Захистіть право на конфіденційність персональних даних відповідно до GDPR за допомогою інтелектуальних хмарних служб Microsoft

За

25.05.2018

Автор допису: Алім Райяні, директор Microsoft 365.

Упровадження Загального регламенту про захист даних (General Data Protection Regulation, GDPR) є важливим моментом в історії права на конфіденційність особистої інформації. Цифрові технології надзвичайно впливають на наше життя, від способів зв’язку до характеру сприйняття навколишнього світу. Важливою складовою цифрової трансформації є можливість зберігати й аналізувати величезну кількість інформації, щоб виводити чіткіші аналітичні дані та забезпечити більш персоналізовану взаємодію з клієнтами. Завдяки цьому зараз усі ми досягаємо кращих результатів, ніж будь-коли раніше. Водночас тепер ми маємо дані, зокрема особисті та корпоративні, які потрібно захищати.

Завдання корпорації Майкрософт – допомогти кожній людині та кожній організації на цій планеті досягати більшого. Довіра є основою всього, що ми робимо, адже ми розуміємо, що люди не користуватимуться технологіями, на які не можна покластися. Також ми впевнені, що конфіденційність є базовим правом, яке потрібно захищати. Джулі Брілл, керівник відділу забезпечення конфіденційності в корпорації Майкрософт, відзначила в нещодавньому дописі в блозі: “Корпорація Майкрософт переконана, що GDPR визначає важливі принципи, актуальні в глобальному масштабі”.

Крім орієнтованості на забезпечення конфіденційності на постійній основі, протягом минулого року наша корпорація зробила кілька інвестицій для підтримки GDPR та захисту прав на конфіденційність особистої інформації. Далі коротко описано, як можна забезпечити відповідність GDPR на рівні організації.

Оцінка ризиків невідповідності вимогам і керування ними

Оскільки забезпечити відповідність у масштабі цілої організації досить важко, то перш за все потрібно оцінити, які саме ризики для вас найкритичніші. Клієнти скаржилися на проблеми, пов’язані з відсутністю внутрішніх засобів визначення та впровадження способів керування й неефективністю підготовки до перевірок.

Диспетчер і оцінка відповідності дають змогу постійно слідкувати за тим, чи відповідає ваша організація вимогам. Диспетчер відповідності збирає дані кожного елемента керування Microsoft, який було застосовано для забезпечення відповідності певним вимогам, зокрема правилам упровадження та тестування планів, а також указівкам керівництва. Він також пропонує рекомендації, використавши які можна покращити стан захисту даних і забезпечити відповідність вимогам.

Знімок екрана приладної дошки Диспетчера відповідності

У цьому відео розповідається про те, як у компанії Abrona використовується Диспетчер відповідності для Microsoft 365.

Захист особистих даних

GDPR створено для захисту персональних даних, тобто забезпечення належного рівня безпеки, регулювання та правильного керування такими даними для уникнення зловживання або розкриття цих відомостей стороннім особам. Щоб на рівні організації забезпечити надійний захист персональних даних і конфіденційної інформації, пов’язаної з вимогами щодо відповідності, потрібно застосовувати рішення та процеси, які дають змогу визначати, класифікувати, захищати та контролювати найважливіші відомості.

Рішення для захисту даних у Microsoft 365, зокрема “Керування даними для Office 365” і “Захист даних в Azure”, пропонують функції класифікації, позначення та захисту для постійного контролю над інформацією, хоч би де вона зберігалася та використовувалася. Проактивна стратегія керування даними для класифікації персональної та конфіденційної інформації дає змогу надавати точні відомості у відповідь на запити щодо регламенту або суб’єктів персональних даних (Data Subject Request, DSR) у рамках GDPR.

Знімок екрана з параметрами захисту в Центрі безпеки та відповідності.

Сканер функції Захист даних в Azure аналізує локальні та гібридні сценарії й допомагає налаштувати політики, щоб автоматично виявляти, класифікувати, позначати та захищати документи у ваших локальних репозиторіях, наприклад на файлових серверах і локальних серверах SharePoint. Щоб розгорнути сканер у вашому середовищі, скористайтесь інструкціями в цьому технічному посібнику.

Повністю керовані служби баз даних Azure, зокрема “База даних Azure SQL”, допомагають полегшити процедури виправлення й оновлення платформ даних, а також пропонують вбудовані інтелектуальні функції, які визначають місце зберігання конфіденційної інформації. Нова технологія виявлення та класифікації даних Azure SQL (Azure SQL Data Discovery and Classification), забезпечує розширені можливості пошуку, класифікації, позначення та захисту конфіденційної інформації на рівні бази даних. Захистіть інформацію за допомогою технології прозорого шифрування даних (Transparent Data Encryption, TDE) з підтримкою служби Bring Your Own Key (BYOK) та інтеграцією сховища ключів Azure.

Дізнайтеся, як клієнт Microsoft 365, компанія INAIL, застосовує функцію “Захист даних в Azure” для класифікації, позначення та захисту найважливішої інформації.

Упевненість у діях

Багатьом організаціям важко запровадити процеси для ефективного керування та забезпечення відповідності певним вимогам GDPR, зокрема щодо подання відповідей на запити DSR або реагування на порушення безпеки даних.

Щоб вам було легше переглядати ресурси GDPR в різних хмарних службах, минулого місяця ми представили вкладку “Конфіденційність” на Порталі надійності. Тут можна знайти інформацію для підготовки до внутрішньої оцінки впливу на захист даних (Data Protection Impact Assessments, DPIAs) за допомогою служб Microsoft Cloud, інструкції для надсилання відповідей на запити DSR, відомості про те, як Майкрософт виявляє порушення безпеки даних і як реагує на такі випадки, а також указівки щодо того, як отримувати сповіщення безпосередньо від Майкрософт.

Перегляньте це відео та дізнайтеся більше, про ресурси GDPR на Порталі надійності.

Функції для подання відповідей на запити DSR

Для надсилання відповідей на запити DSR в службах Microsoft Cloud можна користуватися кількома функціями, зокрема вкладкою конфіденційності даних в Office 365, порталом Azure DSR, а також новими інструментами пошуку DSR в Dynamics 365.

Нова вкладка конфіденційності даних, приладна дошка GDPR та функція DSR в Office 365 доступні для всіх комерційних клієнтів. Їх створено, щоб ви могли ефективно готувати відповіді на запити DSR для вмісту в Office 365, зокрема в службах Exchange, SharePoint, OneDrive, “Групи” й тепер у Microsoft Teams.

Келлі Клей із компанії GlaxoSmithKline говорить: “GDPR 2016/679 – це регламент законодавства ЄС щодо захисту даних і конфіденційності всіх громадян у країнах Європейського Союзу. GDPR запроваджує нові “цифрові права” для ЄС в епоху підвищення цінності персональних даних у цифровій економіці. Відповідно до GDPR, компанії, які зберігають і обробляють велику кількість даних, мають надсилати відповіді на запити DSR. Для цього організаціям знадобляться інструменти Office 365″.

Патрік Утс із юридичної компанії Shook, Hardy & Bacon аналізує стан організацій клієнтів і їхні заходи для забезпечення відповідності GDPR: “Ми раді, що корпорація Майкрософт інвестує в Office 365. Наші клієнти намагаються забезпечити відповідність вимогам GDPR, тому ми вважаємо, що інструменти, за допомогою яких можна готувати відповіді на запити DSR (згідно зі статтею 15), на порталі захисту конфіденційності даних (Data Privacy Portal) дуже важливі. Оскільки закон щодо захисту конфіденційності даних удосконалюється, ми нагадуємо своїм клієнтам Office 365 про важливість правильного впровадження правил керування інформацією в Центрі безпеки та відповідності для мінімізації ризиків”. Патрік також розповів, як проактивна стратегія керування даними може допомогти організаціям точно відповідати вимогам таких регламентів, як GDPR.

Знімок екрана з приладною дошкою GDPR в Центрі безпеки та відповідності

Портал Azure DSR зараз також загальнодоступний. На ньому адміністратори клієнтів можуть визначити інформацію, пов’язану з користувачем, а потім виправити, змінити, видалити або експортувати її. Адміністратори також можуть визначити інформацію, пов’язану із суб’єктом даних, і підготувати відповідь на запит DSR на основі створених системою журналів (даних, які генерує корпорація Майкрософт для надання відповідної служби) для служб Microsoft Cloud. Крім того, доступні служба Azure Policy, Диспетчер відповідності для Azure GDPR, а також програма безпеки та відповідності Azure для GDPR (Azure Security and Compliance Blueprint for GDPR).

Дізнайтеся більше з допису в блозі Azure про функції для GDPR.

Знімок екрана, з якого можна почати роботу з функціями забезпечення конфіденційності користувачів у каталозі Azure

Готуючи відповіді на запити DSR в Dynamics 365, клієнти можуть використовувати дві функції пошуку: пошук відповідності та звіт про результати пошуку особи. Пошук відповідності – швидкий і простий спосіб виявлення потрібної інформації, створений на базі технології пошуку Azure. Звіт про результати пошуку особи – це попередньо укомплектований набір розширюваних засобів, створених корпорацією Майкрософт для ідентифікації персональних даних, які використовуються для визначення осіб і ролей, які їм може бути призначено.

Докладніші відомості можна переглянути в дописі в блозі Dynamics 365.

Знімок екрана, на якому показано застосування функції пошуку відповідності в Dynamics 365

У новому центрі конфіденційності Windows (Windows Privacy) зберігаються відомості про захист вмісту в сховищі docs.microsoft.com. Тут можна знайти відомості щодо IT-рішень, які допоможуть забезпечити відповідність GDPR, список параметрів конфігурацій служб Windows 10 для захисту персональних даних, інформацію про діагностичні дані Windows тощо.

Реагування на порушення безпеки даних

Запровадження GDPR також передбачає виконання організаціями суворіших правил у випадку порушення безпеки даних. Microsoft 365 пропонує надійні рішення – системи розширеного захисту від загроз Office 365 і Azure – для захисту від порушення безпеки даних і виявлення таких випадків.

Корпорація Майкрософт допоможе виконати всі вимоги GDPR

Корпорація Майкрософт має великий досвід у сфері захисту даних, збереження конфіденційності та дотримання складних правил. Ми вважаємо, що впровадження GDPR – це важливий крок уперед для визначення та захисту права на конфіденційність персональних даних, тому гарантуємо виконання GDPR в контексті наших договірних зобов’язань.

Хоч би на якому етапі забезпечення відповідності GDPR ви були, ми вам допоможемо. Ми пропонуємо кілька ресурсів, які допоможуть вам розпочати роботу вже сьогодні.

Безкоштовно завантажте офіційний документ і електронну книгу.
Пройдіть безкоштовне оцінювання відповідності вимогам GDPR онлайн.
Знайдіть партнера GDPR.

Дізнайтеся більше про те, як рішення Microsoft можуть допомогти вам забезпечити відповідність GDPR.