Drumul ctre alinierea la

Regulamentul general
privind protecia
datelor (GDPR)
Accelereaz alinierea la masura GDPR
cu ajutorul Microsoft Cloud
 Cuprins
Introducere ........................................................................................................................................................................ 4
Angajamentul Microsoft fa de GDPR ......................................................................................................... 4
nelegerea GDPR elemente de baz ................................................................................................................... 5
Ce este GDPR?......................................................................................................................................................... 5
GDPR se aplic organizaiei mele? .................................................................................................................. 5
Cnd intr n vigoare GDPR? ............................................................................................................................. 5
Care sunt conceptele cheie din GDPR? ......................................................................................................... 5
Exemple de cerine GDPR cu privire la aceste principii ........................................................................... 6
Asocierea cu Microsoft pe drumul ctre GDPR ................................................................................................... 6
Introducere n GDPR ...................................................................................................................................................... 7
O abordare de platform a GDPR ........................................................................................................................ 7
Ia msuri astzi ............................................................................................................................................................. 10
Descoper: identific ce date cu caracter personal deii i unde sunt localizate ............................ 10
GDPR se aplic datelor mele? ..................................................................................................... 10
Efectuarea inventarului ............................................................................................................... 10
Gestioneaz: administreaz modul n care sunt utilizate
i accesate datele cu caracter personal ........................................................................................................... 14
Guvernarea datelor ..................................................................................................................... 14
Clasificarea datelor...................................................................................................................... 16
Protejeaz: implementeaz controale de securitate pentru
a preveni, detecta i rspunde la vulnerabiliti i bree de securitate .............................................. 17
Protejarea datelor ....................................................................................................................... 17
Detectarea i neutralizarea breelor de securitate..................................................................... 24
Raporteaz: d curs solicitrilor de date, raporteaz
breele de securitate i pstreaz documentaia necesar. .................................................................... 29
Pstrarea nregistrrilor .............................................................................................................. 29
Instrumente de raportare i documentaie din serviciile cloud ................................................. 32
Notificarea subiecilor datelor .................................................................................................... 32
Gestionarea solicitrilor subiecilor datelor ............................................................................... 32

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 2 | 33
 Disclaimer
Acest material despre GDPR este modul cum Microsoft interpreteaz aceast masur, la
data publicrii. Am dedicat mult timp analizei GDPR, mai ales n a ntelege intenia i sensul
GDPR. Procesul de implementare ns este un process specific fiecrei companii i nu toate
aspectele i interpretrile GDPR sunt bine determinate.

Drept urmare, aceast carte alb este furnizat n scop informativ i nu trebuie s se
considere c ofer consiliere juridic sau c determin modul n care GDPR i se poate aplica
ie sau organizaiei tale. Te ncurajm s colaborezi cu specialiti calificai pentru a discuta
despre GDPR, despre modul n care se aplic organizaiei tale i despre cele mai bune
moduri de asigurare a conformitii.

MICROSOFT NU OFER NICIO GARANIE EXPRES, IMPLICIT SAU STATUTAR CU PRIVIRE LA

INFORMAIILE DIN ACEAST MATERIAL. Aceast material este furnizat ca atare. Informaiile
i opiniile exprimate n aceast document, inclusiv adresele URL i alte referine la site-uri
web de pe internet, se pot modifica fr notificare prealabil.

Acest document nu i ofer niciun drept legal de proprietate intelectual asupra niciunui
produs Microsoft. Poi copia i utiliza aceast carte alb doar n scopuri de referin intern.

Publicat n mai 2017

Versiunea 1.1

2017 Microsoft. Toate drepturile rezervate.

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 3 | 33
 Introducere
Pe 25 mai 2018 va intra n vigoare o lege european privind confidenialitatea, care stabilete
un nou standard global pentru drepturile la confidenialitate, securitate i conformitate.
Regulamentul general privind protecia datelor sau GDPR se refer, n esen, la protejarea
i asigurarea drepturilor persoanelor la confidenialitate. GDPR stabilete cerine globale de
confidenialitate stricte, care guverneaz modul n care sunt gestionate i protejate datele
personale, respectndu-se, n acelai timp, alegerile individuale indiferent unde sunt trimise,
procesate sau stocate datele.
mpreun cu clienii notri depunem eforturi pentru a atinge obiectivele de confidenialitate ale
GDPR. n cadrul Microsoft, noi credem c confidenialitate este un drept fundamental i c
GDPR este o etap important pentru clarificarea i asigurarea drepturilor persoanelor la
confidenialitate. Recunoatem, ns, de asemenea, c GDPR va necesita schimbri
semnificative n organizaiile din ntreaga lume.

Dei drumul spre alinierea la GDPR poate prea dificil, noi suntem aici pentru a te ajuta.

Angajamentul Microsoft fa de GDPR

ncrederea st la baza misiunii noastre de a oferi fiecrei persoane i organizaii de pe planet
posibilitatea de a avea realizri mai mari. Avem o abordare bazat pe principii pentru dezvoltarea
ncrederii, cu angajamente clare fa de confidenialitate, securitate, conformitate i transparen.
Aplicm aceste principii pe msur ce ne pregtim pentru GDPR.
nelegem c responsabilitatea pentru conformarea cu GDPR este una comun. De aceea, ne-am
angajat ca, la data nceperii aplicrii regulamentului, pe 25 mai 2018, s fim n conformitate cu GDPR
n serviciile noastre cloud.
De asemenea, suntem dedicai mprtirii experienei noastre cu regulamentele complexe, pentru
a te ajuta s foloseti cea mai bun modalitate prin care organizaia ta s ndeplineasc cerinele de
confidenialitate ale GDPR. Cu cel mai cuprinztor set de oferte de conformitate i securitate pus la
dispoziie de un furnizor de soluii cloud i cu un vast ecosistem de parteneri, suntem pregtii s te
sprijinim n iniiativele tale de confidenialitate i securitate, acum i n viitor.
Ca parte a angajamentului nostru de a-i fi parteneri pe drumul spre aliniearea la GDPR, am
dezvoltat aceast material pentru a te ajuta cu pregtirile. Documentul ofer o prezentare general a
GDPR, descrie ce vom face pentru a ne pregti pentru GDPR i furnizeaz exemple de msuri pe care
le poi lua astzi mpreun cu Microsoft pentru a-i ncepe propriul drum spre conformarea cu GDPR.
Ateptm cu nerbdare s mprtim noi informaii despre modul n care te putem ajuta s te
conformezi cu aceast important lege nou i, pe parcurs, s mbunteti protecia
confidenialitii personale. Viziteaz seciunea GDPR a Centrului de autorizare Microsoft pentru
a gsi resurse suplimentare i pentru a afla mai multe despre modul n care Microsoft te poate ajuta
s ndeplineti cerine specifice din GDPR.

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 4 | 33
 nelegerea GDPR elemente de baz
nainte s descriem modurile specifice n care Microsoft te poate ajuta s te pregteti pentru
GDPR, am dori s rspundem la unele dintre cele mai importante ntrebri cu privire la
regulament i la ceea ce poate nsemna pentru tine. O prezentare general mai extins poate fi
gsit aici.

Ce este GDPR?
Regulamentul general privind protecia datelor este un nou regulament privind
confidenialitatea n Uniunea European. Acesta ofer oamenilor control suplimentar asupra
datelor personale, asigur transparena cu privire la utilizarea datelor i impune securitate i
mijloace de control pentru protejarea datelor.

GDPR se aplic organizaiei mele?

GDPR se aplic la scar mai larg dect poate prea la prima vedere. Legea impune noi reguli
pentru companii, agenii guvernamentale, organizaii non-profit i alte organizaii care ofer
bunuri i servicii oamenilor din Uniunea European (UE) sau care colecteaz i analizeaz date
legate de rezidenii UE. GDPR se aplic indiferent unde suntei localizat.

Spre deosebire de legile privind confidenialitatea din alte jurisdicii, GDPR se aplic
organizaiilor de orice dimensiune i din orice domeniu. UE este privit adesea la nivel
internaional ca model n ceea ce privete chestiunile legate de confidenialitate, de aceea ne
ateptm ca, n timp, anumite concepte din GDPR s fie adoptate i n alte pri ale lumii.

Cnd intr n vigoare GDPR?

GDPR intr n vigoare pe 25 mai 2018. Va nlocui Directiva existent privind protecia datelor
(Directiva 95/46/CE), care este n vigoare din 1995. GDPR a devenit, de fapt, o lege n UE n
aprilie 2016, dar, avnd n vedere schimbrile semnificative pe care unele organizaii vor trebui
s le fac pentru a respecta regulamentul, s-a inclus i o perioad de tranziie de doi ani.

Care sunt conceptele cheie din GDPR?

GDPR este structurat n jurul a ase principii:

Necesitatea transparenei cu privire la gestionarea i utilizarea datelor cu caracter personal.

Limitarea procesrii datelor cu caracter personal la scopurile specificate, legitime.

Limitarea colectrii i stocrii datelor cu caracter personal la scopurile declarate.

Oferirea posibilitii persoanelor vizate de a corecta sau solicita tergerea datelor cu caracter
personal.

Limitarea stocrii datelor cu caracter personal doar la perioada necesar atingerii scopului

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 5 | 33
 declarat.

Asigurarea proteciei datelor cu caracter personal prin practici de securitate adecvate.

Exemple de cerine GDPR cu privire la aceste principii

Conform GDPR, persoanele au dreptul s tie dac o organizaie le proceseaz datele cu
caracter personal i s neleag scopurile respectivei procesri. O persoan are dreptul de
a solicita tergerea sau corectarea datelor, de a cere s nu mai fie procesate, de a refuza
marketingul direct i de a revoca consimmntul pentru anumite utilizri ale datelor sale.
Dreptul de portabilitate a datelor ofer persoanelor dreptul de a muta datele n alt parte
i de a primi asisten n acest sens.
GDPR impune organizaiilor s securizeze datele cu caracter personal n conformitate cu
sensibilitatea acestora. n cazul unei bree de securitate, controlorii de date trebuie s
notifice autoritile corespunztoare n decurs de 72 de ore. n plus, dac brea va duce la
apariia de riscuri mari pentru drepturile i libertile persoanelor, organizaiile vor trebui,
de asemenea, s notifice fr ntrziere persoanele afectate.
Pentru procesarea datelor cu caracter personal trebuie s existe o baz legal.
Consimmntul pentru procesarea datelor cu caracter personal trebuie s fie oferit n
mod liber, specific, informat i lipsit de ambiguiti. Conform GDPR, exist cerine de
consimmnt unice pentru protejarea copiilor.
Organizaiile trebuie s evalueze impactul asupra proteciei datelor, pentru a anticipa
impactul proiectelor asupra confidenialitii i pentru a lua msuri, dup cum este necesar.
Trebuie meninute nregistrri ale activitilor de procesare, consimminte pentru
procesarea datelor i conformitatea cu GDPR.
Conformitatea cu GDPR nu este o activitate care are loc o singur dat, ci este un proces
continuu. Neconformarea cu GDPR poate duce la amenzi semnificative. Pentru a asigura
conformitatea cu GDPR, organizaiile sunt ncurajate s implementeze o cultur de
confidenialitate, pentru a proteja interesele persoanelor cu privire la datele cu caracter
personal.

Pentru o prezentare general mai detaliat a GDPR i pentru a nelege mai bine termeni precum
pseudonimizare, procesare, controlere, procesatori, subieci ai datelor i date cu caracter
personal, viziteaz Microsoft.com/GDPR. Dorim s te ajutm s ndeplineti cerinele GDPR
i s sprijini n continuare dreptul persoanelor la confidenialitate.

Asocierea cu Microsoft pe drumul ctre GDPR

Alinierea la GDPR este o provocare pentru toate companiile. Va necesita timp, instrumente,

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 6 | 33
 procese i expertiz i poate cere schimbri semnificative n practicile de gestionare a
confidenialitii i datelor. Drumul tu ctre conformarea cu GDPR va fi mai uor dac
utilizezi un model de servicii cloud bine structurat i dac implementezi un program eficient
de administrare a datelor. n ceea ce privete succesul conformrii cu GDPR, te poi baza pe
Microsoft i pe ecosistemul nostru extins de parteneri.

Microsoft are un istoric lung de furnizare a unor servicii cloud pe care te poi baza. Avem
o abordare bazat pe principii fa de confidenialitate, securitate, conformitate i transparen,
cu angajamente solide, pentru a ne asigura c poi avea ncredere n tehnologia digital pe care
te bazezi. Avem cel mai extins portofoliu de conformitate din domeniu i am fost primii care
am adoptat standarde cheie, precum standardul de confidenialitate a serviciilor cloud
ISO/IEC 27018. Clienii i partenerii notri beneficiaz de experiena extins pe care
o avem n ceea ce privete confidenialitatea, securitatea, conformitatea i transparena.

Pe msur ce te pregteti de conformarea cu GDPR, iat la ce altceva te poi atepta din partea
noastr:

Tehnologie pe msura nevoilor tale. Poi s profii de portofoliul nostru extins de

servicii cloud enterprise, pentru a-i ndeplini obligaiile GDPR privind aspecte precum
tergerea, rectificarea, transferul, accesarea i refuzarea procesrii datelor cu caracter
personal. Mai mult, te poi baza pe ecosistemul nostru global extins de parteneri pentru
asisten specializat, atunci cnd utilizezi tehnologiile Microsoft.

Angajamente contractuale. Te susinem prin angajamente contractuale pentru serviciile

noastre cloud, care includ asisten prompt de securitate i notificri n conformitate cu
noile cerine GDPR. n martie 2017, acordurile noastre de liceniere cu clienii pentru
serviciile cloud Microsoft vor include angajamente de conformitate cu GDPR n
momentul n care ncepe punerea n aplicare.

mprtim experiena. i vom spune cum a fost drumul nostru ctre conformitatea cu
GDPR, pentru ca tu s poi adapta lucrurile pe care noi le-am nvat, cu scopul de a
alege cel mai bun drum pentru organizaia ta.

Introducere n GDPR
O abordare de platform a GDPR
Sistemele pe care le utilizezi pentru a crea, stoca, analiza i gestiona date pot fi rspndite n mai
multe medii IT dispozitive personale, servere locale, servicii cloud, chiar i Internet of Things.
Aceasta nseamn c este posibil ca mare parte din resursele tale IT s fac obiectul
cerinelor GDPR.

Eforturile tale de a te conforma cerinelor GDPR vor fi utilizate cel mai bine prin studierea

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 7 | 33
 cerinelor n mod holistic i n contextul tuturor obligaiilor legale i de reglementare cu privire
la confidenialitate. De exemplu, multe dintre controalele de securitate pentru prevenirea,
detectarea i abordarea vulnerabilitilor i breelor de securitate cerute de GDPR sunt similare
cu cele impuse de alte standarde de protecie a datelor, precum standardul de confidenialitate
a serviciilor cloud ISO 27018.

n loc s monitorizezi controalele cerute de standardele sau reglementrile individuale de la caz

la caz, o practic mai bun este s identifici un set general de controale i capaciti pentru a
satisface aceste cerine. n mod similar, n loc s evaluezi tehnologiile i soluiile individuale n
raport cu o reglementare extins precum GDPR, abordarea de platform cum ar fi una
compus din Windows, Microsoft SQL Server, SharePoint, Exchange, Office 365, Azure i
Dynamics 365 poate oferi o perspectiv mai clar pentru a asigura nu doar alinierea la
GDPR, ci i cu alte cerine importante.

i recomandm s ncepi drumul ctre conformitatea cu GDPR concentrndu-te pe patru

pai cheie:

Descoper identific ce date cu caracter personal deii i unde sunt localizate.

Gestioneaz administreaz modul n care sunt utilizate i accesate datele cu caracter
personal.
Protejeaz implementeaz controale de securitate pentru a preveni, detecta i
rspunde la vulnerabiliti i bree de securitate.
Raporteaz d curs solicitrilor de date, raporteaz breele de securitate i pstreaz
documentaia necesar.

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 8 | 33
 Descoper

Gestioneaz

Protejeaz

Raporteaz

Pentru fiecare dintre pai, am evideniat exemple de instrumente, resurse i caracteristici n

diferite soluii Microsoft care pot fi utilizate pentru a te ajuta s abordezi cerinele din pasul
respectiv. Acest document nu este un manual de instruciuni complet, de aceea am inclus linkuri
prin intermediul crora poi afla mai multe detalii. De asemenea, poi gsi informaii
suplimentare la adresa Microsoft.com/GDPR.

Avnd n vedere ct de multe msuri trebuie luate, nu ar trebui s atepi nceperea aplicrii
GDPR pentru a te pregti. Ar trebui s revizuieti acum practicile de confidenialitate i
gestionare a datelor.

Urmtoarele seciuni evideniaz elemente specifice din fiecare component a GDPR i descriu
moduri n care poi utiliza produse i servicii disponibile astzi de la Microsoft pentru a ncepe.

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 9 | 33
 Ia msuri astzi
Descoper: identific ce date cu caracter personal deii i unde sunt
localizate
Primul pas ctre alinierea GDPR este s evaluezi dac acest msur se aplic organizaiei tale i,
dac da, n ce msur. Aceast analiz ncepe prin a nelege ce date deii i unde sunt localizate.

GDPR se aplic datelor mele?

GDPR reglementeaz colectarea, stocarea, utilizarea i partajarea de date cu caracter personal.
Datele cu caracter personal sunt definite foarte larg n GDPR ca fiind orice date asociate unei
persoane fizice identificate sau identificabile.

Dac organizaia ta deine astfel de date n baze de date de clieni, n formulare de feedback
completate de clieni, n coninut de e-mailuri, n fotografii, n nregistrri CCTV, n nregistrri ale
programelor de fidelitate, n baze de date de resurse umane sau n orice alt parte sau dorete
s le colecteze i dac datele aparin sau sunt asociate rezidenilor UE, atunci trebuie s te
conformezi GDPR. Reine c datele cu caracter personal nu trebuie s fie stocate n UE pentru a
fi sub incidena GDPR GDPR se aplic datelor colectate, procesate sau stocate n afara UE dac
sunt asociate rezidenilor UE.

Efectuarea inventarului
Pentru a nelege dac GDPR se aplic organizaiei tale i, dac da, ce obligaii impune, este
important s inventariezi datele din organizaia ta. Aceasta te va ajuta s nelegi ce date au
caracter personal i s identifici sistemele n care sunt colectate i stocate datele, s nelegi
de ce au fost colectate, cum sunt procesate i partajate i ct de mult sunt pstrate.

Iat cteva exemple de modaliti specifice prin care ofertele noastre de soluii cloud i soluii
locale te pot ajuta n primul pas ctre GDPR.

Azure

Avnd n vedere c Azure este o platform cloud deschis i flexibil, acesta include un serviciu
prin care sursele de date pot fi descoperite i identificate mai uor. Catalogul de date Microsoft
Azure este un serviciu cloud administrat complet, care servete drept sistem de nregistrare i
sistem de descoperire pentru sursele de date ale organizaiei. Cu alte cuvinte, Catalogul de date
Azure te ajut s descoperi, s nelegi i s utilizezi surse de date pentru a valorifica mai bine
datele existente. Dup ce o surs de date este nregistrat n Catalogul de date Azure,
metadatele acesteia sunt indexate de serviciu pentru ca tu s poi cuta i descoperi cu
uurin datele de care ai nevoie.

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 10 | 33
 Dynamics 365

Dynamics 365 furnizeaz mai multe capaciti de vizibilitate i auditare care pot fi utilizate prin
intermediul tablourilor de bord Raportare i Analiz din Dynamics 365 cu scopul de a identifica
datele cu caracter personal:

Dynamics 365 include un Asistent raport pe care l poi utiliza pentru a crea cu uurin
rapoarte, fr s utilizezi interogri bazate pe XML sau SQL.
Tablourile de bord din Dynamics 365 furnizeaz o prezentare general a datelor de afaceri
informaii care te ajut s identifici aciuni i care pot fi vizualizate n toat organizaia.

Microsoft Power BI este o platform de business intelligence (BI) cu autoservire pe care o

utilizezi pentru a descoperi, analiza i vizualiza date i pentru a partaja aceste perspective
sau pentru a colabora cu colegii pentru a le mbunti.

Suita Enterprise Mobility + Security (EMS)

Enterprise Mobility + Security include tehnologii de securitate bazate pe identitate care te ajut
s descoperi, s controlezi i s protejezi datele cu caracter personal deinute de organizaia ta,
precum i s descoperi potenialele probleme ascunse i s detectezi breele de securitate.

Microsoft Cloud App Security este un serviciu cuprinztor care furnizeaz o vizibilitate
superioar, controale extinse i o protecie mbuntit pentru date n aplicaiile cloud. Poi
observa ce aplicaii cloud sunt utilizate n reea identificnd peste 13.000 de aplicaii de pe
toate dispozitivele i poi beneficia de evaluri de riscuri i analize continue.

Microsoft Azure Information Protection te ajut s identifici care sunt datele sensibile i unde
sunt localizate. Poi s caui date marcate cu o anumit sensibilitate sau poi s identifici n mod
inteligent datele sensibile atunci cnd este creat un fiier sau un e-mail. Dup identificare, poi
clasifica i eticheta automat datele toate acestea n baza politicii dorite a companiei.

Office 365

Exist cteva soluii Office 365 specifice care te ajut s identifici sau s gestionezi accesul la
datele cu caracter personal:

Prevenirea pierderii datelor (DLP) din Office i Office 365 poate identifica peste 80 de
tipuri comune de date sensibile, inclusiv date financiare, date medicale i informaii de
identificare personal.

Cutarea de coninut din Centrul de securitate i conformitate Office 365 poate cuta n
cutii potale, foldere publice, grupuri Office 365, Microsoft Teams, site-uri SharePoint
Online, locaii din One Drive pentru business i conversaii din Skype for Business.

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 11 | 33
 Cutarea din Office 365 eDiscovery poate fi utilizat pentru a gsi text i metadate n
coninut din activele tale Office 365 SharePoint Online, OneDrive pentru business,
Skype for Business Online i Exchange Online.

Office 365 Advanced eDiscovery, bazat pe tehnologiile de nvare programat, te poate

ajuta s identifici documente care sunt relevante pentru un anumit subiect (de exemplu,
o investigaie de conformitate) n mod rapid i cu o precizie mai bun dect cutrile
tradiionale de cuvinte cheie sau verificarea manual a unor cantiti mari de documente.
Advanced eDiscovery poate reduce n mod semnificativ costurile i eforturile pentru a
identifica relaii dintre date i documente relevante prin utilizarea nvrii programate,
pentru a instrui sistemul s exploreze n mod inteligent seturi mari de date i s identifice
rapid ceea ce este relevant - reducnd datele nainte de revizuire.

Guvernarea avansat a datelor utilizeaz informaii i perspective asistate de computer

pentru a te ajuta s gseti, s clasifici, s stabileti politici i s iei msuri pentru a
gestiona ciclul de via al datelor care sunt cele mai importante pentru organizaie.

SharePoint

Poi utiliza Serviciul de cutare SharePoint pentru a cuta funcionaliti n cadrul aplicaiei,
cu scopul de a gsi date cu caracter personal. Pentru a identifica i cuta coninut sensibil,
SharePoint Server 2016 ofer aceleai capaciti de prevenire a pierderii datelor precum
Office 365.

SQL Server i Baz de date SQL Azure

Limbajul SQL poate fi utilizat pentru a interoga baze de date i pentru a particulariza
instrumente sau servicii care pot contribui la ndeplinirea acestei cerine. Cutarea este acceptat
n ntregime prin interogri, ns nregistrarea complet a urmririi trebuie executat la nivel de
aplicaie. Activitatea Script furnizeaz codul pentru execuia de funcii particularizate, cum ar fi
interogrile complexe de date care nu sunt disponibile n activitile i transformrile integrate
pe care le furnizeaz SQL Server Integration Services. Activitatea Script poate, de asemenea, s
combine funcii ntr-un singur script n loc s utilizeze activiti i transformri multiple. Aceast
suit de produse include i o funcionalitate puternic de business intelligence care ofer
utilizatorilor finali acces la perspectivele asupra datelor.

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 12 | 33
 Windows i Windows Server

Pentru a gsi date n Windows, poi utiliza Windows Search pentru a urmri i localiza datele cu
caracter personal pe computerul local i pe orice dispozitive conectate pentru care ai permisiuni
de acces adecvate. Pentru a mbunti capacitile Windows Search de a localiza datele int,
poi configura Opiunile de indexare din Panoul de control pentru a particulariza capacitile
Windows Search (de exemplu prin indexare coninutului fiierelor).

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 13 | 33
 Gestioneaz: administreaz modul n care sunt utilizate i accesate datele cu
caracter personal
GDPR furnizeaz subiecilor datelor - persoane asociate datelor - mai mult control cu privire la
modul n care datele lor cu caracter personal sunt capturate i utilizate. Subiecii datelor pot, de
exemplu, s solicite ca organizaia ta s partajeze datele asociate lor, s le transfere datele ctre
alte servicii, s corecteze erorile din datele lor sau s restricioneze procesarea anumitor date n
cazuri specifice. n unele cazuri, aceste solicitri trebuie trimise n perioade de timp fixe.
Guvernarea datelor
Pentru a i ndeplini obligaiile fa de subiecii datelor, va trebui s nelegi ce tipuri de date cu
caracter personal proceseaz organizaia ta, n ce mod i n ce scopuri. Inventarierea datelor
discutat anterior este un prim pas ctre acest lucru. Dup ce inventarierea este finalizat, este,
de asemenea, important s dezvoli i s implementezi un plan de guvernare a datelor. Un plan
de guvernare a datelor te poate ajuta s defineti politici, roluri i responsabiliti pentru accesul,
gestionarea i utilizarea datelor cu caracter personal i te poate ajuta s te asiguri c practicile
de gestionare a datelor se conformeaz cu GDPR. De exemplu, un plan de guvernare a datelor
poate oferi organizaiei tale ncrederea c respect efectiv solicitrile subiecilor datelor de a
terge sau transfera datele.

Servicii cloud Microsoft

Pentru a sprijini strategia de guvernare a datelor, serviciile cloud Microsoft sunt dezvoltate prin
metodologiile Microsoft Privacy-by-Design i Privacy-by-Default. Atunci cnd i ncredinezi
datele ctre Azure, Office 365 sau Dynamics 365, rmi unicul proprietar: reii dreptul, titlul i
interesul pentru datele stocate n servicii.

Serviciile cloud Microsoft iau msuri solide pentru a te ajuta s protejezi datele clienilor
mpotriva accesului inadecvat sau a utilizrii de ctre persoane neautorizate, dup cum se
detaliaz n Centrul de autorizare Microsoft. Aceste msuri includ restricionarea accesului de
ctre personalul i subcontractorii Microsoft i definirea atent a cerinelor pentru a rspunde la
solicitarea datelor clienilor de ctre instituiile guvernamentale.
Totui, poi s accesezi datele propriilor clieni n orice moment i cu orice motiv.

n plus, redirecionm solicitrile de date ale instituiilor guvernului pentru a i se adresa direct,
n afara cazului n care acest lucru este interzis prin lege i am contestat pe cale oficial
ncercrile instituiilor guvernamentale de a interzice dezvluirea unor astfel de solicitri.

Pentru a ne asigura c serviciile cloud Microsoft sunt gestionate corect i pentru a furniza
asigurri clienilor, serviciile cloud sunt auditate cel puin anual n baza ctorva standarde
globale de confidenialitate a datelor, inclusiv HIPAA i HITECH, CSA Star Registry i cteva
standarde ISO. Aceste rapoarte pot fi accesate la adresa
https://servicetrust.microsoft.com/Documents/ComplianceReports.

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 14 | 33
 Pe lng aceste angajamente, i vom furniza controlul necesar pentru a verifica modul n care
sunt gestionate datele i cine are acces la date specifice din organizaie.

Azure

Azure Active Directory este o soluie de gestionare a identitii i accesului n cloud. Gestioneaz
identitile i controleaz accesul la Azure, local, i la alte resurse, date i aplicaii din cloud.
Cu Azure Active Directory Privileged Identity Management poi atribui drepturi administrative
temporare, Just-In-Time (JIT), utilizatorilor eligibili pentru a gestiona resurse Azure.

Azure Role-Based Access Control (RBAC) te ajut s gestionezi accesul la resursele Azure. Acest
lucru i permite s acorzi acces n baza rolului atribuit utilizatorului, putnd s furnizezi doar
permisiunile de care au nevoie utilizatorii pentru a-i ndeplini sarcinile. Poi particulariza RBAC
conform modelului de afaceri i toleranei fa de riscuri din organizaia ta.

Office 365

Soluiile Office 365 au cteva caracteristici care te ajut s gestionezi datele cu caracter personal:

Caracteristicile de guvernare a datelor din Centrul de securitate i conformitate

Office 365 te ajut s arhivezi i s pstrezi coninut n cutii potale Exchange Online,
site-uri SharePoint Online i locaii din OneDrive pentru business i s impori date n
organizaia ta din Office 365.

Caracteristica Reinere din Office 365 te poate ajuta s gestionezi ciclul de via al
e-mailului i documentelor pstrnd coninutul de care ai nevoie i eliminnd coninutul
dup ce nu mai este necesar.

Guvernarea avansat a datelor utilizeaz informaii i perspective asistate de computer

pentru a te ajuta s gseti, s clasifici, s stabileti politici i s iei msuri pentru a
gestiona ciclul de via al datelor care sunt cele mai importante pentru organizaie.

Politicile de gestionare a informaiilor din SharePoint Online i permit s controlezi ct

de mult este reinut coninutul, pentru a verifica ce fac persoanele cu coninutul i pentru
a aduga coduri de bare sau etichete la documente.

Jurnalizarea din Exchange Online te poate ajuta s ndeplineti cerine de conformitate

juridic, de reglementare i organizaional prin nregistrarea comunicaiilor prin e-mail.

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 15 | 33
 Clasificarea datelor
Clasificarea datelor este o parte important din orice plan de guvernare a datelor. Adoptarea
unei scheme de clasificare care se aplic n ntreaga organizaie poate fi foarte util pentru
a rspunsurile la solicitrile subiecilor datelor, deoarece i permite s identifici mai prompt
i s procesezi solicitrile de date.

n prezent furnizm ndrumri i instrumente pentru a v ajuta s nelegei complexitatea

clasificrii datelor.

Azure

Materialul despre clasificarea datelor furnizeaz ndrumri specifice pentru clasificarea datelor n
Azure i i explic principiile din spatele tehnicilor de clasificare a datelor, procesul, terminologia
i implementarea. Documentaia conine o mulime de alte informaii i linkuri.

Dynamics 365

Ghidul de planificare pentru securitate i conformitate Dynamics 365 (online) furnizeaz

ndrumri cuprinztoare pentru nelegerea consideraiilor cheie de conformitate i securitate
asociate cu planificarea unei implementri de Dynamics 365 (online) n medii care includ servicii
enterprise de integrare a directoarelor cum ar fi sincronizarea directoarelor i sign-on unic.
Include informaii despre confidenialitatea datelor i politicile de confidenialitate, clasificarea
datelor i impact.

Enterprise Mobility + Security (EMS)

Azure Information Protection te poate ajuta s clasifici i s etichetezi datele n momentul crerii
sau modificrii. Apoi, asupra datelor sensibile se pot aplica protecii (criptare plus autentificare
plus drepturi de utilizare) sau marcaje vizuale. Etichetele de clasificare i proteciile sunt
permanente, nsoind datele pentru a putea fi identificate i protejate n permanen
indiferent unde sunt stocate sau cu cine sunt partajate.

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 16 | 33
 Office i Office 365

Prevenirea pierderii datelor (DLP) din Office i Office 365 poate identifica peste 80 de
tipuri comune de date sensibile inclusiv date financiare, date medicale i informaii de
identificare personal. n plus, DLP permite organizaiilor s configureze msurile care
vor fi luate dup identificare pentru a proteja informaiile sensibile i pentru a preveni
dezvluirea accidental.

Guvernarea avansat a datelor utilizeaz informaii i perspective asistate de computer

pentru a te ajuta s gseti, s clasifici, s stabileti politici i s iei msuri pentru a
gestiona ciclul de via al datelor care sunt cele mai importante pentru organizaie.
Clasific datele n baza analizei automate i recomandrilor de politici, apoi aplic aciuni
pentru meninerea datelor sau cur ce este necesar. Datele meninute i sursele de
date tere pot fi introduse n Office 365 i clasificate dup tipul de mesaj. Clasificarea
tipului de mesaj permite cutarea, sortare i exportul diferitelor surse de date, ceea ce
uureaz procesul de efectuare a revizuirilor ediscovery.

Windows i Windows Server

Kitul de instrumente Microsoft pentru clasificarea datelor pentru Windows Server 2012 R2
furnizeaz exemple de reguli i expresii de cutare pe care le poi utiliza pentru a sprijini
activitile de conformitate ntreprinse de specialitii IT, auditorii, contabilii, avocaii i ceilali
specialiti din organizaia ta.

Protejeaz: implementeaz controale de securitate pentru a preveni, detecta

i rspunde la vulnerabiliti i bree de securitate
Organizaiile neleg din ce n ce mai bine importana securitii informaiilor - ns GDPR ridic
standardele. Impune ca organizaiile s ia msuri tehnice i organizaionale adecvate pentru a
proteja datele cu caracter personal mpotriva pierderii sau accesului ori divulgrii neautorizate.

Protejarea datelor
Securitatea datelor este un domeniu complex. Exist numeroase riscuri care trebuie identificate
i luate n considerare - de la intruziunea fizic sau angajaii ru-intenionai, pn la pierderea
accidental sau atacurile hackerilor. Crearea de planuri de management al riscurilor i luarea
unor msuri de reducere a riscurilor, cum ar fi protejarea prin parol, jurnalele de audit i
criptarea, te pot ajuta s asiguri conformitatea.

Serviciul cloud Microsoft este creat special pentru a te ajuta s nelegi riscurile i pentru a te
apra mpotriva lor i este mai sigur dect mediile de calcul locale n multe privine. De exemplu,
centrele noastre de date sunt certificate la standarde recunoscute la nivel internaional, sunt
protejate prin supraveghere fizic permanent i au msuri stricte de control al accesului.

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 17 | 33
 Modul n care securizm infrastructura cloud este doar o parte din soluia cuprinztoare de
securitate i fiecare dintre produsele noastre, n cloud sau locale, au caracteristici de securitate
pentru a asigura datele.

Azure

Urmtoarele servicii i instrumente Azure te vor ajuta s protejezi datele cu caracter personal din
mediul cloud:

Azure Security Center i furnizeaz vizibilitate i control asupra securitii resurselor

Azure. Acesta monitorizeaz continuu resursele i furnizeaz recomandri de securitate
utile. i permite s defineti politici pentru abonamentele Azure i grupuri de resurse n
baza cerinelor de securitate ale companiei, tipurile de aplicaii pe care doreti s le
utilizezi i nivelul de sensibilitate a datelor. De asemenea, utilizeaz recomandrile de
securitate bazate pe politici pentru a ghida deintorii de servicii prin procesul de
implementare a mijloacelor de control necesare - de exemplu, activnd programele
antimalware sau criptarea discului pentru resursele tale. Security Center te ajut, de
asemenea, s implementezi rapid servicii i dispozitive de securitate de la Microsoft i
partenerii si pentru a ntri protecia mediului cloud.

Criptarea datelor n Azure securizeaz datele n standby i n tranzit. Poi, de exemplu,

s criptezi automat datele atunci cnd sunt scrise n spaiul de stocare Azure folosind
Criptarea serviciilor de stocare. n plus, poi utiliza Azure Disk Encryption pentru a cripta
sistemele de operare i discurile de date utilizate de mainile virtuale cu Windows i
Linux. Datele sunt protejate n tranzit ntre o aplicaie i Azure astfel c rmn n
permanen securizate la un nivel superior.

Azure Key Vault i permite s i protejezi cheile criptografice, certificatele i parolele

care te ajut s protejezi datele. Key Vault utilizeaz module de securitate hardware
(HSM) i este conceput pentru a menine controlul cheilor i, prin urmare, al datelor,
inclusiv prin asigurarea c Microsoft nu poate vedea sau extrage cheile. Poi monitoriza
i audita utilizarea cheilor stocate prin intermediul capacitii Azure de nregistrare i poi
importa jurnalele n Azure HDInsight sau n sistemul tu de gestionare a informaiilor i
evenimentelor (SIEM) pentru analiz suplimentar i detecia ameninrilor.

Microsoft Antimalware pentru servicii cloud i maini virtuale Azure este o capacitate
gratuit n timp real care te ajut s identifici i s elimini virui, spyware i alte programe
malware care vizeaz furtul de date, cu alerte configurabile care te anun atunci cnd
programe malware sau software nedorit ncearc s se instaleze sau ruleze pe
sistemele Azure.

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 18 | 33
 Dynamics 365

Poi utiliza conceptele de securitate pentru Dynamics 365 pentru a proteja integritatea i
confidenialitatea datelor dintr-o organizaie Dynamics 365. Poi combina uniti de business,
securitate bazat pe roluri, securitate bazat pe nregistrri i securitatea bazat pe cmpuri
pentru a defini accesul general la informaiile utilizatorilor din organizaia ta Dynamics 365.

Securitatea bazat pe roluri din Dynamics 365 i permite s grupezi un set de privilegii
care limiteaz activitile care pot fi executate de un anumit utilizator. Aceasta este o
capacitate important, n special atunci cnd sunt schimbate rolurile persoanelor dintr-o
organizaie.

Securitatea bazat pe nregistrri din Dynamics 365 i permite s restricionezi accesul la

nregistrri specifice.

Securitatea bazat pe cmpuri din Dynamics 365 i permite s restricionezi accesul la

anumite cmpuri de mare impact, precum cele cu informaii de identificare personal.

Enterprise Mobility + Security (EMS)

n majoritatea breelor de securitate, atacatorii obin acces n reeaua corporativ prin

intermediul acreditrilor de utilizatori slabe, comune sau furate. Abordarea noastr fa de
securitate ncepe cu protejarea identitii de la bun nceput cu acces condiional bazat pe riscuri.

Azure Active Directory (Azure AD) din Enterprise Mobility + Security protejeaz
organizaia la nivel de acces prin gestionarea i protejarea identitilor - i a celor
privilegiate i a celor neprivilegiate. Azure AD furnizeaz o identitate comun protejat
pentru a accesa mii de aplicaii Azure AD Premium dispune de MultiFactor
Authentication (MFA), care este un mijloc de control al accesului bazat pe starea
dispozitivului, locaia utilizatorului, identitate i riscul la conectare i pe rapoarte,
audituri i alerte de securitate holistice. Azure AD Privileged Identity Management (PIM)
contribuie la descoperirea, restricionarea i monitorizarea identitilor privilegiate i a
accesului acestora la resurse printr-un expert de securitate wizard, revizuiri i alerte.
Acest lucru permite scanrii precum accesul limitat n timp de tip just in time i just
enough administration.

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 19 | 33
 Enterprise Mobility + Security furnizeaz o vizibilitate asupra activitii utilizatorilor,
dispozitivului i datelor la nivel local i n cloud i te ajut s i protejezi datele prin mijloace de
control i aplicare solide.

Azure Information Protection extinde controlul asupra datelor de-a lungul ntregului
ciclu de via al datelor - de la creare pn la stocarea local i n servicii cloud,
partajarea intern sau extern, monitorizarea distribuiei fiierelor i n final rspunsul la
activitile neateptate.

Cloud App Security ofer vizibilitate i mijloace solide de control al datelor pentru
software-ul ca serviciu (SaaS) i aplicaiile cloud pe care le utilizeaz angajaii, pentru a
avea un context complet i pentru a ncepe s controlezi datele cu politici detaliate.

Microsoft Intune ofer capaciti de gestionare a dispozitivelor mobile, gestionare a

aplicaiilor mobile i gestionare a PC-ului din cloud. Prin intermediul Intune, poi acorda
angajailor acces la aplicaii, date i resurse corporative aproape de oriunde i de pe
orice dispozitiv, meninnd, n acelai timp, informaiile corporative securizate.

Office i Office 365

Platforma Office 365 include securitate la nivel de baz, de la dezvoltarea aplicaiilor pn la

centrele de date fizice i accesul utilizatorilor finali. Aplicaiile Office 365 includ att caracteristici
de securitate integrate care simplific procesul de protejare a datelor, ct i flexibilitatea de a
configura, gestiona i integra securitatea n moduri potrivite pentru nevoile tale de afaceri unice.
Cadrul de conformitate Office 365 are peste 1.000 de mijloace de control care ne permit s
meninem Office 365 la zi cu standardele din domeniu care evolueaz continuu, inclusiv cu
peste 50 de certificri sau atestri.

Numeroase mijloace de control sunt disponibile n mod implicit. SharePoint i OneDrive pentru
business, de exemplu, utilizeaz ambele criptare pentru date n tranzit i n standby. n plus, poi
configura i implementa certificate digitale pentru a ascunde datele cu caracter personal i poi
utiliza mijloacele de control Office Access pentru a acorda i restriciona accesul la datele cu
caracter personal.

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 20 | 33
 Office 365 ofer alte caracteristici care te ajut s protejezi datele i s identifici cnd se produc
bree de securitate:
Scorul de securitate i ofer perspective asupra poziiei de securitate i asupra
caracteristicilor disponibile pentru a reduce riscurile, echilibrnd, n acelai timp,
productivitatea i securitatea.
Advanced Threat Protection (ATP) pentru Exchange Online te ajut s protejezi n timp
real e-mailul mpotriva atacurilor noi, sofisticate cu malware. De asemenea, i permite s
creezi politici care te ajut s mpiedici utilizatorii s acceseze ataamente sau site-uri
web ru-intenionate trimise prin e-mail. ATP pentru Exchange Online include protecie
mpotriva programelor malware i viruilor, protecie n momentul clicului mpotriva
URL-urilor ru-intenionate i capaciti de raportare detaliat i urmrire a URL-urilor.
Information Rights Management (IRM) te ajut pe tine i pe utilizatorii ti s prevenii
imprimarea, redirecionarea, salvarea, editarea sau copierea informaiilor sensibile de
ctre persoane neautorizate. Cu IRM n SharePoint Online poi limita aciunile posibile
ale utilizatorilor asupra fiierelor care au fost descrcate din liste sau biblioteci, cum ar
fi imprimarea copiilor fiierelor sau copierea de text din acestea. Cu IRM n Exchange
Online poi mpiedica scurgerea informaiilor sensibile din mesaje e-mail i ataamente
prin e-mail, online i offline.
Management de dispozitive mobile (MDM) pentru Office 365 i permite s configurezi
politici i reguli pentru a securiza i gestiona dispozitivele iPhones, iPads, Android i
telefoanele Windows nregistrate de utilizatori. De exemplu, poi terge de la distan
un dispozitiv i poi vizualiza rapoarte detaliate pentru acesta. Office 365 utilizeaz, de
asemenea autentificarea multi-factor pentru a furniza securitate suplimentar.

SQL Server i Baz de date SQL Azure

SQL Server i Baza de date SQL Azure ofer mijloace de control pentru gestionarea accesului la
baza de date i autorizare la cteva niveluri:
Firewallul Bazei de date SQL Azure limiteaz accesul la bazele de date individuale de pe
serverul Bazei de date SQL Azure prin restricionarea accesului exclusiv la conexiuni
autorizate. Poi crea reguli pentru firewall la nivel de server i de baz de date,
specificnd intervalele de IP-uri aprobate pentru conectare.
Autentificarea la SQL Server te ajut s te asiguri c numai utilizatorii autorizai cu
acreditri valide pot accesa serverul bazei de date. SQL Server accept att autentificarea
prin Windows, ct i datele de conectare SQL Server. Autentificarea prin Windows ofer
securitate integrat i este recomandat ca opiune mai sigur, n care procesul de
autentificare este complet criptat. Baza de date SQL Azure accept autentificarea prin
Azure Active Directory, care ofer capacitate de sign-on unic i este acceptat pentru
domenii gestionate i integrate.

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 21 | 33
 Autorizarea SQL Server i permite s gestionezi permisiunile conform principiului de
acordare de privilegii minime. SQL Server i Baz de date SQL utilizeaz securitate bazat
pe roluri, care accept controlul detaliat al permisiunilor pentru date prin gestionarea
apartenenelor la roluri i permisiunile-la nivel de obiect.

Mascarea dinamic a datelor (DDM) este o capacitate integrat care poate fi utilizat
pentru a limita expunerea datelor sensibile prin mascarea acestora atunci cnd sunt
accesate de utilizatori sau aplicaii fr privilegii. Cmpurile de date desemnate sunt
mascate rapid n rezultatele interogrilor, n timp ce datele din baza de date rmn
neschimbate. DDM este uor de configurat i nu necesit nicio modificare n aplicaie.
Pentru utilizatorii de Baz de date SQL Azure, mascarea dinamic a datelor poate
descoperi automat datele care pot fi sensibile i pot sugera aplicarea mtilor
corespunztoare.

Securitatea la nivel de rnd (RLS) este o capacitate integrat suplimentar care permite
clienilor SQL Server i Baz de date SQL s implementeze restriciile pentru accesul
rndurilor de date. RLS poate fi utilizat pentru a permite accesul detaliat la rnduri
dintr-un tabel de baz de date, pentru a controla mai bine ce utilizatori pot accesa
datele. Avnd n vedere c logica pentru restricionarea accesului este localizat la nivelul
bazei de date, aceast capacitate simplific mult designul i implementarea securitii
aplicaiei.

SQL Server i Baz de date SQL ofer un set puternic de capaciti integrate care protejeaz
datele i identific momentul n care se produce o bre de securitate:

Criptarea transparent a datelor protejeaz datele n standby prin criptarea bazei de

date, a copiilor de rezerv asociate i a fiierelor de nregistrare a tranzaciilor la nivelul
stocrii fizice. Aceast criptare este transparent pentru aplicaie i utilizeaz acceleraia
hardware pentru a mbunti performanele.

Transport Layer Security (TLS) furnizeaz protecia datelor n tranzit n conexiunile la

Baza de date SQL.

Always Encrypted este o caracteristic premier n domeniu, care este conceput pentru
a proteja datele foarte sensibile n SQL Server i n Baza de date SQL. Always Encrypted
permite clienilor s cripteze datele sensibile n interiorul aplicaiilor i s nu dezvluie
niciodat cheile de criptare ctre motorul bazei de date. Mecanismul este transparent
pentru aplicaii, deoarece criptarea i decriptarea datelor este realizat transparent ntr-
un driver client compatibil cu Always Encrypted.

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 22 | 33
 Auditurile pentru Baz de date SQL i auditurile pentru SQL Server monitorizeaz
evenimentele din bazele de date i le noteaz ntr-un jurnal de audit. Auditarea i
permite s nelegi activitile continue din baza de date i s analizezi i s investighezi
activitatea istoric pentru a identifica posibile ameninri sau abuzuri i nclcri ale
securitii.

Detecia ameninrilor din Baz de date SQL detecteaz activitile anormale din baza de
date indicnd posibile ameninri asupra bazei de date. Detecia ameninrilor utilizeaz
un set avansat de algoritmi pentru a nva i profila n mod continuu comportamentele
aplicaiilor i ofer imediat o notificare dac detecteaz activiti neobinuite sau
suspecte. Detecia ameninrilor te poate ajuta s ndeplineti cerinele de notificare cu
privire la breele de securitate din GDPR.

Windows i Windows Server

Windows 10 i Windows Server 2016 includ criptare lider n domeniu, tehnologii antimalware
i soluii de identitate i acces care i permit s trecei de la parole la forme mai sigure de
autentificare:
Windows Hello este o alternativ convenabil, de nivel enterprise, la parolele care
utilizeaz o metod natural (biometric) sau familiar (PIN) pentru validarea identitii,
oferind beneficiile de securitate cartelelor inteligente fr s fie necesare periferice
adiionale.
Windows Defender Antivirus este o soluie antimalware robust care funcioneaz de
la bun nceput pentru a te ajuta s te protejezi. Windows Defender Antivirus detecteaz
rapid programele malware i poate proteja imediat dispozitivele atunci cnd
o ameninare este observat pentru prima dat n orice parte a mediului tu.
Device Guard i permite s blochezi dispozitivele i serverele pentru a te proteja
mpotriva variantelor noi i necunoscute de malware i a ameninrilor persistente
complexe. Spre deosebire de soluiile bazate pe detecie precum programele antivirus
care necesit actualizare constant pentru a detecta cele mai noi ameninri, Device
Guard blocheaz dispozitivele pentru a putea executa doar aplicaiile autorizate pe
care le alegi, ceea ce este o modalitate eficient de a combate programele malware.
Credential Guard este o caracteristic ce izoleaz secretele pe un dispozitiv, cum ar fi
tokenurile pentru sign-on unic, de acces, chiar i n cazul unei compromiteri complete
a sistemului de operare Windows. Aceast soluie previne n principal utilizarea atacurilor
greu de parat cum ar fi pass the hash.
Criptare unitate BitLocker din Windows 10 i Windows Server 2016 furnizeaz criptare de
nivel enterprise pentru a proteja datele atunci cnd un dispozitiv este pierdut sau furat.
BitLocker cripteaz complet discul i unitile flash ale computerului pentru a preveni
accesul utilizatorilor neautorizai la date.

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 23 | 33
 Windows Information Protection continu ceea ce a nceput BitLocker. n timp ce
BitLocker protejeaz ntregul disc al unui dispozitiv, Windows Information Protection
protejeaz datele de utilizatorii i aplicaiile neautorizate care ruleaz pe un computer.
De asemenea, te ajut s mpiedici scurgerile de date din documente business ctre
documente non-business sau locaii locations de pe web.
Mainile virtuale ecranate i permit s utilizezi BitLocker pentru a cripta discurile i
mainile virtuale (VM) care ruleaz pe Hyper-V, pentru a mpiedica administratorii
compromii sau ru-intenionai s atace coninutul mainilor virtuale protejate.
Just Enough Administration i Just in Time Administration permit administratorilor s
i ndeplineasc sarcinile regulate, permindu-i, n acelai timp, s limitezi domeniul
capacitilor i timpul alocate administratorilor. Dac o acreditare privilegiat este
compromis, dimensiunea daunelor este limitat n mod semnificativ. Aceast tehnic
furnizeaz administratorilor un singur nivel de acces necesar n perioada n care lucreaz la
proiect.

Detectarea i neutralizarea breelor de securitate

n anumite cazuri, GDPR impune ca organizaiile s notifice rapid entitile de reglementare,
dac se produce o bre de securitate. n unele cazuri, organizaiile vor trebui s notifice i
subiecii datelor afectate. Pentru a ndeplini aceast cerin, organizaiile vor beneficia de
capacitatea de a monitoriza i detecta intruziunile n sistem.
Pentru incidentele n care avem responsabilitatea de a rspunde, am creat procese detaliate
de Management al rspunsului la incidente de securitate aa cum s-a specificat pentru Azure
i Office 365.
n plus, detaliem modul n care colaborm cu clienii ntr-un Model de responsabilitate comun
descris n cartea alb Responsabiliti comune n Cloud Computing.
Dup ce detectezi brea potenial, noi recomandm i utilizm pentru propriul program de
rspuns la incidente un proces n patru pai:

Evaluarea impactului i gravitii evenimentului. n baza dovezilor, evaluarea poate sau

nu s duc la escaladarea ctre o echip de rspuns pentru securitatea
cibernetic/protecia datelor.
Efectuezi o investigaie tehnic sau legal i identifici strategiile de neutralizare,
remediere i ocolire. Dac echipa de securitate cibernetic/protecia datelor crede c
datele cu caracter personal pot fi expuse unei persoane ru-intenionate sau
neautorizate, un proces de notificare ncepe n paralel dup cum o cere GDPR.

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 24 | 33
 Creezi un plan de recuperare pentru a remedia problema. Paii de neutralizare a crizei,
precum izolarea n carantin a sistemelor afectate se poate produce imediat i n paralel
cu diagnosticarea. Remedierile pe termen mai lung pot fi planificate dup ce riscul
imediat a trecut.
Creezi o analiz ulterioar care evideniaz detaliile incidentului, cu intenia de a revizui
politicile, procedurile i procesele pentru a preveni reapariia evenimentului. Aceast
etap este conform cu Articolul 31 din GDPR care impune nregistrarea faptelor din
jurul breei, a efectelor sale i a planului de remediere aplicat.
Azure
Protejarea datelor personale n sisteme, raportarea i verificarea conformitii sunt cerine cheie ale
GDPR. Urmtoarele servicii i instrumente Azure te vor ajuta s ndeplineti aceste obligaii GDPR:
Serviciile integrate n Azure i permit s nelegi mai rapid i mai uor postura de
securitate general i s detectezi i s investighezi ameninrile asupra mediului tu
cloud. Azure Security Center utilizeaz analize complexe de securitate. Sunt utilizate
inovaii n tehnologii big data i de nvare programat pentru a evalua evenimente n
ntregul sistem cloud - detectnd ameninri care ar fi imposibil de identificat folosind
abordrile manuale i anticipnd evoluia atacurilor. Aceste analize de securitate includ:
Investigarea integrat ameninrilor, care caut ameninrile cunoscute utiliznd
informaii globale despre ameninri de la produse i servicii Microsoft, de la
Microsoft Digital Crimes Unit (DCU), de la Microsoft Security Response Center
(MSRC) i din surse externe.
Analiza comportamentelor, care aplic modele cunoscute pentru a descoperi
comportamente ru-intenionate.
Detecia anomaliilor, care utilizeaz profiluri statistice pentru a crea o line de
baz istoric. Ofer alerte n cazul deviaiilor de la linii de baz cunoscute care se
conformeaz cu un potenial vector de atac.
n plus, Security Center furnizeaz alerte de securitate prioritizate care i ofer
perspective asupra campaniei de atac, inclusiv asupra evenimentelor asociate i asupra
resurselor afectate.
Azure Log Analytics furnizeaz opiuni configurabile de auditare i nregistrare
de securitate care te pot ajuta s colectezi i s analizezi datele generate de
resursele locale sau din cloud. Acesta ofer perspective n timp real utiliznd
cutare integrat i tablouri de bord particularizate pentru a analiza prompt
nregistrrile din toate sarcinile de lucru i serverele indiferent de locaia fizic.
Acesta faciliteaz rspunsurile rapide i investigaiile detaliate n cazul oricror
evenimente de securitate.

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 25 | 33
 Dynamics 365

ntreinem i actualizm Dynamics 365 (online) n mod regulat pentru a asigura securitatea,
performanele i disponibilitatea i pentru a oferi caracteristici i funcionaliti noi. Din cnd n
cnd, rspundem i la incidente de service. Pentru fiecare dintre aceste activiti, administratorul
Dynamics 365 pentru organizaia ta primete notificri prin e-mail. n timpul unui incident de
service, un reprezentant de servicii clieni Dynamics 365 (online) te poate apela telefonic i i
poate trimite ulterior un e-mail. Consult detaliile complete ale politicilor i comunicrilor pentru
Dynamics 365 pe TechNet.

Enterprise Mobility + Security (EMS)

Sistemul nostru extins de investigare a ameninrilor utilizeaz tehnologii de ultim or de

analiz comportamental i detecie a anomaliilor pentru a descoperi activitile suspicioase i
pentru a repera ameninrile - att local, ct i n cloud. Printre acestea se numr atacurile ru-
intenionate cunoscute (cum ar fi Pass the Hash, Pass the Ticket) i vulnerabilitile de securitate
din sisteme. Poi lua imediat msuri mpotriva atacurilor detectate i poi simplifica recuperarea
cu asisten puternic. Sistemul nostru de investigare a ameninrilor este mbuntit cu
Microsoft Intelligent Security Graph, bazat pe un numr vast de seturi de date i pe nvare
programat n cloud:

Microsoft Advanced Threat Analytics (ATA) este un produs pentru utilizare local, care
ajut specialitii IT s i protejeze organizaia de atacuri intite complexe prin analiza,
nvarea i identificarea automat a comportamentelor normale i anormale ale
entitilor (utilizatori, dispozitive i resurse). ATA identific ameninrile persistente
complexe (APT) la nivel local prin detectarea comportamentelor suspecte ale
utilizatorilor i entitilor (dispozitive i resurse), folosind nvarea programat i
informaiile din Active Directory, sistemele SIEM i jurnalele de evenimente Windows
de la nivel local. De asemenea, detecteaz atacurile ru-intenionate cunoscute (precum
Pass the Hash). n final, ofer o cronologie simpl a atacurilor, cu informaii clare
i relevante privind atacurile, pentru a te putea concentra rapid asupra aspectelor
importante.

Cloud App Security furnizeaz protecie mpotriva ameninrilor pentru aplicaiile tale
cloud care sunt mbuntite cu informaiile i cercetrile vaste privind ameninrile din
cadrul Microsoft. Poi identifica utilizarea cu risc ridicat, incidentele de securitate i poi
detecta comportamentele anormale ale utilizatorilor, pentru a preveni ameninrile.
Euristica complex a nvrii programate din Cloud App Security analizeaz modul n
care fiecare utilizator interacioneaz cu fiecare aplicaie SaaS i, printr-o analiz
comportamental, evalueaz riscurile din fiecare tranzacie. Sunt incluse aici
autentificrile simultane din dou ri, descrcarea brusc de teraoctei de date sau
ncercrile multiple de conectare euate, care pot semnifica un atac n for.

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 26 | 33
 Azure Active Directory (Azure AD) Premium furnizeaz detecie a ameninrilor la nivel
de identitate din cloud. Azure AD monitorizeaz utilizarea aplicaiilor i i protejeaz
afacerea de ameninrile complexe prin rapoarte de securitate i monitorizare.
Rapoartele privind accesul i utilizarea ofer vizibilitate asupra integritii i securitii
directorului organizaiei. De asemenea, Azure AD furnizeaz protecia identitii prin
notificri, analiz i recomandri de remedii.

Office i Office 365

Office 365 are cteva capaciti care te ajut s identifici breele de securitate i s rspunzi n
mod adecvat:

Sistemul de investigare a ameninrilor te ajut s descoperi proactiv ameninrile

complexe i s te protejezi mpotriva acestora n Office 365. Perspectivele detaliate
asupra ameninrilor - disponibile n parte datorit prezenei globale a Microsoft,
Intelligent Security Graph i informaiilor de la sistemele de detectare a ameninrilor
cibernetice -te ajut s activezi rapid i eficient alertele, politicile dinamice i soluiile
de securitate.

Advanced Security Management i permite s identifici utilizarea anormal i care

prezint riscuri ridicate, alertndu-te cu privire la breele poteniale. n plus, i permite
s stabileti politici de activitate pentru a monitoriza aciunile cu risc ridicat i activitile
suspecte i pentru a lua msuri n cazul acestora. De asemenea, poi beneficia de
Productivity App Discovery, care i permite s utilizezi informaiile din fiierele cu
jurnale ale organizaiei pentru a nelege utilizarea aplicaiilor utilizatorilor din Office 365
i a altor aplicaii din cloud i pentru a lua msuri n consecin.

Advanced Threat Protection pentru Exchange Online te ajut s protejezi n timp real
e-mailul mpotriva atacurilor noi, sofisticate cu malware. De asemenea, i permite s
creezi politici care te ajut s mpiedici utilizatorii s acceseze ataamente sau site-uri
web ru-intenionate trimise prin e-mail.

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 27 | 33
 SQL Server i Baz de date SQL Azure

SQL Server i Baz de date SQL ofer un set puternic de capaciti integrate care identific
momentul n care se produce o bre de securitate:

Auditurile pentru Baz de date SQL i auditurile pentru SQL Server monitorizeaz
evenimentele din bazele de date i le noteaz ntr-un jurnal de audit. Auditarea i
permite s nelegi activitile continue din baza de date i s analizezi i s investighezi
activitatea istoric pentru a identifica posibile ameninri sau abuzuri i nclcri ale
securitii.

Detecia ameninrilor din Baz de date SQL detecteaz activitile anormale din baza de
date indicnd posibile ameninri asupra bazei de date. Detecia ameninrilor utilizeaz
un set avansat de algoritmi pentru a nva i profila n mod continuu comportamentele
aplicaiilor i ofer imediat o notificare dac detecteaz activiti neobinuite sau
suspecte. Detecia ameninrilor te poate ajuta s ndeplineti cerinele de notificare cu
privire la breele de securitate din GDPR.

Windows i Windows Server

Protecie avansat Windows Defender mpotriva ameninrilor (ATP) permite echipelor de

operaiuni de securitate s detecteze, s investigheze, s izoleze i s soluioneze breele de
securitate din reea. Cu Windows Defender ATP, beneficiezi de capaciti avansate de detecie,
investigare i rspuns n caz de bree pentru toate punctele finale cu pn la 6 luni de date
istorice, chiar i atunci cnd punctele finale sunt offline, n afara domeniului de reea, au fost
reimaginate sau nu mai exist. Windows Defender ATP te ajut s ndeplineti o cerin cheie
a GDPR, care are proceduri clare pentru detectarea, investigarea i raportarea breelor
de securitate.

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 28 | 33
 Raporteaz: d curs solicitrilor de date, raporteaz breele de securitate i
pstreaz documentaia necesar.
GDPR stabilete noi standarde de transparen, rspundere i pstrare a nregistrrilor. Va trebui
s fii mai transparent nu doar cu privire la modul de gestionare a datelor personale, ci i cu
privire la modul n care menii n mod activ documentaia care definete procesele i utilizarea
datelor cu caracter personal.

Pstrarea nregistrrilor
Organizaiile care proceseaz date cu caracter personal vor trebui s pstreze nregistrri cu
privire la scopurile procesrii, la categoriile de date cu caracter personal procesate, la identitatea
terilor cu care sunt mprtite datele, la rile tere care primesc date cu caracter personal i la
baza legal a acestor transferuri, la msurile organizaionale i de securitate tehnic i la
perioadele de retenie a datelor aplicabile diferitelor seturi de date. O modalitate de a reui
acest lucru este prin utilizarea instrumentelor de auditare, care pot s asigure c orice procesare
a datelor - colectare, utilizare, partajare sau de alt natur - este monitorizat i nregistrat.

Serviciile cloud Microsoft ofer servicii de auditare integrate ce te pot ajuta s te conformezi
cu acest standard.

Azure, Office 365 i Dynamics 365

Pe Service Trust Portal, putei afla informaii detaliate despre diferite oferte pentru Azure, Office 365
i Dynamics 365 legate de conformitate, securitate, confidenialitate i ncredere, inclusiv rapoarte i
atestri. Auditurile efectuate de teri independeni i rapoartele de evaluare GRC (administrare,
managementul riscurilor i conformitate) te ajut s fii la curent cu modul n care serviciile cloud
Microsoft se conformeaz cu standardele globale care conteaz pentru organizaia ta. Documentele
cu privire la ncredere te pot ajuta s nelegi modul n care serviciile Microsoft i protejeaz datele i
cum poi gestiona securitatea datelor i conformitatea pentru serviciile cloud.
Azure

Auditarea i nregistrarea evenimentelor legate de securitate i a alertelor asociate reprezint

componente importante ntr-o strategie eficient de protecie a datelor.

Capacitile Azure de nregistrare i auditare i permit:

S creezi un lan de audit pentru aplicaiile implementate n Azure i pe mainile virtuale

create din Azure Virtual Machines Gallery.

S efectuezi analize centralizate a unor seturi mari de date prin colectarea evenimentelor
de securitate din infrastructura ca serviciu (IaaS) i platforma ca serviciu (PaaS) din Azure.
Poi apoi s utilizezi Azure HDInsight pentru a agrega i analiza aceste evenimente i le
poi exporta n sisteme SIEM locale pentru monitorizare continu.

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 29 | 33
 S monitorizezi raportarea accesului i utilizrii prin capacitatea Azure de nregistrare
a operaiilor administrative, inclusiv accesul la sistem, pentru a crea un lan de audit n
cazul modificrilor neautorizate sau accidentale. Poi extrage jurnale de audit pentru
entitatea gzduit din Azure Active Directory i poi vizualiza rapoartele privind accesul
i utilizarea.

S expori alerte de securitate n sisteme SIEM locale folosind Azure Diagnostics, care
poate fi configurat pentru a colecta jurnale de evenimente de securitate Windows i alte
jurnale de securitate specifice.

S obii instrumente tere de monitorizare a securitii, de raportare i alertare din Azure

Marketplace.

Microsoft Azure Monitor permite organizaiilor s vizualizeze i s gestioneze cu uurin toate

activitile de monitorizare a datelor de la un tabloul de bord central. Obii date detaliate,
actualizate, privind performanele i utilizarea, acces la jurnalul de activitate care monitorizeaz
fiecare apelare de API i jurnale de diagnosticare ce te ajut s urmreti problemele din
resursele Azure. n plus, poi configura alerte i poi lua msuri automatizate. Azure Monitor se
integreaz n instrumentele existente, astfel c beneficiezi de monitorizare i analiz complete
extinse prin combinarea Azure Monitor cu instrumentele de analiz cu care eti deja familiarizat.

Office i Office 365

Asigurare servicii din Centrul de securitate i conformitate Office 365 i ofer

informaii detaliate pentru a efectua evaluri ale riscurilor, cu detalii n rapoartele de
conformitate Microsoft i starea transparent a controalelor auditate, inclusiv:

Practicile de securitate Microsoft pentru datele clienilor care sunt stocate n

Office 365.

Rapoartele auditurilor efectuate de teri independeni asupra Office 365.

Detaliile de implementare i testare pentru controalele de securitate, confidenialitate

i conformitate care ajut clienii s se conformeze cu standardele, legile i
reglementrile din toate domeniile, cum ar fi ISO 27001 i ISO 27018, precum
i Legea responsabilitii i a transferabilitii asigurrilor medicale (HIPAA).

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 30 | 33
 Jurnalele de audit Office 365 i permit s monitorizezi i s urmreti activitile
utilizatorului i administratorului n sarcini de lucru din Office 365, care contribuie
la detectarea i investigarea timpurie a problemelor de conformitate i securitate.
Utilizeaz pagina de cutare a auditurilor Office 365 pentru a ncepe s nregistrezi
activitatea utilizatorilor i administratorilor din organizaia ta. Dup ce Office 365
pregtete jurnalul de audit, poi cuta o gam larg de activiti, inclusiv ncrcrile
n OneDrive sau SharePoint Online ori resetrile parolelor utilizatorilor. Exchange
Online poate fi configurat pentru a monitoriza modificrile efectuate de
administratori i pentru a urmri cnd o cutie potal este accesat de alt
persoan dect deintorul acesteia.

Customer Lockbox i confer autoritate asupra modului n care un inginer de

asisten Microsoft poate s acceseze datele n timpul unei sesiuni de asisten. n
cazul n care inginerul are nevoie de acces la date pentru a depana i remedia o
problem, Customer Lockbox i permite s s aprobi sau s respingi solicitarea de
acces. Dac o aprobi, inginerul poate s i acceseze datele. Fiecare solicitare are un
timp limit i, dup rezolvarea problemei, solicitarea este nchis, iar accesul este
revocat.

Enterprise Mobility + Security (EMS)

Azure Information Protection furnizeaz capaciti extinse de nregistrare i raportare pentru

a analiza modul n care datele sensibile sunt distribuite. Monitorizarea documentelor permite
utilizatorilor i administratorilor s monitorizeze activitile asupra datelor partajate i s revoce
accesul n cazuri neateptate. Azure Information Protection furnizeaz, de asemenea, capaciti
de analiz a datelor nestructurate din partajrile de fiiere, site-urile i bibliotecile SharePoint,
depozitele online i unitile de desktop sau laptop. Cu accesul la fiiere poi scana coninutul
fiecrui fiier i poi determina dac n fiiere exist anumite clase de date cu caracter personal.
Poi, apoi, s clasifici i s etichetezi fiecare fiier n baza tipului de date prezent. n plus, poi
genera rapoarte ale acestui proces, cu informaii despre fiierele scanate, politicile de clasificare
care s-au potrivit i eticheta care a fost aplicat.

Windows i Windows Server

Windows Event Log furnizeaz capaciti extinse de nregistrare care permit administratorilor s
vizualizeze informaii nregistrate despre sistemul de operare, aplicare i activitile utilizatorilor.
Acest sistem de nregistrare poate fi configurat pentru a audita aciuni detaliate ale utilizatorilor
i aplicaiilor, inclusiv accesul la fiiere, utilizarea aplicaiilor i modificrile de politic. Windows
Event Log permite, de asemenea, administratorilor s redirecioneze evenimente de la clieni i
servere ctre o locaie central n scop de raportare i audit.

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 31 | 33
 Instrumente de raportare i documentaie din serviciile cloud
La fel ca n cazul oricror alte baze de date sau sisteme care gestioneaz date cu caracter
personal, utilizarea serviciilor cloud trebuie bine nregistrat i neleas de organizaia ta.
De exemplu, organizaia ta va trebui s neleag datele cu caracter personal pstrate de
furnizorii de servicii n numele organizaiei; relaia contractual care guverneaz respectivii
furnizori i ce se ntmpl cu datele atunci cnd o relaie de servicii se ncheie.

Te ajutm s gestionezi aceste informaii prin meninerea unor instrumente de raportare simple
i clare cu privire la contul tu din serviciile cloud Microsoft, mpreun cu documentaie extins
despre serviciile noastre cloud, modul n care funcioneaz i relaia noastr contractual cu tine.

Notificarea subiecilor datelor

GDPR va modifica cerinele de protejare a datelor i va impune obligaii mai stricte pentru
procesatorii i controlorii de date cu privire la anunarea breelor de securitate din datele cu caracter
personal care prezint un risc pentru drepturile i libertile individuale. n baza noii reglementri,
cup cum se definete n Articolele 17, 31 i 32, Procesatorul de date trebuie s notifice fr
ntrziere Controlorul de date cu privire la astfel de bree de securitate dup ce le descoper.

Dup ce descoper o bre, Controlorul de date trebuie s notifice autoritatea relevant de

protecie a datelor n decurs de 72 de ore. Dac brea de securitate poate prezenta riscuri
ridicate pentru drepturile i libertile persoanelor controlorii vor trebui s notifice i persoanele
afectate, fr ntrziere. Aceasta nsemn c, dac utilizezi un Procesator de date n calitate de
Controlor de date trebuie s te asiguri c n contractele tale ai inclus un set clar de ateptri
legate de posibilele notificri cu privire la bree.

Pentru incidentele n care Microsoft are responsabilitatea de a rspunde, am creat procese

detaliate de Management al rspunsului la incidente de securitate aa cum s-a specificat pentru
Azure, Office 365 i Dynamics 365. De asemenea, menionm angajamentele noastre fa de
GDPR i n contract.

Produsele i serviciile Microsoft - cum ar fi Azure, Dynamics 365, Enterprise Mobility + Security,
Office 365 i Windows 10 - au n prezent soluii disponibile pentru a te ajuta s detectezi i s
evaluezi ameninrile i breele de securitate i s ndeplineti obligaiile de notificare n caz de
bree din GDPR.

Gestionarea solicitrilor subiecilor datelor

Printre cele mai semnificative elemente ale GDPR se afl drepturile subiecilor datelor stipulate
n Articole n Seciunea 2: Informaii i acces la date, Seciunea 3: Rectificarea i tergerea i
Seciunea 4: Dreptul de a obiecta i luarea automat a deciziilor n mod individual.

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 32 | 33
 Aceste obligaii pot avea efect asupra mediului i operaiilor IT ale Controlorului de date i
asupra mediului i operaiilor IT ale oricror furnizori de servicii angajai ca Procesatori de date.

Guvernarea adecvat a datelor a fost un element cheie al legilor privind confidenialitatea i este
promovat n majoritatea legilor i regulamentelor de protecie i confidenialitate a datelor.
Un element cheie al guvernrii n baza GDPR este numirea unui Reprezentant de protejare a
datelor (DPO) n circumstane specifice descrise n Articolele 35, 36 i 37. DPO trebuie s fie
implicat n toate problemele legate de protecia datelor cu caracter personal.

Un al doilea element important al guvernrii n baza GDPR este Revizuirea de conformitate

pentru protecia datelor care genereaz o Evaluare a impactului asupra proteciei datelor (DPIA)
sub ndrumarea unui DPO. Articolul 35-11: Dac este necesar, controlorul va efectua o revizuire
pentru a stabili dac procesarea este executat n conformitate cu evaluarea impactului asupra
proteciei datelor, cel puin atunci cnd se modific riscul reprezentat de operaiile de procesare.

Centrul de autorizare Microsoft furnizeaz informaii despre modurile n care putem s i

sprijinim drumul ctre conformitate, inclusiv o seciune special despre viziunea i
angajamentele Microsoft fa de GDPR.

Drumul ctre Conformarea cu Regulamentul general privind Protecia Datelor (GDPR)

Pagina 33 | 33