Raportowanie w RODO

Raportowanie: podejmowanie działań w odpowiedzi na wnioski o udostępnienie danych, raportowanie naruszeń danych osobowych oraz prowadzenie niezbędnej dokumentacji
RODO wyznacza nowe standardy w zakresie przejrzystości, rozliczalności i ewidencji. Będą Państwo musieli działać w sposób bardziej transparentny w zakresie nie tylko przetwarzania danych osobowych, ale również sposobu aktywnego prowadzenia dokumentacji definiującej stosowane przez Państwa procesy i wykorzystanie danych osobowych.

Raportowanie w RODO

Ewidencja

Organizacje przetwarzające dane osobowe będą musiały prowadzić ewidencję w zakresie celów przetwarzania; kategorii przetwarzanych danych osobowych, tożsamości osób trzecich, którym udostępniane są dane, czy (i które) inne kraje otrzymują dane osobowe oraz podstawy prawnej takiego przekazywania danych, działań organizacyjnych i technicznych związanych z bezpieczeństwem oraz terminów zachowywania danych dotyczących poszczególnych zbiorów danych. Jednym ze sposobów na osiągnięcie tego celu jest korzystanie z narzędzi do audytowania, które mogą pomóc w zapewnieniu, aby wszelkie przetwarzanie danych – bez względu na to, czy jest to gromadzenie, wykorzystywanie, udostępnianie lub inne – było śledzone i rejestrowane.

W ramach usług chmurowych Microsoft dostępne są zagnieżdżone usługi w zakresie audytowania, które mogą pomóc Państwu spełnić ten standard.

Azure, Office 365 i Dynamics 365

Na portalu Service Trust Portal można znaleźć wyczerpujące informacje na temat poszczególnych rozwiązań Azure, Office 365 i Dynamics 365 w zakresie zapewnienia zgodności z obowiązującymi przepisami, bezpieczeństwa, ochrony danych osobowych i powiernictwa, w tym raportów i poświadczeń (certyfikatów) zgodności. Sporządzane przez osoby trzecie niezależne raporty z audytu i raporty na temat oceny ładu korporacyjnego (zarządzania), zarządzania ryzykiem i zapewnienia zgodności z obowiązującymi przepisami (GRC – governance, risk management, compliance) pomagają Państwu otrzymywać aktualne informacje na temat zgodności usług chmurowych Microsoft z globalnymi standardami, które są istotne dla Państwa organizacji. Dokumenty dostępne na portalu Trust mogą pomóc Państwu zrozumieć, w jaki sposób usługi chmurowe Microsoft zabezpieczają Państwa dane oraz w jaki sposób mogą Państwo zarządzać bezpieczeństwem danych i zapewnieniem zgodności z obowiązującymi przepisami Państwa usług chmurowych.

Azure

Audytowanie i rejestrowanie zdarzeń dotyczących bezpieczeństwa oraz powiązanych z nimi alarmów stanowią ważne elementy skutecznej strategii w zakresie bezpieczeństwa danych.

Funkcjonalność platformy Azure w zakresie rejestrowania i audytowania umożliwia Państwu:

Tworzenie ścieżki rewizyjnej dla aplikacji uruchamianych na platformie Azure i maszyn wirtualnych tworzonych za pomocą Azure Virtual Machines Gallery.
Wykonywanie scentralizowanej analizy dużych zbiorów danych poprzez gromadzenie zdarzeń dotyczących bezpieczeństwa pobieranych z infrastruktury Azure funkcjonującej jako usługa (IaaS) i platformy funkcjonującej jako usługa (PaaS). Następnie za pomocą narzędzia Azure HDInsight można agregować i analizować te zdarzenia oraz eksportować je do lokalnych systemów SIEM celem bieżącego monitorowania.
Monitorowanie raportów na temat dostępu i użytkowania poprzez wykorzystywanie rejestrowania przez platformę Azure działań administracyjnych, w tym dostępu do systemu, celem tworzenia ścieżki rewizyjnej na wypadek nieuprawnionych lub przypadkowych zmian. Mogą Państwo pobierać rejestry rewizyjne (audit logs) dotyczące użytkownika Azure Active Directory oraz korzystać z podglądu raportów na temat dostępu i użytkowania.
Eksportowanie alarmów bezpieczeństwa do lokalnych systemów SIEM za pomocą narzędzia Azure Diagnostics, które może zostać skonfigurowane do gromadzenia rejestrów zdarzeń dotyczących bezpieczeństwa w systemie Windows oraz innych rejestrów związanych z bezpieczeństwem.
Pozyskiwanie za pomocą platformy Azure Marketplace oferowanych przez inne firmy narzędzi w zakresie monitorowania bezpieczeństwa, raportowania i alarmowania.

Microsoft Azure Monitor zapewnia organizacjom łatwy podgląd i zarządzanie wszystkimi zadaniami w zakresie monitorowania danych za pomocą centralnego kokpitu menedżerskiego. Uzyskują Państwo dostęp do szczegółowych, aktualnych danych na temat wydajności i wykorzystania zasobów, dostęp do rejestru działań, który śledzi każde wywołanie API oraz rejestrów diagnostycznych, które pomagają śledzić problemy pojawiające się w Państwa zasobach na platformie Azure. Ponadto, można konfigurować alarmy i podejmować zautomatyzowane działania. Azure Monitor współpracuje z Państwa dotychczas używanymi narzędziami, więc w wyniku połączenia Azure Monitor z już Państwu znanymi narzędziami analitycznymi uzyskają Państwo bogatą, kompleksową (end-to-end) funkcjonalność w zakresie monitorowania i analityki.

Office i Office 365

Service Assurance w ramach Office 365 Security & Compliance Center zapewnia Państwu dostęp do dogłębnej wiedzy potrzebnej do przeprowadzania ocen ryzyka, obejmującej szczegółowe informacje na temat raportów Microsoft na temat zgodności z obowiązującym przepisami i transparentny status zaudytowanych mechanizmów kontrolnych, w tym:
- Stosowane przez Microsoft praktyki w zakresie bezpieczeństwa danych klientów przechowywanych na platformie Office 365.
- Sporządzane przez osoby trzecie niezależne raporty z audytu platformy Office 365.
- Szczegółowe dane na temat wdrożenia i testowania zabezpieczeń, ochrony danych osobowych i mechanizmów kontroli zgodności z obowiązującymi przepisami, które pomagają klientom zapewnić zgodność ze standardami, przepisami prawa i regulacjami dotyczącymi rożnych branż, takimi jak ISO 27001 i ISO 27018, jak również z ustawą Health Insurance Portability and Accountability Act (HIPAA).
Rejestry rewizyjne (audit logs) Office 365 pozwalają na monitorowanie i śledzenie działań użytkowników i administratorów w przekroju poszczególnych zadań realizowanych na platformie Office 365, co pomaga wcześniej wykrywać i badać problemy dotyczące bezpieczeństwa i zapewnienia zgodności z obowiązującymi przepisami. Aby rozpocząć rejestrowanie działań użytkowników i administratorów w Państwa organizacji należy użyć strony wyszukiwania rejestru rewizyjnego Office 365. Po sporządzeniu rejestru rewizyjnego przez Office 365 można przeszukiwać ten rejestr celem wyszukiwania szerokiej gamy działań, w tym przesłań danych do OneDrive lub SharePoint Online lub resetów haseł użytkowników. Program Exchange Online można skonfigurować pod kątem śledzenia zmian wprowadzanych przez administratorów i w ten sposób śledzić, kiedy dostęp do skrzynki pocztowej uzyskuje ktoś inny niż osoba będąca właścicielem skrzynki pocztowej.
Customer Lockbox zapewnia Państwu kontrolę nad sposobem uzyskiwania dostępu do Państwa danych przez inżyniera serwisowego Microsoft w trakcie sesji pomocy serwisowej. W przypadku, gdy inżynier potrzebuje uzyskać dostęp do Państwa danych celem usunięcia usterek i rozwiązania problemu, narzędzie Customer Lockbox pozwala Państwu na zatwierdzenie lub odrzucenie wniosku o uzyskanie dostępu. Jeżeli Państwo zatwierdzą wniosek, wówczas inżynier może uzyskać dostęp do danych. Każdy wniosek ma termin wygaśnięcia, a kiedy problem zostanie rozwiązany, wniosek jest zamykany i prawo dostępu zostaje cofnięte.

Enterprise Mobility + Security (EMS)

Azure Information Protection zapewnia bogatą funkcjonalność w zakresie rejestrowania i raportowania celem umożliwienia przeprowadzania analiz wskazujących, w jaki sposób są rozprowadzane dane wrażliwe. Funkcja śledzenia dokumentów pozwala użytkownikom i administratorom na monitorowanie działań dotyczących udostępnianych danych oraz cofanie praw dostępu w przypadku wystąpienia nieoczekiwanych zdarzeń. Azure Information Protection zapewnia również funkcjonalność w zakresie analizowania nieuporządkowanych danych przechowywanych na dyskach sieciowych, stronach i bibliotekach SharePoint, repozytoriach sieciowych oraz na dyskach komputerów stacjonarnych lub przenośnych. Mając dostęp do plików można skanować zawartość każdego pliku i zdecydować, czy określone klasy danych osobowych występują w pliku. Następnie można sklasyfikować i oznaczyć każdy plik etykietą w zależności od rodzaju zawartych w nim danych. Ponadto, można generować raporty na temat tego procesu, zawierające informacje na temat przeskanowanych plików, procedur klasyfikacyjnych, które okazały się zgodne z zawartością plików oraz zastosowanej etykiety.

Windows i Windows Server

Windows Event Log zapewnia bogatą funkcjonalność w zakresie rejestrowania, która umożliwia administratorom uzyskanie podglądu zarejestrowanych informacji na temat działań systemu operacyjnego, aplikacji i użytkowników. Ten system rejestrów można skonfigurować pod kątem audytu szczegółowych działań użytkowników i aplikacji, w tym, na przykład, dostępu do plików, użytkowania plików oraz zmian procedur. Ponadto, Windows Event Log umożliwia administratorom przekazywanie zdarzeń przesyłanych przez stacje klienckie i serwery do centralnej lokalizacji w celach związanych z raportowaniem i audytowaniem.

Narzędzia do raportowania i dokumentacja usług chmurowych

Podobnie jak w przypadku każdej innej bazy danych lub systemu przetwarzającego dane osobowe, korzystanie przez Państwa z usług chmurowych powinno być dobrze rejestrowane i dobrze rozumiane przez Państwa organizację. Na przykład, Państwa organizacja będzie musiała rozumieć rolę danych osobowych przechowywanych przez dostawców usług w imieniu Państwa organizacji; relację kontraktową dotyczącą współpracy z tymi dostawcami usług; oraz co się stanie z danymi, kiedy relacja usługowa się zakończy.

Pomagamy Państwu zarządzać tymi informacjami poprzez utrzymywanie prostych i jasnych narzędzi do raportowania na temat Państwa konta w chmurze Microsoft, wraz z bogatą dokumentacją na temat naszych usług chmurowych opisującą, w jaki sposób funkcjonują oraz na temat naszej kontraktowej relacji z Państwem.

Powiadamianie osób, których dane dotyczą

RODO zmieni wymagania w zakresie ochrony danych i wprowadzi bardziej restrykcyjne obowiązki dla podmiotów przetwarzających dane i administratorów danych dane w zakresie powiadamiania o naruszeniach ochrony danych osobowych skutkujących ryzykiem naruszenia praw i wolności osób fizycznych. Na mocy nowego rozporządzenia, zgodnie z Artykułami 17, 31 i 32, podmiot przetwarzający dane musi powiadomić administratora danych o każdym takim naruszeniu ochrony danych osobowych bez zbędnej zwłoki po uzyskaniu informacji o takim fakcie.

Po uzyskaniu informacji o naruszeniu ochrony danych osobowych administrator danych musi powiadomić stosowny organ nadzorczy w ciągu 72 godzin. Jeżeli naruszenie może powodować duże ryzyko naruszenia praw i wolności osób fizycznych, wówczas administratorzy danych będą również mieli obowiązek powiadomienia bez zbędnej zwłoki osób, których dane dotyczą, o takim naruszeniu. Oznacza to, że jeżeli jako administrator danych korzystają Państwo z usług podmiotu przetwarzającego dane, wówczas muszą Państwo zapewnić, aby Państwa umowy zawierały jasno sformułowane oczekiwania dotyczące powiadomień o ewentualnych naruszeniach ochrony danych osobowych.

W odniesieniu do zdarzeń za które Microsoft ponosi część lub całą odpowiedzialność za podjęcie działań, opracowaliśmy szczegółowe procesy Incident Security Incident Response Management, takie jak opisane dla platform Azure, Office 365 i Dynamics 365. Ponadto, nasze zobowiązania wynikające z RODO znajdują potwierdzenie w naszym umowach.

Oferowane przez Microsoft produkty i usługi – takie jak Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 i Windows 10 – są już dzisiaj wyposażone w rozwiązania, które pomogą Państwu wykrywać i oceniać zagrożenia i naruszenia ochrony danych osobowych oraz spełnić wynikające z RODO obowiązki w zakresie powiadamiania o naruszeniach ochrony danych osobowych.

Obsługa wniosków osoby, której dane dotyczą

Do najważniejszych elementów RODO należą prawa „osoby, której dane dotyczą” określone w artykułach rozdziału 2: Informacje i dostęp do danych osobowych, rozdziału 3: Sprostowanie i usunięcie danych, oraz rozdziału 4: Prawo do sprzeciwu oraz zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach.

Powyższe obowiązki mogą wpływać na Państwa środowisko informatyczne i działalność jako administratora danych oraz na środowisko informatyczne i działalność dowolnych dostawców usług, których Państwo zaangażują w roli podmiotów przetwarzających dane.

Właściwe zarządzanie danymi stanowi kluczowy element przepisów prawa dotyczących ochrony danych osobowych i jest zalecane w większości przepisów prawa i regulacji (rozporządzeń) w zakresie zabezpieczenia danych i ochrony danych osobowych. Kluczowym elementem zarządzania danymi na mocy RODO jest powołanie Inspektora Ochrony Danych (IOD) w szczególnych okolicznościach określonych w artykułach 35, 36 i 37. IOD musi być zaangażowany we wszystkie sprawy związane z ochroną danych osobowych.

Drugim ważnym elementem zarządzania danymi zgodnie RODO jest przeprowadzenie weryfikacji zgodności z obowiązującymi przepisami w zakresie ochrony danych osobowych celem dokonania oceny skutków dla ochrony danych osobowych (DPIA) pod kierunkiem IOD. Artykuł 33a w szczególności mówi o wymogu przeprowadzenia przez administratora danych, w ciągu dwóch lat od dokonania oceny skutków dla ochrony danych osobowych, weryfikacji zgodności z obowiązującymi przepisami celem wykazania, że przetwarzanie danych osobowych jest realizowane zgodnie z oceną skutków dla ochrony danych osobowych (DPIA).

Microsoft Trust Center udostępnia informacje, w jaki sposób możemy zapewnić Państwu wsparcie na Państwa drodze do RODO, w tym rozdział specjalny przedstawiający poglądy i zobowiązania Microsoft dotyczące RODO.