Inwentaryzacja danych w RODO

Inwentaryzacja danych: identyfikacja, jakie dane osobowe Państwo posiadają i gdzie są one przechowywane
Pierwszym krokiem w kierunku zapewnienia zgodności z RODO jest dokonanie oceny, czy RODO dotyczy Państwa organizacji oraz, jeżeli tak jest, w jakim zakresie. Ta analiza rozpoczyna się od zrozumienia, jakie dane Państwo posiadają i gdzie są one przechowywane.

Inwentaryzacja danych w RODO

Czy RODO dotyczy moich danych?

RODO reguluje gromadzenie, przechowywanie, wykorzystywanie i udostępnianie „danych osobowych.” Definicja danych osobowych według RODO jest bardzo szeroka i obejmuje wszelkie dane dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Jeżeli Państwa organizacja posiada takie dane – w bazach danych na temat klientów, w formularzach służących do zbierania opinii wypełnianych przez Państwa klientów, w treści wiadomości przesyłanych pocztą elektroniczną, na zdjęciach, na nagraniach dokonanych za pomocą telewizji przemysłowej, w ewidencji programów lojalnościowych, bazach danych działu kadr, lub gdziekolwiek indziej – lub pragnie je gromadzić, oraz jeżeli dane należą lub dotyczą rezydentów UE, wówczas muszą Państwo zapewnić zgodność z RODO. Należy zauważyć, że dane osobowe nie muszą być przechowywane na terenie UE, aby podlegać wymaganiom RODO – RODO dotyczy danych gromadzonych, przetwarzanych lub przechowywanych poza UE, o ile dane te są powiązane z rezydentami UE.

Inwentaryzacja danych

Aby zrozumieć, czy RODO rzeczywiście dotyczy Państwa organizacji oraz, jeżeli tak jest, jakie obowiązki nakłada, ważne jest przeprowadzenie inwentaryzacji danych Państwa organizacji. To pomoże Państwu zrozumieć, jakie dane są osobowe oraz zidentyfikować systemy, w których te dane są gromadzone i przechowywane, zrozumieć, dlaczego zostały zgromadzone, w jaki sposób są przetwarzane i udostępniane oraz jak długo są zachowywane.

Poniżej podano konkretne przykłady, jak nasze rozwiązania chmurowe i lokalne (on-premises) mogą Państwu pomóc zrealizować pierwszy krok na drodze do zapewnienia zgodności z RODO.

Azure

Azure jako otwarta i elastyczna platform chmurowa, obejmuje usługę ułatwiającą inwentaryzację i identyfikowanie źródeł danych. Microsoft Azure Data Catalog to w pełni zarządzana usługa chmurowa pełniąca rolę systemu rejestracji i systemu inwentaryzacji źródeł danych w Państwa organizacji. Innymi słowy, zadaniem Azure Data Catalog jest pomoc Państwu w odkrywaniu, rozumieniu i użytkowaniu źródeł danych celem lepszego wykorzystania możliwości zapewnianych przez posiadane dane. Po zarejestrowaniu źródła danych w Azure Data Catalog, jego metadane są indeksowane przez tę usługę, aby ułatwić Państwu przeszukiwanie celem odkrycia danych, których Państwo potrzebują.

Dynamics 365

Dynamics 365 zapewnia szereg funkcji w zakresie wyświetlania (podglądu, wizualizacji) i kontroli (audytu) danych, z których można korzystać za pomocą kokpitów menedżerskich do raportowania i analityki systemu Dynamics 365 celem identyfikowania danych osobowych:

Dynamics 365 obejmuje Report Wizard, z którego można korzystać celem łatwego tworzenia raportów bez konieczności korzystania z zapytań XML, czy SQL.
Dashboards in Dynamics 365 zapewnia podgląd danych biznesowych – informacji na podstawie których można podejmować określone działania i które są dostępne do podglądu w skali całej organizacji.
Microsoft Power BI to samoobsługowa platforma business intelligence (BI), z której można korzystać celem inwentaryzowania, analizowania i wizualizacji danych oraz ich udostępniania lub współpracowania na ich podstawie z kolegami. 

Pakiet Enterprise Mobility + Security (EMS)

Pakiet Enterprise Mobility + Security obejmuje technologie w zakresie bezpieczeństwa oparte na tożsamości, ułatwiające odkrywanie, kontrolowanie i ochronę danych osobowych przechowywanych przez Państwa organizację, jak również ujawnianie potencjalnych słabych punktów i wykrywanie przypadków naruszeń danych osobowych.

Microsoft Cloud App Security to kompleksowa usługa zapewniająca bardziej szczegółowy podgląd, kompleksową kontrolę i lepszą ochronę danych w Państwa aplikacjach chmurowych. Można obejrzeć podgląd informacji o tym, które aplikacje chmurowe są wykorzystywane w Państwa sieci identyfikujących ponad 13 000 aplikacji używanych przez wszystkie urządzenia – oraz uzyskać oceny ryzyka i bieżące dane analityczne.

Microsoft Azure Information Protection pomaga w identyfikacji, które Państwa dane są wrażliwe i gdzie są przechowywane. Można albo wprowadzać zapytania dotyczące danych oznaczonych określonym poziomem wrażliwości lub w sposób inteligentny identyfikować dane wrażliwe w momencie tworzenia pliku lub wiadomości poczty elektronicznej. Po zidentyfikowaniu można automatycznie klasyfikować i etykietować dane zgodnie z pożądaną polityką firmy.

Office 365

Dostępnych jest szereg rozwiązań Office 365 ułatwiających identyfikowanie lub zarządzanie dostępem do danych osobowych:

Data Loss Prevention (DLP) w ramach Office i Office 365 umożliwia identyfikację ponad 80 powszechnie używanych typów danych wrażliwych w tym danych finansowych, medycznych i informacji umożliwiających jednoznaczną identyfikację określonych osób.
Content search w ramach Office 365 Security & Compliance Center umożliwia przeszukiwanie skrzynek pocztowych, publicznych folderów, Office 365 Groups, Microsoft Teams, stron SharePoint Online, lokalizacji One Drive for Business oraz konwersacji Skype for Business.
Funkcja przeszukiwania Office 365 eDiscovery może być wykorzystywana do wyszukiwania tekstów i metadanych w treści we wszystkich Państwa aktywach Office 365 – SharePoint Online, OneDrive for Business, Skype for Business Online oraz Exchange Online.
Office 365 Advanced eDiscovery, rozwiązanie oparte na technologii sztucznej inteligencji, ułatwia szybkie identyfikowanie dokumentów dotyczących określonego tematu (na przykład, prowadzonego śledztwa w sprawie zachowania zgodności z przepisami), przy zapewnieniu większej dokładności niż tradycyjne wyszukiwania na podstawie kluczowych słów, czy ręczne przeglądanie dużych ilości dokumentów. Advanced eDiscovery może znacząco obniżyć koszt i nakład prac potrzebnych do zidentyfikowania stosownych powiązań pomiędzy dokumentami, a danymi przy wykorzystania sztucznej inteligencji do uczenia systemu inteligentnego przeszukiwania dużych zbiorów danych oraz szybkiego wskazywania tych danych, które są istotne – co pozwala zmniejszyć ilość danych przed rozpoczęciem ich szczegółowego przeglądu.
Advanced Data Governance wykorzystuje inteligencję i generowane za pomocą maszyn wnioski ułatwiające wyszukiwanie, klasyfikowanie, wprowadzanie procedur oraz podejmowanie działań mających na celu zarządzanie cyklem istnienia danych, które są najważniejsze dla Państwa organizacji.

SharePoint

Aplikację SharePoint Search Service oraz jej funkcję wyszukiwania można wykorzystywać do śledzenia danych osobowych. Do identyfikowania i wyszukiwania treści wrażliwych, SharePoint Server 2016 zapewnia taką samą funkcjonalność w zakresie zapobiegania utracie danych, co pakiet Office 365.

SQL Server i Azure SQL Database

Język SQL może być wykorzystywany do kierowania zapytań do baz danych oraz indywidualizowania narzędzi lub usług, które ułatwią realizację tej funkcji. Wyszukiwanie jest w pełni realizowane za pomocą zapytań, chociaż pełne rejestrowanie podejmowanych działań powinno być wykonywane na poziomie aplikacji. Narzędzie do tworzenia skryptów Script task pozwala na napisanie kodu służącego do realizacji zadań spełniających indywidualne wymagania użytkowników, takich jak złożone zapytania kierowane do zbiorów danych, które nie są dostępne w ramach wbudowanych zadań i transformacji zapewnianych przez SQL Server Integration Services.

Narzędzie Script task umożliwia również połączenie funkcji w ramach jednego skryptu zamiast korzystania z wielu zadań i transformacji. Ten pakiet produktów obejmuje również zapewniającą bogate możliwości funkcjonalność business intelligence, pozwalającą użytkownikom końcowym na uzyskanie dostępu do wniosków wyciąganych na podstawie gromadzonych danych.

Windows i Windows Server

Do wyszukiwania danych w środowisku Windows można wykorzystywać narzędzie Windows Search umożliwiające śledzenie i lokalizowanie danych osobowych na maszynie lokalnej i wszelkich połączonych urządzeniach do których można uzyskać dostęp na podstawie posiadanych odpowiednich uprawnień. Aby rozszerzyć funkcjonalność narzędzia Windows Search o możliwość lokalizowania docelowych danych, należy skonfigurować opcje indeksacji (Indexing Options) na panelu sterowania (Control Panel) celem zindywidualizowania funkcjonalności narzędzia Windows Search (na przykład, indeksując zawartość plików).