Office 365

Jak przygotować firmę na RODO przy użyciu usług Microsoft

Rozporządzenie Ochrony Danych Osobowych na pewno wpłynie na wiele procedur związanych z przetwarzaniem danych klientów. Internauci dokonujący zakupów w e-sklepach, a także składających zapytania przez formularze kontaktowe zyskają nowe prawa, związane z przekazaniem przez te narzędzia swoich danych tj. imię, nazwisko, a nawet adres email.  Jak przygotować swoją firmę na nowe zasady, które wejdą w życie 25 maja 2018 roku i jak w tym zakresie pomagają aplikacje oraz usługi od firmy Microsoft – dowiesz się z tego artykułu.

Czym jest europejskie Rozporządzenie o Ochronie Danych Osobowych (RODO)?

Rozporządzenie o Ochronie Danych Osobowych (RODO, znane także jako GDPR, ang. General Data Protection Regulation) wprowadza nowe zasady w organizacjach, które oferują towary i usługi dla obywateli Unii Europejskiej (UE) lub dla takich, które zbierają i analizują dane powiązane z obywatelami UE. Każda firma, która decyduje się na przetwarzanie danych osobowych i określa sposób ich przetwarzania staje się administratorem.

Należy przy tym pamiętać, że dane osobowe to dowolne dane, które pozwalają na identyfikację osoby fizycznej w sposób bezpośredni lub pośredni – może to być nie tylko imię oraz nawisko, ale również adres email, numer ID, czy unikalny login. Przetwarzanie to praktycznie każda czynność, jaką z tymi danymi będziemy robić, poczynając od zbierania i przechowywania, poprzez organizowanie czy przeglądanie, a skończywszy na przesyłaniu, rozpowszechnianiu czy wreszcie usuwaniu i niszczeniu. Praktycznie zatem wszyscy jesteśmy administratorami i przetwarzamy dane osobowe – dlatego RODO będzie miało bardzo duży zasięg i dotknie praktycznie każdej firmy w Polsce.

Dlaczego RODO jest ważne dla małych i średnich firm?

Rozporządzenie będzie egzekwowane od 25 maja 2018 roku, ale już teraz należy się do niego przygotować, by spełnić wszystkie wymogi nałożone przez prawo. Wprowadza ono bowiem wiele obowiązków wobec administratorów. Z głównych należy wspomnieć:

  • Rozszerzenie ochrony danych (m.in. prawo dostępu do danych, „prawo do zapomnienia”).
  • Wysokie wymagania związane z bezpieczeństwem danych osobowych, dotyczące zarówno administratorów, jak i przetwarzających (firm działających na zlecenie administratorów).
  • Obowiązkowe zgłaszanie naruszeń przy przetwarzaniu danych osobowych (m.in. zgłoszenia należy dokonywać do 72 godzin od wystąpienia naruszenia).
  • Możliwości powództwa cywilnego ze strony osób fizycznych i bardzo wysokie kary administracyjne za nieprzestrzeganie przepisów.

 

Jakie elementy składają się na standardy RODO?

RODO ma bardzo szeroki zakres oddziaływania na firmy, dlatego przy opracowywaniu odpowiednich procedur i dostosowywania narzędzi należy wziąć pod uwagę takie czynniki jak:

  • Przetwarzanie danych – czy firma jest przygotowana do przeprowadzenia analiz posiadanych danych i różnych procesów przetwarzania danych, w tym także tych, w których dane są przetwarzane przez dostawców usług, np. usługi finansowe?
  • Dokumentowanie przetwarzania – czy na wypadek kontroli lub procesu sądowego wytoczonego przez osobę fizyczną firma może się wykazać informacjami potwierdzającymi prawidłowość przetwarzania?
  • Możliwość szybkiej odpowiedzi na żądania osób, których dane są przetwarzane w firmie (to wymaganie nakładane przez RODO!) – m.in. informacji, jakie dane są przetwarzane, możliwość poprawy lub usunięcia danych.
  • Ocena ryzyka związanego z przetwarzaniem danych osobowych – ma na celu zbudowanie takiego zabezpieczania danych, które odpowiada realnym zagrożeniom oraz kosztom jakie musi ponieść administrator. Analiza ryzyka jest podstawą podjęcia decyzji np. o wdrożeniu odpowiednich zabezpieczeń lub podzieleniu się odpowiedzialnością z podmiotem przetwarzającym.
  • Zabezpieczenia informatyczne – czy firma jest przygotowana do rygorystycznych wymogów dotyczących cyberbezpieczeństwa?
  • Zawiadomienia o naruszeniu danych – czy firma jest w stanie wykryć naruszenie i powiadomić organ nadzorczy oraz osobę, której dane dotyczą o ich wystąpieniu?

Jak wygląda sprawa RODO w firmie, używającej usług chmury Microsoft?

W przypadku, gdy firma używa usług chmurowych Microsoft, wówczas to Microsoft staje się podmiotem przetwarzającym dla danej firmy (administratora). Podmiot taki staje się automatycznie współodpowiedzialny za spełnienie wymogów rozporządzenia. Według artykułu 82 RODO:

  1. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

Należy przy tym pamiętać, że firmy, z którymi współpracujemy na co dzień i które na nasze zlecenie przetwarzają osobowe, także staną się podmiotami przetwarzającymi. Dotyczy to szczególnie biur rachunkowych, usług transportowych, kurierskich itp. Dlatego też RODO nakazuje administratorom szczególnie starannie wybierać współpracujące z nimi podmioty przetwarzające oraz nakłada na nie bardzo wysokie wymagania.

Ważne – sprzedawcy sprzętu lub oprogramowania, które będzie wykorzystane tylko przez administratora danych i tylko w siedzibie firmy, nie stają się podmiotami przetwarzającymi. To na firmie ciąży całkowita odpowiedzialność jaką ponosi administrator.

 

Przykłady zagadnień RODO, które zostały rozwiązane w Office 365

Prawo do dostępu do danych

Zagadnienie: Każda osoba – nawet taka, o której sądzimy, że nigdy nie kontaktowała się z naszą firmą – może zapytać czy jej dane osobowe są przetwarzane w naszej firmie. Mamy obowiązek taką informację przekazać.

Rozwiązanie: Dzięki Office 365 możemy zidentyfikować – zarówno w chmurze, jak i na komputerach pracowników – czy występują dane osobowe pytającego. Na tej podstawie możemy przekazać pytającemu jakie dane i gdzie są przetwarzane, a także ułatwi nam to analizę czy mamy wszystkie zgody na przetwarzanie danych. W końcu czy danych tych nie powinniśmy usunąć gdyby nie było już powodu dalszego przetwarzania.

Jakie narzędzia warto w tym celu wykorzystać:

  • Funkcja Sharepoint Online w połączeniu Flow oraz PowerApps umożliwia zbudowanie rozwiązania do zbierania i zarządzania zgłoszeniami od klientów.
  • Content search umożliwia przeszukiwanie skrzynek pocztowych, publicznych folderów, Microsoft Teams, witryn SharePoint Online, lokalizacji OneDrive dla firm oraz historycznych konwersacji prowadzonych w Skype dla firm.
  • Funkcja przeszukiwania Office 365 eDiscovery może być wykorzystywana do wyszukiwania tekstów i metadanych w treści we wszystkich usługach Office 365.

Zabezpieczenie danych osobowych

Zagadnienie: RODO wymaga, aby przy danych osobowych zastosować odpowiednie środki techniczne by zapewnić bezpieczeństwo odpowiadające ryzyku. Powinniśmy zapewnić m.in. odporność systemów, integralność danych, ich dostępność i możliwość szybkiego przywrócenia dostępności. Musimy chronić dane przed przypadkowym lub nieuprawnionym dostępem, bądź przesyłaniem, utratą lub modyfikacją.

Rozwiązanie: Rozwiązania chmurowe umożliwiają konfigurację dostępu do danych tylko upoważnionym osobom, a w razie potrzeby utracone dane możemy odtworzyć.

Jakie narzędzia warto w tym celu wykorzystać:

  • Data Loss Prevention (DLP) w ramach usługi Office 365 umożliwia identyfikację powszechnie używanych typów danych wrażliwych, oprócz danych osobowych także danych finansowych czy medycznych.
  • Rights Management Services oraz Azure Information Protection umożliwiają szyfrowanie, klasyfikowanie, etykietowanie i ochronę dokumentów i wiadomości email.
  • Advanced Threat Protection chroni w czasie rzeczywistym skrzynki pocztowe izolując podejrzane załączniki oraz skanując linki umieszczane w wiadomościach email
  • Microsoft Cloud App Security identyfikuje aplikacje chmurowe, zarządza dostępem do aplikacji i chroni dane.
  • Azure Backup w prosty sposób zabezpiecza dane i umożliwia ich odzyskiwanie w przypadku awarii infrastruktury lub oprogramowaniem wymuszającym okup.
  • Azure Site Recovery, dzięki replikacji fizycznej infrastruktury i maszyn wirtualnych zapewnia uruchamianie zapasowego środowiska w przypadku przestoju w centrum danych klienta.

Zgłoszenie naruszeń

Zagadnienie: Naruszeniem może być praktycznie każde działanie na danych osobowych, które jest nieuprawnione, przypadkowe lub będące wynikiem cyberataku. Może to być utrata, modyfikacja, przekazanie, udzielenie dostępu itd. Po stwierdzeniu naruszenia musimy nie później niż w ciągu 72 godzin zgłosić naruszenie do regulatora.

Rozwiązanie: Można przede wszystkim zabezpieczyć by naruszenia nie doszło, np. przeciwdziałać pomyłkowej wysyłce danych osobowych. Dane będą chronione na najwyższym poziomie. Narzędzia Microsoft pomogą zidentyfikować, czy naruszenie miało miejsce, na czym polegało, kiedy nastąpiło i wszystkie inne pomocne w takie sytuacji informacje.

Jakie narzędzia warto w tym celu wykorzystać:

  • Audit Log w usłudze Office 365 umożliwia tworzenie dziennika inspekcji, w którym zapisywane są wszystkie działania użytkowników, np. usunięcie pliku, reset hasła itp.
  • Dzięki analizie behawioralnej usługi Advanced Threat Analytics możliwe jest wykrywanie potencjalnych zagrożeń i podejrzanych działań zmierzających do przejęcia danych.
  • Log Analytics monitorując środowiska chmurowe i lokalne, działając na wszystkich zebranych danych i oferują scentralizowaną analizę całego środowiska.
  • Azure Security Center monitoruje zabezpieczenia oraz znajduje i eliminuje luki w zabezpieczeniach w środowiskach lokalnych i chmurowych.

Najwyższe standardy RODO dzięki aktualizacjom usług Microsoft

Inwestycja w usługi Microsoft tj. Office 365 oraz pakiet Microsoft 365 Business pozwalają firmom korzystającym z usług chmurowych na bezpieczne przetwarzanie danych klientów, a także na szybką reakcję na wypadek, gdyby niezbędna była odpowiednia weryfikacja danych osobowych (np.  w związku ze zgłoszeniem klienta). Dzięki integracji środowiska oraz narzędzi administratorzy danych mogą w łatwy sposób zidentyfikować konkretnych klientów – w kontekście RODO jest to bardzo ważne. Dużym atutem tego rozwiązania jest również nieustanna praca firmy Microsoft nad dostosowaniem wszystkich narzędzi do nowych wymogów przetwarzania danych, a to oszczędza czas i środki firmie, która musiałaby regularnie sprawdzać swoje zasoby oraz działanie narzędzi poprzez np. zewnętrzny audyt.

Dzięki Microsoft 365 już teraz firma zapewnia ochronę poufnych danych poprzez:

  • Powszechne udostępnienie Menedżera zgodności dla klientów platformy Azure, a także usług Dynamics 365 oraz Office 365 Business i Enterprise w chmurach publicznych,
  • Udostępnienie funkcji Ocena zgodności dla usługi Office 365,
  • Powszechne udostępnienie skanera usługi Azure Information Protection.

Oprócz samych aktualizacji w przyszłości już dzisiaj rozwiązanie Microsoft 365 zapewnia następujące możliwości:

  • Ochrona poufnych danych w aplikacjach i w różnych usługach w chmurze,
  • Obsługa ochrony danych na różnych platformach,
  • Środowisko schematu spójnego etykietowania (w wersji zapoznawczej).