník so službou Microsoft 365, využíva Azure Information Protection na klasifikáciu, označovanie a ochranu svojich najcitlivejších údajov:

Reagovanie bez starostí

Pre mnohé organizácie je náročné zabezpečiť procesy, ktoré by efektívne spravovali a spĺňali určité požiadavky nariadenia GDPR, ako napríklad reagovanie na žiadosť dotknutej osoby alebo na únik údajov.

Minulý mesiac sme predstavili kartu Ochrana osobných údajov na portáli Service Trust Portal, aby sme vám pomohli zorientovať sa v zdrojoch nariadenia GDPR, ktoré sú k dispozícii v cloudových službách. Poskytne vám informácie potrebné na prípravu vašich vlastných vyhodnotení vplyvu ochrany osobných údajov (DPIA) v službách Microsoft Cloud, sprievodný materiál o reagovaní na žiadosti dotknutej osoby a informácie o tom, ako Microsoft zisťuje úniky osobných údajov a ako na ne reaguje a ako môžete dostávať oznámenia priamo od Microsoftu.

Pozrite si nové video na kanáli Mechanics, ak sa chcete dozvedieť viac o zdrojoch nariadenia GDPR na portáli Service Trust Portal.

Funkcie podpory žiadostí dotknutej osoby

Na podporu žiadostí dotknutej osoby existuje v službách Microsoft Cloud niekoľko nových funkcií vrátane karty Ochrana osobných údajov v službách Office 365, portálu Azure DSR a nových funkcií vyhľadávania žiadostí dotknutej osoby v službe Dynamics 365.

Nová karta Ochrana osobných údajov, tabuľa GDPR a prostredie žiadosti dotknutej osoby v službách Office 365 sú teraz k dispozícii všetkým komerčným zákazníkom. Toto prostredie je navrhnuté tak, aby poskytovalo nástroje na efektívne vybavenie žiadosti dotknutej osoby v službách Office 365, ako sú SharePoint, OneDrive, Skupiny a teraz aj Microsoft Teams.

Kelly Clayová zo spoločnosti GlaxoSmithKline hovorí: „GDPR 2016/679 je právne nariadenie EÚ, ktoré sa týka ochrany údajov a osobných údajov všetkých jednotlivcov v Európskej únii. Nariadenie GDPR prináša občanom EÚ aj novú súpravu „digitálnych práv“ v dobe, keď narastá ekonomická hodnota osobných údajov v digitálnej ekonomike. Nariadenie GDPR bude vyžadovať veľké úložiská a procesory údajov na spravovanie žiadostí dotknutej osoby a organizácie budú na toto spravovanie potrebovať nástroje v službách Office 365.“

Patrick Oots z právnickej firmy Shook, Hardy & Bacon sleduje, ako jeho zákaznícke organizácie napredujú s nariadením GDPR. „Sme radi, že Microsoft investuje do služieb Office 365. Počas toho, ako sa naši zákazníci pripravujú na nariadenie GDPR, vidíme ohromnú hodnotu nástrojov na portáli ochrany osobných údajov v spravovaní žiadostí dotknutej osoby v súlade s Článkom 15. Keďže právo v oblasti ochrany osobných údajov sa vyvíja, pripomíname našim zákazníkom so službami Office 365, že správna implementácia politík riadenia informácií v Centre zabezpečenia a dodržiavania súladu je nanajvýš dôležitá pre minimalizáciu rizika.“ Patrick ďalej vysvetľuje, ako môže proaktívna stratégia riadenia údajov pomôcť organizáciám reagovať na nariadenia ako GDPR s vyžadovanou presnosťou.

Snímka obrazovky s tabuľou GDPR v Centre zabezpečenia a dodržiavania súladu.

Portál Azure DSR je teraz všeobecne dostupný. Pomocou portálu Azure DSR budú môcť správcovia nájomníkov identifikovať informácie týkajúce sa používateľov a následne opraviť, zmeniť, odstrániť alebo exportovať údaje používateľov. Správcovia tiež môžu identifikovať informácie týkajúce sa dotknutej osoby a vybaviť žiadosti dotknutej osoby na základe denníkov vygenerovaných systémom (tieto údaje Microsoft vytvára na poskytovanie služieb) pre služby Microsoft Cloud. Ďalšie nové ponuky platformy Azure zahŕňajú všeobecnú dostupnosť služieb Azure Policy, Správcu dodržiavania súladu pre systém Azure GDPR a služby Azure Security and Compliance Blueprint for GDPR.

Prečítajte si viac v príspevku o GDPR funkciách na blogu Azure.

Snímka obrazovky Začíname s ochranou osobných údajov používateľov v Azure Directory.

Ak chceme pomôcť zákazníkom reagovať na žiadosti dotknutej osoby v systéme Dynamics 365, máme dve možnosti vyhľadávania: Vyhľadávanie podľa relevancie a zostavu vyhľadávania osoby. Vyhľadávanie podľa relevancie poskytuje rýchly a jednoduchý spôsob, ako vyhľadať potrebné informácie pomocou funkcie Azure Search. Zostava vyhľadávania osoby poskytuje vopred pripravený súbor rozšíriteľných entít vytvorených spoločnosťou Microsoft na identifikáciu osobných údajov, ktoré sa používajú na definovanie osoby a jej priradených rolí.

Viac sa dozviete v príspevku na blogu Dynamics 365.

Snímka obrazovky, ktorá zobrazuje vyhľadávanie podľa relevancie v systéme Dynamics 365.

Nové centrum ochrany osobných údajov systému Windows na lokalite docs.microsoft.com obsahuje súvisiaci obsah o ochrane osobných údajov vo Windowse. Nájdete tam nový sprievodný materiál určený pre rozhodujúcich IT pracovníkov počas príprav na nariadenie GDPR, zoznam služieb a konfiguračných nastavení systému Windows 10, ktoré sa používajú na ochranu osobných údajov a porozumenie diagnostickým údajom, a ešte oveľa viac.

Postupy pri únikoch údajov

Príchod nariadenia GDPR znamená aj prísnejšie regulácie, ktorými sa organizácie musia riadiť v prípade úniku údajov. Microsoft 365 poskytuje veľké množstvo možností, od Rozšírenej ochrany pred bezpečnostnými hrozbami pre Office 365 až po Azure ATP, ktoré vám môžu pomôcť chrániť sa pred únikmi údajov a zisťovať ich.

Vydajte sa už dnes so spoločnosťou Microsoft na cestu za dodržiavaním súladu s nariadením GDPR

Spoločnosť Microsoft má rozsiahle skúsenosti v oblasti ochrany údajov, podpory ochrany osobných údajov a dodržiavania súladu s komplexnými nariadeniami. Veríme, že nariadenie GDPR je dôležitým krokom vpred pre ujasnenie a uplatňovanie práv na ochranu osobných údajov a poskytujeme záruky súvisiace s nariadením GDPR v našichzmluvných záväzkoch.

Bez ohľadu na to, kde na ceste k nariadeniu GDPR sa nachádzate, sme tu na to, aby sme vám pomohli v snahe o dodržiavanie súladu s týmto nariadením. Máme niekoľko zdrojov, ktoré vám pomôžu začať už dnes:

Stiahnite si bezplatnú technickú dokumentáciu a elektronickú knihu.
Absolvujte naše bezplatné online hodnotenie v súvislosti s nariadením GDPR.
Nájdite si partnera na pomoc s nariadením GDPR.

Získajte ďalšie informácie o tom, ako vám spoločnosť Microsoft dokáže pomôcť pripraviť sa na nariadenie GDPR.