Vítejte v roce GDPR. Jak chrání Microsoft Dynamics 365 vaše data?

GDPR

Zveřejňujeme další článek našeho úzkého spolupracovníka Jaromíra Šponara, který je držitelem prestižního mezinárodního ocenění Microsoft Most Valuable Professional v kategorii podnikové řešení Dynamics 365 (více zde).

Jestliže se vás někdo snaží přesvědčit, že naplnění požadavků regulace GDPR je jen otázkou IT, pravděpodobně moc netuší, o čem GDPR skutečně je. Nechci tady řešit proč, kdo a co. Nejsem právník. Často však dostávám otázku, jak tedy Microsoft řeší to GDPR ve svých službách a produktech CRM a ERP? Pokusím se proto shrnout, jak alespoň tato část podnikových informačních technologií dokáže plnit některé specifické požadavky GDPR – legislativy EU o ochraně osobních údajů, která vstoupí v platnost dne 25. května 2018.

Jedná se o následující základní kroky:

Mapování – Identifikujete všechy osobní údaje evidované firmou. Jaká jsou to data a kde jsou digitálně uložena?
Správa – Vysvětlíte všem, jak a proč osobní údaje shromažďujete.
Ochrana – Posoudíte a rozhodnete, jaká bezpečnostní opatření můžete nasadit okamžitě.
Reporting – Generujete výstupy pro žádosti týkající se osobních údajů.

Oficiální informace o regulaci GDPR naleznete zde.

1. Mapování aneb jaká máme data a kde jsou uložena

Asi nejzásadnější problém GDPR, který dělá firmám vrásky, je nalezení všech osobních dat v labyrintu stávající podnikové infrastruktury. Jednou z odpovědí může být služba Azure Data Catalogue (katalog dat ve službě Azure). Tato služba, velmi zjednodušeně řečeno, dokáže zadat například požadavek „najdi mi vše, co vypadá jako rodné číslo“.

Syntaxe pro české rodné číslo bude zapsána následovně: [0-9]{2}[0,1,5][0-9][0-9]{2}/?[0-9]{4}.

Formát zápisu pro jednotlivé země naleznete tady.

Po zadání požadavku prohledá a vyhodnotí služba všechny dostupné databáze, e-maily, dokumenty, ale také firemní počítače, tablety, mobilní telefony atd.

Takto nadefinované požadavky jsou pravidelně skenovány. Správce dat má jasný přehled o tom, co a kde se nachází. Následně může nastavit nejen pravidla, jak s těmito daty pracovat, ale i je správně spravovat.

Podrobnější informace o službě Azure Data Catalogue jsou k dispozici v anglickém jazyce zde. Naleznete tam také seznam podporovaných datových zdrojů (nejen od společnosti Microsoft). Informace na tomto odkazu.

Dostupné jsou i další užitečné služby, např. Microsoft Cloud App Security, Dynamics 365 Audit data and User activity, Office 365 Data Loss prevention, Advanced Data Governance nebo eDiscovery.

2. Správa aneb jak a proč shromažďujeme data

Podle GDPR legislativy by se měly společnosti v oblasti evidence a nakládání s osobními údaji zaměřit na dvě základní aktivity:

Správa dat – způsob, jak jsou data zpracovávána a za jakým účelem.
Klasifikace dat – mít definována klasifikační schémata, která pomáhají určovat, co je osobní údaj a jak s ním pracovat.

Pro klasifikaci dat potřebujete určit, kdo může,nebo nemůže pracovat s vybraným typem údajů. Pro tuto oblast doporučuji jeden z úžasných nástrojů pro správu oprávnění a přístupů k datům. Je to Azure Role-Based Access Control (RBAC). Opět velmi zjednodušeně vysvětlím. Představme si například zaměstnance na pozici specialisty pro reporting. Ten, vzhledem k nastaveným uživatelským oprávněním, nebude moci vytisknout nebo přeposlat dokument s rodným číslem zákazníka. Bude mít ale jako jediný právo na čtení tohoto typu dat ve vybrané databázi. Takže může připravovat analýzu segmentace zákazníků podle věku.

3. Ochrana aneb jak data okamžitě zabezpečit

Je nutno říci, že většina organizací přistupuje k ochraně osobních údajů svých zákazníků seriózně. Zabezpečují tato data proti ztrátě, odcizení nebo neautorizovanému přístupu. Avšak GDPR posouvá laťku ještě výše.

Jaké technologie můžete využít od společnosti Microsoft? Uvedu jen tři z nich, které mě zaujaly nejvíce.

Azure Key Vault – Tato služba je něco jako vysoce zabezpečený trezor pro firemní kryptografické klíče, systémová hesla a podobně.

Microsoft Intune – Kolikrát se stalo, že zaměstnanec ztratil firemní počítač, ukradli mu pracovní telefon nebo tablet? Microsoft Intune vám pomůže zapezpečit data na těchto zařízeních.

Threat Intelligence – Chytrý pomocník, který detekuje pokusy o kompromitaci sítě, e-mailů nebo zaznamená ostatní známé hrozby. Pro detekci neznámých hrozeb existuje pokročilá verze Advanced Threat Protection.

4. Reporting aneb výstupy pro žádosti týkající se osobních údajů

Co když se vás zákazník zeptá, jaké osobní údaje o něm uchováváte? A co když sami potřebujete zjistit, kdo s vybranými osobními údaji pracoval? Kdy a proč? Nalézání odpovědí na tyto otázky může být velmi problematické a zdlouhavé. Představte si tu spoustu času a práce vašich lidí, kteří se tím budou muset zabývat. Nebo…
…nebo zpracujete požadavek procesně tak, jak máte interně definováno. Do nástrojů jako je Office 365 Search & Investigation zadáte požadavek na dohledání všech údajů týkajících se dané osoby. Nástroj vám potom umožní tato data exportovat ve strojově čitelném formátu, tak jak to nařizuje legislativa GDPR.

Takto identifikovaná data můžete dále „nechat“ smazat, anonymizovat, případně pseudo-anonymizovat – viz právo na zapomnění.

Závěrem aneb jaké jsou hlavní požadavky GDPR

Legislativa GDPR ukládá celou řadu požadavků všem organizacím, které shromažďují a zpracovávají osobní údaje. Mezi nimi je také povinnost splňovat šest základních principů.

Transparentnost, poctivost a dodržování zákonů při manipulaci s osobními údaji a při jejich používání.
Omezení zpracovávání osobních údajů pouze na stanovené, výslovně uvedené a opodstatněné účely.
Shromažďování a ukládání minimálního množství osobních údajů, které je nezbytné pro konkrétní a relevantní účely.
Zajišťování přesnosti údajů a poskytování možnosti jejich opravy či vymazání.
Omezení ukládání osobních údajů.
Zajištění zabezpečení, soudržnosti a důvěrnosti osobních údajů.

Společnost Microsoft připravila tzv. White paper na téma GDPR v českém jazyce.

Dokument je ke stažení zde.

video: https://youtu.be/-1JtEKkzAz0

zdroj: www.microsoft.com/cs-cz

Cookie	Délka	Popis
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cusid	30 minutes	ClickDimensions sets this cookie to establish and continue a user session with the site.
cuvid	2 years	This cookie, set by ClickDimensions, is written to the browser upon the first visit to the site from that web browser.
cuvon	30 minutes	ClickDimensions sets this cookie to store the last time a visitor viewed a page.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Délka	Popis
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Délka	Popis
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen	30 minutes	Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjIncludedInSessionSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's daily session limit.
_hjTLDTest	session	To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
sid	1 month	The sid cookie contains digitally signed and encrypted records of a user’s Google account ID and most recent sign-in time.

Cookie	Délka	Popis
c	16 years 4 days 12 hours	This cookie is set by Rubicon Project to control synchronization of user identification and exchange of user data between various ad services.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Délka	Popis
_dc_gtm_UA-56349964-1	1 minute	No description
_hjSession_1909082	30 minutes	No description
_hjSessionUser_1909082	1 year	No description
AnalyticsSyncHistory	1 month	No description
ch_visit	5 days	No description
leady_session_id	session	No description available.
li_gc	2 years	No description

Vítejte v roce GDPR. Jak chrání Microsoft Dynamics 365 vaše data?

Pin It on Pinterest