Nezastavujeme, máme zpoždění! Do platnosti nařízení o ochraně osobních údajů, známého všeobecně jako GDPR, zbývá již jen několik málo dnů.

Pokud používáte služby Office 365, i několik málo posledních minut, které věnujete jejich správné konfiguraci, mohou značně přispět na vaší cestě za souladem vůči této regulaci.

A protože onen soulad není jen jednorázovou záležitostí, pomohou vám tyto služby i s následným zajištěním práv jednotlivých subjektů. Zkusíme se tedy ve zkratce říci pár tipů, které by vám neměly uniknout.

GDPR Office 365

Profil organizace

V administračním centru Office 365 najdete nejen možnost zakládat uživatele, měnit jejich nastavení a přiřazovat licence. Je zde i nenápadná sekce soukromí a ochrany dat. Zde můžete jednoduše ověřit, ve kterém datovém regionu je vaše online organizace umístěna.

 

GDPR Office 365

 

Ve většině případů byste zde měli nalézt datový region Evropa. Pokud tomu tak není, možná sídlíte jiném datovém regionu, což možná nemusí být pro vás zcela na místě. Což bohužel značí nutnost migrace do nové online organizace.

Samotný datový region se skládá z několika datových center. V případě Evropy je to aktuálně Holandsko, Irsko, Rakousko a nově také Francie a brzy také Švýcarsko. Existují také datová centra v Německu splňující i přísnější regulace, ale umístění v nich je za příplatek. Pokud byste měli vztahem blíže do některé z těchto zemí, můžete si i nastavit, která země je pro preferovanější jako primární umístění. Vždy ale v jiné bude kompletní záloha pro případy výpadků a katastrof.

Další drobností, kterou je dobré zkontrolovat, je nastavení odkazu na oznámení o ochraně dat a kontaktu na osobu či místo zajišťující požadavky subjektů údaje, tedy například vymazání osobních údajů. Ten pak uvidí uživatelé přistupující externě či v nápovědě.

V administraci také nezapomeňte povolit ověřování druhým faktorem (MFA) minimálně pro globální administrátory služeb, což je zdarma. Ideálně pak pro všechny uživatele s licencí Azure AD Premium. Kombinace jen jména a hesla dnes již není ideální kombinací. Však do banky se také hlásíte dalším faktorem. A potvrdit MFA notifikaci na mobilním telefonu podobně jako Like od přátel či fotografii na Instagramu je otázkou sekund.

Centrum zabezpečení

Evidence a důkazy jsou vždy důležité. A proto je dobré navštívit i Security & Compliance Center a zde povolit sběr auditních dat. Auditní stopa je totiž důležitá při prokazování, kdo měl kdy přístup k osobním datům, kdo je kdy stáhnul z online prostředí či naopak z prostředí smazal.

Na stranu druhou se ujistěte, že sběrem údajů nepoškodíte své interní uživatele tím, že přístup k informacím mají jen správci a ve směrnici máte zmíněno, že jen v případně řešení bezpečnostního incidentu či GDPR požadavku. Protože přece nebudete dělat závěry, že jeden uživatel napsal sto e-mailů denně a druhý jen dva.

Rovnou v tomto portálu setrvejte a podívejte se, zda jste vyplnili informace v Zajištění služby (Service Assurance), ve kterém odvětví podnikáte. Objeví se vám zde pak nejen auditní zprávy o kontrole samotné společnosti Microsoft, ale i datových center, které můžete pročíst, ale především dokumentace ochrany samotné služby. Tedy například řešení bezpečnostních incidentů, zálohování a šifrování dat. Stejně tak objevíte návody, jak plně využít i další technologie z dílny MSFT pro zajištění souladu.

A není na škodu podívat se i na povolení Office 365 MDM. Přeci jen, dnes jsou všechna data nejen online, ale i v lokálních počítačích a mobilech. Vynutit aspoň PIN či šifrování telefonu dnes uživatel ani nepozná díky otisku prstu a v případě ztráty zařízení se nemusíte bát, co by na něm jeden našel jen tak ladem a skladem.

Požadavky subjektů

A co od května dále? Ve stejném administračním centru můžete najít samostatný GDPR Dashboard. Ten nejen našeptává všechny informace o citlivých datech v organizaci, ale pomáhá také se samotnými požadavky subjektů.

Můžete například zadat jednotlivé požadavky na vyhledání dat či jejich smazání napříč celým Office 365. Od e-mailů, dokumentů až po konverzace a záznamy o uživatelích v MyAnalytics.

Dokážete tak jednoduše najít či smazat vše potřebné, co se týká daného subjektu pomocí klíčových slov, výrazů či štítků. Jednoduší už to snad ani být nemůže.

Závěrem

Tento krátký seznam nejsou jistě všechny body, které ve vaší firmě GDPR vyřeší, a to ani na platformě online služeb, ale ať už půjdete jakoukoliv cestou, dříve či později se k nim pravděpodobně dostanet

Petr Vlk z pozice vedoucího oddělení online služeb ve společnosti KPCS CZ pomáhá zákazníkům s nasazením a adopcí služeb Office 365, Enterprise Mobility+Security a Windows 10. O své znalosti se pravidelně dělí na odborných fórech, článcích i na akcích Windows User Group.