Vítejte v roce GDPR. Jak chrání Microsoft Dynamics 365 vaše data?

GDPR

Zveřejňujeme další článek našeho úzkého spolupracovníka Jaromíra Šponara, který je držitelem prestižního mezinárodního ocenění Microsoft Most Valuable Professional v kategorii podnikové řešení Dynamics 365 (více zde).

Jestliže se vás někdo snaží přesvědčit, že naplnění požadavků regulace GDPR je jen otázkou IT, pravděpodobně moc netuší, o čem GDPR skutečně je. Nechci tady řešit proč, kdo a co. Nejsem právník. Často však dostávám otázku, jak tedy Microsoft řeší to GDPR ve svých službách a produktech CRM a ERP? Pokusím se proto shrnout, jak alespoň tato část podnikových informačních technologií dokáže plnit některé specifické požadavky GDPR – legislativy EU o ochraně osobních údajů, která vstoupí v platnost dne 25. května 2018.

Jedná se o následující základní kroky:

  1. Mapování – Identifikujete všechy osobní údaje evidované firmou. Jaká jsou to data a kde jsou digitálně uložena?
  2. Správa – Vysvětlíte všem, jak a proč osobní údaje shromažďujete.
  3. Ochrana – Posoudíte a rozhodnete, jaká bezpečnostní opatření můžete nasadit okamžitě.
  4. Reporting – Generujete výstupy pro žádosti týkající se osobních údajů.

Oficiální informace o regulaci GDPR naleznete zde.

1. Mapování aneb jaká máme data a kde jsou uložena

Asi nejzásadnější problém GDPR, který dělá firmám vrásky, je nalezení všech osobních dat v labyrintu stávající podnikové infrastruktury. Jednou z odpovědí může být služba Azure Data Catalogue (katalog dat ve službě Azure). Tato služba, velmi zjednodušeně řečeno, dokáže zadat například požadavek „najdi mi vše, co vypadá jako rodné číslo“.

Syntaxe pro české rodné číslo bude zapsána následovně: [0-9]{2}[0,1,5][0-9][0-9]{2}/?[0-9]{4}.

Formát zápisu pro jednotlivé země naleznete tady.

Po zadání požadavku prohledá a vyhodnotí služba všechny dostupné databáze, e-maily, dokumenty, ale také firemní počítače, tablety, mobilní telefony atd.

Takto nadefinované požadavky jsou pravidelně skenovány. Správce dat má jasný přehled o tom, co a kde se nachází. Následně může nastavit nejen pravidla, jak s těmito daty pracovat, ale i je správně spravovat.

Podrobnější informace o službě Azure Data Catalogue jsou k dispozici v anglickém jazyce zde. Naleznete tam také seznam podporovaných datových zdrojů (nejen od společnosti Microsoft). Informace na tomto odkazu.

Dostupné jsou i další užitečné služby, např. Microsoft Cloud App Security, Dynamics 365 Audit data and User activity, Office 365 Data Loss prevention, Advanced Data Governance nebo eDiscovery.

2. Správa aneb jak a proč shromažďujeme data

Podle GDPR legislativy by se měly společnosti v oblasti evidence a nakládání s osobními údaji zaměřit na dvě základní aktivity:

  • Správa dat – způsob, jak jsou data zpracovávána a za jakým účelem.
  • Klasifikace dat – mít definována klasifikační schémata, která pomáhají určovat, co je osobní údaj a jak s ním pracovat.

Pro klasifikaci dat potřebujete určit, kdo může,nebo nemůže pracovat s vybraným typem údajů. Pro tuto oblast doporučuji jeden z úžasných nástrojů pro správu oprávnění a přístupů k datům. Je to Azure Role-Based Access Control (RBAC). Opět velmi zjednodušeně vysvětlím. Představme si například zaměstnance na pozici specialisty pro reporting. Ten, vzhledem k nastaveným uživatelským oprávněním, nebude moci vytisknout nebo přeposlat dokument s rodným číslem zákazníka. Bude mít ale jako jediný právo na čtení tohoto typu dat ve vybrané databázi. Takže může připravovat analýzu segmentace zákazníků podle věku.

3. Ochrana aneb jak data okamžitě zabezpečit

Je nutno říci, že většina organizací přistupuje k ochraně osobních údajů svých zákazníků seriózně. Zabezpečují tato data proti ztrátě, odcizení nebo neautorizovanému přístupu. Avšak GDPR posouvá laťku ještě výše.

Jaké technologie můžete využít od společnosti Microsoft? Uvedu jen tři z nich, které mě zaujaly nejvíce.

Azure Key Vault – Tato služba je něco jako vysoce zabezpečený trezor pro firemní kryptografické klíče, systémová hesla a podobně.

Microsoft Intune – Kolikrát se stalo, že zaměstnanec ztratil firemní počítač, ukradli mu pracovní telefon nebo tablet? Microsoft Intune vám pomůže zapezpečit data na těchto zařízeních.

Threat Intelligence – Chytrý pomocník, který detekuje pokusy o kompromitaci sítě, e-mailů nebo zaznamená ostatní známé hrozby. Pro detekci neznámých hrozeb existuje pokročilá verze Advanced Threat Protection.

4. Reporting aneb výstupy pro žádosti týkající se osobních údajů

Co když se vás zákazník zeptá, jaké osobní údaje o něm uchováváte? A co když sami potřebujete zjistit, kdo s vybranými osobními údaji pracoval? Kdy a proč? Nalézání odpovědí na tyto otázky může být velmi problematické a zdlouhavé. Představte si tu spoustu času a práce vašich lidí, kteří se tím budou muset zabývat. Nebo…
…nebo zpracujete požadavek procesně tak, jak máte interně definováno. Do nástrojů jako je Office 365 Search & Investigation zadáte požadavek na dohledání všech údajů týkajících se dané osoby. Nástroj vám potom umožní tato data exportovat ve strojově čitelném formátu, tak jak to nařizuje legislativa GDPR.

Takto identifikovaná data můžete dále „nechat“ smazat, anonymizovat, případně pseudo-anonymizovat – viz právo na zapomnění.

Závěrem aneb jaké jsou hlavní požadavky GDPR

Legislativa GDPR ukládá celou řadu požadavků všem organizacím, které shromažďují a zpracovávají osobní údaje. Mezi nimi je také povinnost splňovat šest základních principů.

  • Transparentnost, poctivost a dodržování zákonů při manipulaci s osobními údaji a při jejich používání.
  • Omezení zpracovávání osobních údajů pouze na stanovené, výslovně uvedené a opodstatněné účely.
  • Shromažďování a ukládání minimálního množství osobních údajů, které je nezbytné pro konkrétní a relevantní účely.
  • Zajišťování přesnosti údajů a poskytování možnosti jejich opravy či vymazání.
  • Omezení ukládání osobních údajů.
  • Zajištění zabezpečení, soudržnosti a důvěrnosti osobních údajů.

Společnost Microsoft připravila tzv. White paper na téma GDPR v českém jazyce.

Dokument je ke stažení zde.

video: https://youtu.be/-1JtEKkzAz0

zdroj: www.microsoft.com/cs-cz

Pin It on Pinterest

×