Magánszemélyek adatvédelmi jogainak védelme a GDPR értelmében a Microsoft intelligens felhőszolgáltatásával
A mai bejegyzés szerzője Alym Rayani, a Microsoft 365 igazgatója.
Az Általános adatvédelmi rendelet (GDPR) érvénybe lépése mérföldkő a magánszemélyek adatvédelmi jogait tekintve. Olyan időket élünk, amikor a digitális technológia alapvető hatással van életünkre, az egymással való kapcsolattartástól kezdve egészen odáig, hogy hogyan értelmezzük a világot. A digitális átalakulásban központi szerepe van annak, hogy képesek legyünk nagy mennyiségű adat tárolására és elemzésére, hogy mélyebb összefüggéseket és személyesebb felhasználói élményt tudjunk biztosítani. Ezáltal minden korábbinál jobb eredményt érhetünk el, ugyanakkor rengeteg adat, köztük személyes információ és bizalmas üzleti rekord védelméről kell gondoskodnunk.
A Microsoftnál küldetésünknek tekintjük, hogy a bolygón minden embernek és szervezetnek lehetőséget biztosítsunk arra, hogy nagyobb hatékonyságot érjen el. Minden tevékenységünket a bizalom fogalma hatja át, hiszen már régen felismertük azt, hogy az emberek nem fognak olyan technológiát használni, amelyben nem bíznak meg. Ezenkívül úgy gondoljuk, hogy az adatvédelem egy alapvető emberi jog, amelyet mindenképpen biztosítani kell. Ahogyan Julie Brill, a Microsoft adatvédelmi vezetője fogalmaz legutóbbi blogbejegyzésében, a Microsoft véleménye szerint a GDPR fontos, globális érvényű elveket fektet le.
Folyamatos adatvédelmi elkötelezettségünk kiegészítéseként az elmúlt évben többszöri befektetéssel is támogattuk a GDPR-t és a magánszemélyek adatvédelmi jogait. Az alábbiakban összegezzük, hogy ezek a lehetőségek hogyan segíthetnek szervezetének a GDPR-megfelelőség útján.
A megfelelőségi kockázatok felmérése és kezelése
Mivel a szervezet megfelelőségének elérése komoly kihívást jelenthet, a megfelelőségi kockázatok megismerése kiemelten fontos. Ügyfeleinktől hallottuk, hogy milyen kihívásokkal jár számukra, ha házon belül nincsenek meg azok a lehetőségek, amelyekkel meghatározhatók és implementálhatók az auditra való előkészületi tevékenységek ellenőrzései és nem kellően hatékony elemei.
A Megfelelőségkezelő és a Megfelelőségi pontszám segítségével folyamatosan nyomon követhető a megfelelőségi állapot. A Megfelelőségkezelő minden egyes, adott követelményeknek való megfelelés céljából bevezetett Microsoft-ellenőrzés esetében részletes információkat rögzít és tárol, beleértve a terv adatainak bevezetését és tesztelését, valamint szükség esetén a vezetőség válaszait. Ezenkívül ajánlott műveleteket is javasol, amelyekkel a szervezet fokozhatja az adatvédelmi lehetőségek hatékonyságát, és segíthet Önnek teljesíteni a megfelelőségi kötelezettségeket.
Az alábbiakban megtudhatja, hogy a Microsoft 365-öt használó Abrona nevű ügyfelünk miként használja a Megfelelőségkezelőt:
A személyes adatok védelme
Lényegét tekintve a GDPR a magánszemélyek személyes adatainak a védelméről szól – azaz arról, hogy megfelelő adatbiztonságot, adatgazdálkodást és adatkezelést biztosítva megakadályozzuk az adatokkal való visszaéléseket, illetve azt, hogy az adatok nem megfelelő kezekbe kerüljenek. Ha elő szeretné segíteni, hogy a szervezete hatékony védelmet tudjon nyújtani a személyes adatoknak és a szervezet megfelelőségi igényei szempontjából releváns bizalmas tartalmaknak, olyan megoldásokat és folyamatokat kell bevezetnie, amelyekkel a szervezet képes a legfontosabb adatok felfedezésére, osztályozására, védelmére és nyomon követésére.
A Microsoft 365 információvédelmi lehetőségei (például Office 365 Adatgazdálkodás és Azure Information Protection) integrált osztályozási, címkézési és védelmi funkciókat biztosítanak – egységesebb adatvédelmet nyújtva ezzel –, függetlenül attól, hogy az adatok hol találhatók meg, vagy hová kerülnek. Ha proaktív adatgazdálkodási stratégiát alkalmaz a személyes és bizalmas adatok osztályozásához, akkor pontos választ adhat, amikor egy szabályozási kérés vagy követelmény (például a GDPR részeként egy érintett általi kérés) miatt meg kell keresnie a releváns adatokat.
Az Azure Information Protection ellenőrzőeszköze hibrid és helyszíni eseteket vizsgál úgy, hogy lehetővé teszi az Ön számára olyan házirendek létrehozását, amelyek automatikusan felfedezik, besorolják, megcímkézik és megvédik a dokumentumokat a helyszíni tárakban, például a fájlkiszolgálókon és a helyszíni SharePoint-kiszolgálókon. Ha üzembe szeretné helyezni az ellenőrzőeszközt a környezetében, kövesse a technikai útmutató lépéseit.
Az Azure teljesen felügyelt adatbázis-szolgáltatásai (például Azure SQL Database) enyhítenek az adatplatform javításával és frissítésével járó terheken, miközben olyan intelligens beépített funkciókat is biztosítanak, amelyekkel beazonosítható a bizalmas adatok tárolási helye. Az új technológiák, mint például az Azure SQL adatfelderítési és -osztályozási technológiája, olyan fejlett lehetőségeket nyújtanak, amelyekkel az adatbázis szintjén fedezhetők fel, osztályozhatók, címkézhetők és védhetők meg a bizalmas adatok. Személyes adatait olyan technológiákkal védheti meg, mint amilyen például a Transzparens adattitkosítás (TDE), amely az Azure Key Vault integrálásán keresztül támogatja a Bring Your Own Key (BYOK) funkciót.
Az alábbiakban megtudhatja, hogy a Microsoft 365-öt használó INAIL hogyan osztályozza, címkézi és védi meg a legbizalmasabb adatokat az Azure Information Protection segítségével:
Magabiztos válasz
Sok szervezetnek nehéz akadályokat kell leküzdenie, ha biztosítani szeretné, hogy a folyamatok hatékonyan kezeljenek és teljesítsenek bizonyos GDPR-követelményeket, például az érintettek általi kéréseket vagy az adatokkal való visszaélésekre adott válaszokat tekintve.
Szeretnénk segíteni a különböző felhőszolgáltatásokban kínált GDPR-erőforrások közötti eligazodásban, ezért múlt hónapban bevezettük az Adatvédelem lapot a szolgáltatások megbízhatósági portálján. Ezen a lapon minden információt megtalál, amely ahhoz szükséges, hogy felkészüljön a saját adatvédelmi hatásának vizsgálatára a Microsoft Cloud szolgáltatásaiban, valamint elérheti az érintettek általi kérésekre adott válaszok útmutatóját, és arról is tájékozódhat, hogy a Microsoft hogyan észleli a személyes adatokat érintő visszaéléseket és milyen választ ad rájuk, és hogy miként kaphat közvetlen értesítéseket a Microsofttól.
Az új Mechanics-videóból többet is megtudhat a szolgáltatások megbízhatósági portálján elérhető GDPR-erőforrásokról.
Funkciók az érintettek általi kérések támogatására
Számos új funkciót alakítottunk ki azért, hogy a Microsoft Cloud minden szolgáltatásában kezelni lehessen az érintettek általi kéréseket. Ezek közé tartozik az Office 365 új Adatvédelem lapja, az Azure DSR portál, illetve a Dynamics 365 új, érintettek általi kérések esetén használható keresési funkciója.
Az Office 365 új Adatvédelem lapja, GDPR-irányítópultja és az érintettek általi kéréseket segítő felülete mostantól általánosan elérhető minden kereskedelmi ügyfelünk számára. Ezt a felületet úgy alakítottuk ki, hogy biztosítsa az Office 365-ös tartalmakra vonatkozó érintett általi kérések hatékony és eredményes végrehajtásához szükséges eszközöket – többek között az Exchange-ben, a SharePointban, a OneDrive-on, a Csoportokban és újonnan a Microsoft Teamsben is.
Ahogyan Kelly Clay a GlaxoSmithKline-tól megfogalmazta: „A GDPR 2016/679 egy európai uniós jogszabály az Európai Unió területén élő magánszemélyek adatvédelméről. A GDPR ezenkívül a „digitális jogok” új körét biztosítja az európai uniós polgároknak egy olyan korban, amikor egyre nagyobb a személyes adatok értéke a digitális gazdaságban. A GDPR megköveteli a nagy mennyiségű adatok fölött rendelkező és az adatokat feldolgozó felektől az érintettek általi kérések kezelését, a szervezeteknek pedig eszközökre lesz szükségük az Office 365-ben ezeknek a kéréseknek a kezelésére.”
Patrick Oots a Shook, Hardy & Bacon nevű jogi cég munkatársa figyelemmel kíséri az ügyfélkörükbe tartozó szervezeteket, és azt is, ahogyan megteszik a GDPR-megfelelőséghez szükséges lépéseket. „Örülünk, hogy a Microsoft bővíti az Office 365-öt. Miközben ügyfeleink készülnek a GDPR-re, mi látjuk, hogy milyen nagy értéket képviselnek az adatvédelmi portálon elérhető eszközök, amelyekkel a 15. cikkelynek megfelelően válaszolhatók meg az érintettek általi kérések. Az adatvédelmi törvény alakulásával időről időre emlékeztetjük Office 365-öt használó ügyfeleinket arra, hogy mennyire fontos az információgazdálkodási házirendek megfelelő bevezetése a Biztonsági és megfelelőségi központban, a kockázatok minimalizálása érdekében.” Patrick azt is hangsúlyozza, hogy egy proaktív adatgazdálkodási stratégia mekkora segítséget jelenthet a cégeknek abban, hogy szükség esetén pontosan tudjanak reagálni a GDPR-hez hasonló szabályozásokra.
Az Azure DSR portál mostantól általánosan elérhető. A bérlői rendszergazdák az Azure DSR portál segítségével azonosítani tudják az adott felhasználóval kapcsolatos információkat, majd korrigálhatják, módosíthatják, törölhetik vagy exportálhatják a felhasználó adatait. A rendszergazdák a rendszer által létrehozott naplókban (vagyis a Microsoft által egy adott szolgáltatás biztosításához generált adatokban) is azonosíthatják az érintettel kapcsolatos információkat, és teljesíthetik a Microsoft Cloud szolgáltatásaira vonatkozó kéréseket. Az Azure-ból származó új ajánlatainkban általánosan elérhető az Azure Policy, a Compliance Manager for Azure GDPR és az Azure Security and Compliance Blueprint for GDPR is.
További információt a GDPR-funkciókkal kapcsolatos Azure-blogbejegyzésben olvashat.
A Dynamics 365-ben két keresőfunkció segít az ügyfeleknek az érintettek általi kérések megválaszolásában: a relevanciaalapú keresés és a személykeresési jelentés. Az Azure Search szolgáltatásra épülő relevanciaalapú kereséssel gyorsan és egyszerűen megtalálhatja, amit keres. A személykeresési jelentés több, a Microsoft által készített előre csomagolt, bővíthető entitást kínál, amelyek alapján azonosíthatók az adott személyt és az esetleges hozzárendelt szerepköröket jellemző adatok.
További tájékoztatást a Dynamics 365-tel kapcsolatos blogbejegyzésben talál.
A Windows új adatvédelmi központja összefogja a Windows adatvédelmi lehetőségeivel kapcsolatos tartalmakat a docs.microsoft.com webhelyen. Itt sok más mellett az informatikai döntéshozókat a GDPR-re való felkészülésben segítő új útmutatókat fedezhet fel, és megtalálja a Windows 10-szolgáltatások személyes adatok védelmére vonatkozó konfigurációs beállításainak listáját, valamint a Windows diagnosztikai adatainak értelmezését.
Adatokkal való visszaélések kezelése
A GDPR bevezetésével a szervezeteknek az adatokkal való visszaélések esetén is szigorúbb szabályozásoknak kell megfelelniük. A Microsoft 365 által biztosított hatékony eszközök, az Office 365 Komplex veszélyforrások elleni védelemtől az Azure ATP-ig, segíthetnek az adatokkal való visszaélések elleni védelemben és a visszaélések észlelésében.
Induljon el a Microsofttal a GDPR-megfelelőség útján
A Microsoft jelentős tapasztalatot tudhat magáénak az adatok védelme, az adatvédelem ügyének előmozdítása és a komplex jogszabályoknak való megfelelés terén. Úgy véljük, hogy a GDPR fontos előrelépés a magánszemélyek adatvédelemhez fűződő jogainak egyértelműsítésében és gyakorlásuk lehetővé tételében, és szerződéses kötelezettségekben nyújtunk garanciákat a GDPR-rel kapcsolatban.
Bárhol is tart éppen a GDPR-nek való megfelelésre tett erőfeszítésekben, mi segíthetünk a GDPR-megfelelőség elérésében. Számos forrást biztosítunk, amelyek segítségével már ma megteheti az első lépéseket:
- Letöltheti ingyenes tanulmányunkat és e-könyvünket.
- Kitöltheti ingyenes online GDPR-felmérésünket.
- Kereshet egy GDPR-partnert.
Többet is megtudhat arról, hogy a Microsoft hogyan segíthet a GDPR-rel kapcsolatban.