Office 365 i GDPR

Opća uredba o zaštiti osobnih podataka (GDPR), novi je evropski okvir za zaštitu osobnih podataka, koja zamjenjuje direktivu iz 1995. godine o zaštiti podataka. Donosi značajne promjene u pravilima koja definiraju osobne podatke i kako se oni koriste. Uredba je usvojena 27. travnja 2016. godine (Regulation EU – 2016/679), stupa na snagu 25. svibnja 2018. godine dok ju države članice moraju ugraditi u nacionalno zakonodavstvo. GDPR ima za cilj osigurati kontrolu građanima EU nad njihovim osobnim podacima i pojednostaviti regulatorno okruženje.

Pošto je uredba obvezujuća, tvrtke moraju poboljšati zaštitu privatnih podataka, izvještavanje o stanju i lokaciji privatnih podataka kao i njihovoj sigurnosti. Naravno, da iza svake uspješne provedbe, stoje kazne. One su velike i direktno ovise o poslovanju tvrtke.

01. security and compliance

Osobni podaci – što je uključeno

Odmah na početku, moramo napomenuti, postoje neke sive zone, neki dijelovi koji su u zoni razmatranja i definiranja, jer uredba pokriva mnogo država i njihovih definicija podataka. No, s druge strane, jasno se zna što su osobni podaci pojedinca. Osobni podaci su informacije koje se odnose na identifikaciju ili identitet osobe. Nema razlike između privatnih, javnih ili poslovnih privatnih podataka. Slijede primjeri što osobni podaci uključuju. Što se tiče identiteta to su ime, kućna i poslovna adresa, telefonski broj, mobilni broj, adresa elektroničke pošte, broj putovnice, broj zdravstvenog osiguranja, broj vozačke dozvole i osobne karte. Tu su uključene i medicinske, genetske i psihološke informacije, kao i biometrijski podaci, rasa ili etnički podaci i seksualna orijentacija.

Financijski podaci uključuju bankovne podatke, brojeve kreditnih i debitnih kartica, dok online podaci mogu biti kolačići (cookies), GPS podaci, IP adresa (unutar EU) i materijali na društvenim mrežama.

Zaštiti djece posvećena je posebna pažnja, tu je definirana granica od 16 godina za posebnu zaštitu. No ostavljena je sloboda za države članice koje tu granicu mogu spustiti na 13 godina.

Bitno je spomenuti, da su informacije privatni podaci pod uvjetom da ih je moguće povezati sa osobom, kao na primjer, IP adresa nije osobni podatak, ako uz nju ne možemo povezati osobu imenom i prezimenom.

GDPR se ne odnosi samo na sigurnost podataka, već se odnosi i regulira procedure, konzistentnost podataka, sigurnosne pohrane i procedure.

Najčešći razlozi gubitka osobnih podataka odnose se na neovlaštene pristupe (hackeri ili malware), gubitak raznih prenosivih medija i slučajnog slanja podataka prema trećim osobama ili tvrtkama.

Stoga, GDPR regulativu ne treba gledati kao još jedan način kažnjavanja tvrtki i pojedinaca, već vrlo korisnu regulativu u kojoj ćemo uvesti sigurnosne mjere za zaštitu osobnih podataka. U današnje vrijeme kad se podaci pohranjuju na različita mjesta, sve je teže kontrolirati pohranu, a samim time i tko pristupa pohranjenim podacima. Ovdje moramo spomenuti mogućnost klasifikacije pohranjenih podataka, da bi mogli detektirati što je bitno i što moramo zaštiti i imati pod nadzorom.

Što se događa sa tvrtkama i podacima van EU?

Tekst> Ako je tvrtka smještena van EU, potrebno je vidjeti sa kojim i čijim osobnim podacima raspolaže i barata. GDPR se odnosi i na tvrtke koje posluju van EU, ali u poslovanju koriste, pohranjuju ili upravljaju sa osobnim podacima građana EU. Dakle, tvrtke moraju biti usklađene sa GDPR-om bez obzira da li je tvrtka unutar države članice EU ili ne. Upravo ove činjenice obavezale su i tvrtke van EU da ozbiljno shvate ovu uredbu. Microsoft je 15. veljače 2017. objavio da će do 25. svibnja 2018. biti usklađen sa GDPR-om

02. Faze unutar brige o podacima

Faze do uspješne usklađenosti

Kao i svaki proces, tako i brigu o osobnim podacima možemo podijeliti na faze. U našem slučaju, to su četiri faze: Otkrivanje, Upravljanje, Zaštita i Izvještavanje. U nastavku ćemo opisati svaku od njih.

Otkrivanje (Discovery)

Unutar faze otkrivanja identificiramo koje osobne podatke posjedujemo i gdje se nalaze. U fokusu traženja su svi podaci koji mogu jednoznačno identificirati osobu (Ime, e-mail adresa, bankovni podaci, IP adresa i drugo). Mjesta gdje se nalaze ti podaci također je potrebno identificirati. To mogu biti e-mail poruke, dokumenti, podaci u bazama, logovi, sigurnosne pohrane i drugo.

Unutar Office 365 za otkrivanje, koriste se eOtkrivanje (eDiscovery), Napredno upravljanje podacima (Advanced Data Governance) kao i servis Sprječavanja gubitka podataka (Data Loss Prevention – DLP).

Upravljanje (Manage)

U fazi upravljanja identificiramo i stvaramo pravila, uloge i odgovornost za upravljanje osobnim podacima u cjelokupnom ciklusu, stvaranja, obrade, prijenosa, pohrane, arhiviranja i eventualnog uništenja. U ovoj fazi klasificiramo podatke, prema raznim grupama kao na primjer, tipu, osjetljivosti, sadržaju, vlasništvu, korisniku i ostalom. I u ovoj fazi koristimo grupu servisa iz Naprednog upravljanja podacima (Advanced Data Governance), kao i Journaling (Exchange Online). U upravljanju podacima mogu nam poslužiti i napredne mogućnosti Azure Active Directory i Azure Information Protection servisa.

Zaštita (Protect)

Grupirane i identificirane podatke potrebno je zaštiti odnosno osigurati sigurnosna pravila i kontrole kojima upravljamo zahtjevima za podacima kao i obavještavanje o izlasku podataka i propuste u upravljanju njima. To uključuje fizičku zaštitu mjesta gdje se podaci nalaze, mrežna sigurnost, upravljanje identitetima za pristup, enkripcija i drugo. Najlakše je to postići nadgledanjem sustava, identifikacijom kršenja pravila, planiranim odgovorima na promjene kao i procedurama za oporavak u slučaju potrebe. Zaštitom upravljamo sigurnosnim kontrolama koje detektiraju, sprječavaju i reagiraju na ranjivost i zloupotrebu podataka, za što se koristi sustav za Naprednu zaštitu od prijetnji (Advanced Threat Protection) kao i Inteligentno praćenje prijetnji (Threat Inteligence) kroz portal i grafički prikaz.

Izvještavanje (Report)

Najvažniji dio sustava, zbog čega je i GDPR uveden, je kvalitetno izvještavanje. Ujedno je to i zadnja faza procesa upravljanja informacijama. Kroz izvještaje ćemo dobivati praktički sve informacije koje smo u prethodne tri faze prikupljali i obrađivali. Na taj način ćemo bilježiti i pristupati informacijama o klasifikacijama, podacima trećih strana koje pristupaju podacima, vremenu čuvanja i drugim podacima koji bi nam mogli trebati kroz izvještaje. Dobivat ćemo ih putem izvještajnih alata, na primjer, Audit logovi, izvještaji o uskladivosti i upravljanju. Uz spomenuto koristimo i Kontrolu kvalitete servisa (Service Assurance), Office 365 Audit Log i Customer Lockbox. Posljednje spomenuti servis ćemo istaknuti, jer služi za kontrolu trećih strana koje pristupaju vašem dijelu Oblaka, u ovom slučaju Microsoftovim inženjerima za podršku u slučaju da vam treba njihova pomoć.

Korisnici iz timova za sigurnost podataka, usklađenost, nadzor i upravljanje rizikom u tvrtki neće imati pristup navedenim značajkama kontrole kvalitete servisa dok im se u odjeljku s dozvolama ne omogući uloga “Korisnik kontrole kvalitete servisa” (Service Assurance User). Nakon dodavanja, obavijestite ih da na ovom web-mjestu imaju pristup području kontrole kvalitete servisa.