Usługi Office 365 a regulacje RODO

RODO – Rozporządzenie o Ochronie Danych Osobowych (ang. GDRP – General Data Protection Regulation) reguluje ochronę osób fizycznych w związku z przetwarzaniem ich danych osobowych. Zapewnia także przepływ danych osobowych pomiędzy państwami, będącymi członkami Unii Europejskiej w oparciu o jednolite zasady.  Czyli, tak naprawdę, przepisy tego rozporządzenia dotyczą każdej organizacji, która wykorzystuje lub gromadzi dane osób fizycznych, nawet zbierane automatycznie. Nie ma znaczenia wielkość firmy czy charakter działalności. Przepisy mają zastosowanie zarówno w przypadku dużych firm, międzynarodowych korporacji, urzędów, jak i małych firm czy rodzinnych przedsiębiorstw, jeśli tylko ze świadczonych usług korzystają mieszkańcy UE. Przepisy tego rozporządzenia wchodzą w życie 25 maja 2018 r. Od tego momentu za niedostosowanie firmy i nieprzestrzeganie regulacji wprowadzonych przez RODO grożą wysokie kary finansowe. A na odpowiednią reakcję na incydent wycieku danych osobowych właściciele mają niespełna 72 godziny od zdarzenia.

Office 365 a RODO

Pakiety, usługi oraz aplikacje Office 365 są, same w sobie, zgodne z RODO, ale w procesie gromadzenia i przechowywania danych osobowych bierze zwykle więcej systemów i narzędzi, a także ludzie. Wychodząc naprzeciw konieczności dokonania zmian w podejściu do przetwarzania danych osobowych, Microsoft pod koniec 2017 roku wypuścił narzędzie Compliance Manager. Compliance Manager to pulpit, zawierający podsumowanie ochrony danych i zgodności oraz zalecenia, dotyczące poprawy ochrony gromadzonych danych oraz ich zgodności. Jest to zestaw sugestii i to do właścicieli firmy należy ocena ryzyka i decyzja o wprowadzeniu ewentualnych zmian w sposobie przechowywania danych osobowych.

Przygotowania do RODO

Aby móc przygotować firmę i pracowników na zmiany, które zajdą po 25 maja, należy rozważyć kilka kwestii, dotyczących przechowywania i pozyskiwania danych. W tym celu warto:

  • przeprowadzić inwentaryzację danych,
  • sprawdzić którzy spośród pracowników mają dostęp do danych w naszej organizacji,
  • wiedzieć gdzie zlokalizowane są gromadzone dane oraz za pośrednictwem jakich systemów i narzędzi przetwarza się dane w organizacji lub poza  nią,
  • dokonać oceny ryzyka przetwarzania danych.

Aby ułatwić realizację takich zadań Microsoft przygotował Office 365 Information Protection for GDPR – poradnik zawierający zalecenia dotyczące pozyskiwania, wyszukiwania,  klasyfikowania, jak również monitorowania i ochrony danych osobowych.

Oprócz zagadnień technologicznych, bardzo ważna jest także kwestia przeszkolenia pracowników, mających dostęp do danych klientów. Pamiętać należy o doszkalaniu na bieżąco nowych osób w organizacji, zarówno w związku z przetwarzaniem danych, jak i z korzystaniem z narzędzi i systemów, w których pozyskane informacje są przetwarzane.