Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r w skrócie RODO narzuca podmiotom prawnym nowe wymogi odnośnie ochrony osób fizycznych, w tym m. in. przetwarzania danych osobowych oraz swobodnego ich przepływu. Niesie to za sobą wiele zmian dla firm przetwarzających dane osobowe osób fizycznych.
Dotychczasowa ustawa z 1997 roku dotycząca danych osobowych za naruszenie zawartych w niej przepisów nakładała dwa rodzaje sankcji: administracyjne oraz karne. Nowe dyrektywy zmieniają się o tyle, że przewidują one zastosowanie środków prawnych o charakterze administracyjnym oraz administracyjne kary pieniężne. Z zasady podmioty prawne nie będą pociągane do odpowiedzialności karnej.
Sankcje administracyjne
Sankcje administracyjne dla administratorów lub podmiotów przetwarzających dane będą głównie polegać na ostrzeżeniach, udzielaniu upomnień, czasowym lub całkowitym ograniczeniu przetwarzania danych, a w skrajnych przypadkach na cofnięciu certyfikacji, co w znaczący sposób może utrudnić funkcjonowanie podmiotu przetwarzającego dane osobowe osób fizycznych.
Administracyjne kary pieniężne
Ich wysokość uzależniona będzie od indywidualnych naruszeń konkretnych przepisów RODO a najwyższy pułap to 20 000 000 Euro, lub 4% całkowitego światowego obrotu z poprzedniego roku obrotowego. Dlatego ważne jest opracowanie i wdrożenie odpowiednich procedur, łącznie z udrożnieniem mechanizmów bezpieczeństwa, inwentaryzacją i odpowiednim zarządzaniem danymi oraz raportowaniem o ich ewentualnym wycieku.
Jak Microsoft odpowiada na wymogi RODO?
W obszarze bezpieczeństwa środowiska i ochrony informacji wykorzystuje m. in. narzędzie o nazwie Enterprise Mobility and Security (https://www.microsoft.com/pl-pl/cloud-platform/enterprise-mobility-security), które składa się z kilku kluczowych rozwiązań:
– System CRM (lub inny) do rejestracji żądań klientów, monitorowania realizacji i informowania klientów oraz urzędów o zakończonym procesie np. usunięcia danych.
– Azure Information Protection – pozwala na ochronę poufnych informacji (e-maili, dokumentów) poprzez identyfikację, które dane klienta są wrażliwie i gdzie są przechowywane. O ich randze decyduje użytkownik, a w razie potrzeby może odwołać do nich dostęp, albo określić co współpracownicy, klienci czy partnerzy mogą z nimi zrobić – na przykład zezwalając na wyświetlenie i edytowanie plików, ale nie na drukowanie czy przesyłanie dalej. System zapewnia kontrolę nad danymi przez cały okres ich istnienia – od stworzenia i zapisania w systemach lokalnych i w usługach chmurowych, poprzez ich udostępnianie wewnątrz lub na zewnątrz firmy, monitorowanie dystrybucji plików, aż po reagowanie na nieoczekiwane działania. Warto zaznaczyć, że sposób zarządzania AIP zapewnia dużą elastyczność – można posłużyć się kluczami szyfrowania Bring Your Own Key (BYOK) i Hold Your Own Key (HYOK).
– Intune – umożliwia zarządzanie urządzeniami mobilnymi, aplikacjami mobilnymi i komputerami PC. Wprowadza elastyczne metody kontroli, zapewniając bezpieczny dostęp do aplikacji, danych i zasobów firmy praktycznie z dowolnego miejsca za pomocą prawie każdego urządzenia, przy jednoczesnym zapewnieniu wysokiego poziomu bezpieczeństwa informacji firmy. Co ważne, Intune daje możliwość zarządzania i ochronę danych, działając na dobrze znanym użytkownikom środowisku pakietu Office (Windows 10).
– ATA czyli Advanced Threat Analytics. Tradycyjne narzędzia bezpieczeństwa informatycznego zapewniają ograniczoną ochronę przed wyrafinowanymi atakami cybernetycznymi, które mają na celu m. in. kradzież danych osobowych. Funkcja Microsoft Advanced Threat Analytics (ATA) zapewnia prosty i szybki sposób na rozpoznanie niemalże w czasie rzeczywistym, co dzieje się w sieci – identyfikuje podejrzane działania użytkowników i urządzeń za pomocą wbudowanej inteligencji oraz dostarcza jasne informacje o zagrożeniach. Technologia ta opiera się na głębokiej inspekcji pakietów i jest poszerzona o informacje z dodatkowych źródeł danych (informacje o zabezpieczeniach i zarządzanie eventami oraz usługa Active Directory).
– AD Premium – daje możliwość jednokrotnego logowania do aplikacji chmurowych działających lokalnie w usłudze Azure Active Directory Premium. Zabezpiecza zasoby firmy asystując w zarządzaniu danymi osobowymi użytkowników oraz tworzy zasady dostępu oparte na szczegółowych analizach. Jest integralną częścią usługi Office 365, platformy Azure i rozwiązania Enterprise Mobility + Security usługa Azure AD. W celu ochrony użytkowników i firmy usługa Azure AD umożliwia stosowanie wielu warstw zabezpieczeń w tym dostępu warunkowego (szczegółowa konfiguracja profili). Po stronie zalet AD Premium należy wymienić łatwość obsługi, całościową ochronę tożsamości i adaptacyjną kontrolę dostępu.
Powyższe rozwiązania Microsoft zapewniają zgodność z rozporządzeniami RODO w czterech kluczowych segmentach. Po pierwsze inwentaryzacji danych – wspomniane narzędzia identyfikują dane osobowe klientów i miejsce ich przechowywania. Po drugie określają w jaki sposób dane osobowe są wykorzystywane i udostępniane. Po trzecie wprowadzają mechanizmy mające na celu zapobieganie, wykrywanie i reagowanie na luki w systemach zabezpieczeń i naruszenia ochrony danych osobowych. Po czwarte raportują o naruszeniu ochrony danych i gromadzą niezbędną dokumentację.