Zarządzanie danymi w RODO

Zarządzanie: określenie, w jaki sposób dane osobowe są wykorzystywane i udostępniane

RODO zapewnia osobom, których dane dotyczą większą kontrolę nad tym, w jaki sposób ich dane osobowe są rejestrowane i wykorzystywane. Osoba, której dane dotyczą może na przykład zwrócić się do Państwa organizacji o udostępnienie danych, które jej dotyczą, przesłania jej danych do innych usług, poprawienia błędów jej danych lub wyłączenia określonych danych z dalszego przetwarzania w określonych przypadkach. W niektórych przypadkach na wnioski te odpowiedzi muszą być udzielane w ustalonym terminie.

Zarządzanie danymi w RODO

Zarządzanie: określenie, w jaki sposób dane osobowe są wykorzystywane i udostępniane

Zarządzanie danymi

Aby wypełnić swoje obowiązki wobec osób, których dane dotyczą muszą Państwo najpierw zrozumieć, jakie rodzaje danych osobowych są przetwarzane przez Państwa organizację, w jaki sposób i w jakim celu. Opisana wcześniej inwentaryzacja danych stanowi pierwszy krok do osiągnięcia takiego zrozumienia. Po zakończeniu inwentaryzacji ważnym zadaniem jest stworzenie i wdrożenie planu zarządzania danymi. Plan zarządzania danymi może ułatwić Państwu zdefiniowanie procedur, ról i obowiązków związanych z zapewnieniem dostępu, zarządzaniem i wykorzystaniem danych osobowych oraz pomóc Państwu w zapewnieniu zgodności stosowanych przez Państwa praktyk w zakresie przetwarzania danych z RODO. Na przykład, plan zarządzania danymi może dać Państwa organizacji pewność, że w sposób skutecznyspełniają Państwo wysuwane przez osoby, których dane dotyczą żądania usunięcia lub przesłania ich danych.

Oferowane przez Microsoft usługi chmurowe

Aby zapewnić wsparcie Państwa strategii zarządzania danymi Microsoft rozwija usługi chmurowe stosując metodologię Microsoft Privacy-by-Design (ochrona danych na etapie projektowania) i Privacy-by-Default (domyślna ochrona danych). Kiedy powierzają Państwo swoje dane systemom Azure, Office 365, czy Dynamics 365, w dalszym ciągu pozostają Państwo ich jedynym właścicielem: zachowując prawa, tytuł i udziały w danych przechowywanych przy wykorzystaniu poszczególnych usług.

Oferowane przez Microsoft usługi chmurowe zapewniają mocne mechanizmy ułatwiające Państwu ochronę danych Państwa klientów przed nieodpowiednim dostępem lub wykorzystaniem przez osoby nieupoważnione, zgodnie ze szczegółowym opisem podanym w Microsoft Trust Center. Mechanizmy te obejmują ograniczenie dostępu personelu i podwykonawców Microsoft do danych oraz staranne zdefiniowanie wymagań w zakresie reagowania na wnioski organów administracji państwowej dotyczących udostępnienia danych klientów. Jednakże, mogą Państwo uzyskać dostęp do swoich własnych danych klientów w dowolnej chwili i w dowolnym celu.

Ponadto, przekierowujemy wnioski organów administracji państwowej dotyczące Państwa danych bezpośrednio do Państwa, o ile nie jest to prawnie zabronione i w przeszłości odwoływaliśmy się do sądu sprzeciwiając się podejmowanym przez organy administracji państwowej próbom zakazania ujawniania takich wniosków.

Aby zapewnić właściwe zarządzanie oferowanymi przez Microsoft usługami chmurowymi oraz udzielić naszym klientom zapewnień w tym zakresie, usługi chmurowe są audytowane przynajmniej raz w roku pod kątem zgodności z szeregiem globalnych standardów w zakresie ochrony danych osobowych, w tym HIPAA i HITECH, CSA Star Registry oraz szeregiem standardów ISO. Raporty te są dostępne na:

https://servicetrust.microsoft.com/Documents/ComplianceReports

Poza powyższymi zobowiązaniami zapewniamy Państwu niezbędną kontrolę nad sposobem zarządzania danymi oraz nad tym, kto ma dostęp do jakich danych w ramach Państwa organizacji.

Azure

Azure Active Directory to rozwiązanie w zakresie zarządzania tożsamością i dostępem w chmurze. Zarządza tożsamościami i kontroluje dostęp do platformy Azure, systemów lokalnych i innych zasobów chmurowych, danych oraz aplikacji. Za pomocą narzędzia Azure Active Directory Privileged Identity Management można przyznawać uprawnionym użytkownikom tymczasowe, prawa administracyjne Just-In-Time (JIT) do zarządzania zasobami na platformie

Azure. Azure Role-Based Access Control (RBAC) ułatwia zarządzanie dostępem do Państwa zasobów na platformie Azure. Umożliwia Państwu przyznawanie praw dostępu w zależności od roli przypisanej danemu użytkownikowi, ułatwiając przyznawanie wyłącznie niezbędnych uprawnień, potrzebnych poszczególnym użytkownikom do wykonywania ich zadań. Istnieje możliwość dostosowania narzędzia RBAC do indywidualnych wymagań wynikających z modelu biznesowego Państwa organizacji oraz stopnia tolerancji ryzyka.

Office 365

Rozwiązania Office 365 zapewniają szereg funkcji ułatwiających zarządzanie Państwa danymi osobowymi:

Funkcje w zakresie zarządzania danymi dostępne w ramach Office 365 Security & Compliance Center ułatwiają archiwizację i zachowanie treści w skrzynkach pocztowych systemu Exchange Online, na stronach SharePoint Online i w lokalizacjach OneDrive for Business oraz importowanie danych do Office 365.
Funkcja Retention systemu Office 365 ułatwia zarządzanie cyklem istnienia poczty elektronicznej i dokumentów poprzez zachowywanie potrzebnych Państwu treści oraz usuwanie stosownych treści, kiedy nie są już potrzebne.
Advanced Data Governance wykorzystuje inteligencję i generowane za pomocą maszyn wnioski ułatwiające wyszukiwanie, klasyfikowanie, wprowadzanie procedur oraz podejmowanie działań mających na celu zarządzanie cyklem istnienia danych, które są najważniejsze dla Państwa organizacji.
Procedury w zakresie zarządzania informacją dostępne w ramach SharePoint Online umożliwiają kontrolowanie, jak długo poszczególne treści mają być zachowywane, sprawdzanie (audyt) co poszczególne osoby robią z treścią oraz przypisywanie dokumentom kodów kreskowych lub etykiet.
Funkcja dziennika (journaling) w systemie Exchange Online ułatwia spełnienie wymagań w zakresie zachowania zgodności z przepisami prawa, regulacjami i zasadami organizacyjnymi poprzez rejestrowanie przychodzącej i wychodzącej komunikacji realizowanej za pomocą poczty elektronicznej.

Klasyfikacja danych

Klasyfikacja danych stanowi ważną część każdego planu zarządzania danymi. Przyjęcie systemu klasyfikacji obejmującego całą organizację może okazać się szczególnie przydatne w przypadku odpowiadania na wnioski osób, których dane dotyczą, ponieważ umożliwia Państwu łatwiejszą identyfikację i przetwarzanie wniosków dotyczących danych osobowych. Oferujemy wskazówki i narzędzia ułatwiające Państwu poradzenie sobie ze złożonością procesu klasyfikacji danych.

Azure

Opracowanie Data Classification zawiera określone wskazówki dotyczące klasyfikacji danych na platformie Azure i szczegółowy opis zasad, na których oparte są techniki, proces, terminologia i wdrożenie klasyfikacji danych. Dokumentacja zawiera bogaty zbiór innych informacji i linków.

Dynamics 365

Przewodnik planowania w zakresie bezpieczeństwa i zapewnienia zgodności z obowiązującymi przepisami w systemie Dynamics 365 (online) zawiera wyczerpujące wskazówki pozwalające na zrozumienie kluczowych aspektów dotyczących zapewnienia zgodności z obowiązującymi przepisami i bezpieczeństwa przy planowaniu wdrożenia systemu Dynamics 365 (online) w środowiskach obejmujących usługi integracji katalogów przedsiębiorstwa (enterprise directory integration), takie jak synchronizacja katalogów (directory synchronization) oraz pojedyncze logowanie (single sign-on). Zawiera informacje na temat procedur w zakresie ochrony i poufności danych osobowych, klasyfikacji danych oraz skutków dla ochrony danych.

Enterprise Mobility + Security (EMS)

Azure Information Protection ułatwia klasyfikowanie i etykietowanie danych z chwilą ich stworzenia lub modyfikacji. Następnie dane wrażliwe mogą zostać poddane działaniom ochronnym (szyfrowanie plus uwierzytelnianie plus prawa do wykorzystywania) lub oznakowane wizualnie. Etykiety klasyfikacyjne i działania ochronne mają charakter trwały, poruszają się wraz z danymi i dzięki temu dane przez cały czas mogą być zidentyfikowane i chronione – bez względu na to, gdzie są przechowywane, czy komu są udostępniane.

Office i Office 365

Data Loss Prevention (DLP) w ramach Office i Office 365 umożliwia identyfikację ponad 80 powszechnie używanych typów danych wrażliwych w tym danych finansowych, medycznych i informacji umożliwiających identyfikację osób. Ponadto, DLP pozwala organizacjom na konfigurowanie działań, które należy podjąć po zidentyfikowaniu danych celem zapewnienia ochrony informacji wrażliwych oraz zapobieżenia ich przypadkowemu ujawnieniu.
Advanced Data Governance wykorzystuje inteligencję i generowane za pomocą maszyn wnioski ułatwiające wyszukiwanie, klasyfikowanie, wprowadzanie procedur oraz podejmowanie działań mających na celu zarządzanie cyklem istnienia danych, które są najważniejsze dla Państwa organizacji. Klasyfikuje dane na podstawie automatycznej analizy i zalecanej polityki, następnie podejmuje działania mające na celu zachowanie danych w danym miejscu lub usunięcie tego, co jest konieczne. Dane zachowane w danej lokalizacji, jak również zewnętrzne źródła danych można wprowadzić na platformę Office 365 oraz sklasyfikować według typu wiadomości. Klasyfikacja według typu wiadomości pozwala na przeszukiwanie, porządkowanie i eksportowanie poszczególnych źródeł danych, co ułatwia proces realizacji przeglądów e-discovery.

Windows i Windows Server

Microsoft Data Classification Toolkit for Windows Server 2012 R2 zapewnia przykładowe wyszukiwane zwroty i reguły, które mogą Państwo wykorzystywać celem ułatwienia realizacji działań związanych z zapewnieniem zgodności z obowiązującymi przepisami prowadzonych przez informatyków z Państwa organizacji, audytorów, księgowych, prawników i innych specjalistów w zakresie zapewnienia zgodności z obowiązującymi przepisami.