Richieste degli interessati per Professional Services e supporto tecnico Microsoft nell'ambito del GDPR e del CCPA
Introduzione ai servizi professionali Microsoft
Microsoft Professional Services include un gruppo diversificato di architetti tecnici, ingegneri, consulenti e professionisti del supporto che si dedicano a realizzare la missione Microsoft di consentire ai clienti di fare di più e ottenere di più. Il nostro team di Servizi professionali include oltre 21.000 consulenti totali, consulenti digitali, supporto unificato, ingegneri e professionisti delle vendite che lavorano in 191 paesi. Il nostro team supporta 46 lingue diverse, gestisce diversi milioni di engagement al mese e interagisce con clienti e partner tramite strumenti locali, telefonici, Web, community e automatizzati. L'organizzazione offre un'ampia esperienza nel portfolio Microsoft, usando una vasta rete di partner, community tecniche, strumenti, diagnostica e canali che ci connettono con i clienti aziendali.
Per altre informazioni su Microsoft Professional Services, vedere la pagina Web Documentazione sull'attendibilità di Microsoft Professional Services. Per i servizi professionali di Microsoft, il rispetto degli obblighi derivanti dal Regolamento generale sulla protezione dei dati (GDPR) è importante. Le informazioni contenute in questo documento sono progettate per rispondere alle domande dei clienti sul modo in cui le offerte di supporto e consulenza di Microsoft rispondono e aiutano i clienti a rispondere agli obblighi di richiesta dell'interessato ai sensi del GDPR.
Introduzione alle richieste DSR
Il GDPR concede alle persone (note nel regolamento come interessati) il diritto di gestire i dati personali raccolti da un datore di lavoro o da un altro tipo di agenzia o organizzazione (noto come titolare del trattamento dei dati o semplicemente titolare del trattamento). Nel GDPR, i dati personali sono definiti molto ampiamente come qualsiasi dato relativo a una persona fisica identificata o identificabile. Il GDPR concede agli interessati diritti specifici sui propri dati personali. Questi diritti includono l'accesso, la correzione, l'opposizione all'elaborazione e l'eliminazione. Una richiesta formale da un soggetto interessato a un titolare del trattamento di agire sui dati personali viene definita una Richiesta dell’interessato o DSR. Inoltre, obbliga le aziende che lavorano per conto di un titolare del trattamento (noto come responsabile del trattamento dei dati o semplicemente responsabile del trattamento) ad assistere ragionevolmente il titolare del trattamento nell'adempimento delle richieste DSR.
Analogamente, il California Consumer Privacy Act (CCPA) prevede obblighi e diritti in materia di privacy per i consumatori della California, inclusi diritti simili a quelli che il GDPR riconosce all'interessato, ad esempio il diritto di eliminare, ricevere e accedere alle informazioni personali (portabilità). Nell'ambito dei diritti che i consumatori possono esercitare, il CCPA prevede inoltre l'obbligo per determinate divulgazioni, di protezioni contro la discriminazione e requisiti di consenso o rifiuto esplicito per alcuni trasferimenti di dati classificati come "vendite". In generale, la definizione di vendite include la condivisione di dati a titolo oneroso. Per altre informazioni sul CCPA, vedere il California Consumer Privacy Act e le Domande frequenti sul California Consumer Privacy Act.
In questa guida viene descritto come individuare, accedere e utilizzare i dati personali presenti nei sistemi IT di Microsoft che potrebbero essere raccolti per fornire supporto e altre offerte di Servizi professionali.
Nello sviluppo di una risposta per le richieste DSR, è importante che i clienti di Microsoft comprendano che i dati dei servizi professionali sono separati dai dati dei clienti nei tenant dei servizi online o da altri dati che essi o i relativi interessati potrebbero aver fornito a Microsoft. Gli strumenti e i processi, ad esempio quelli forniti per i servizi online o il dashboard sulla privacy Microsoft, non possono essere usati per rispondere alle richieste DSR per i dati personali contenuti in supporto tecnico Microsoft o altri servizi professionali.
Tutte le richieste devono essere effettuate tramite un rappresentante del supporto, come descritto più avanti in questo articolo. Attualmente non esiste uno strumento self-service per i clienti per ottenere l'accesso ai dati personali all'interno delle organizzazioni di Servizi professionali.
Panoramica dei processi descritti in questa guida
- Individuazione: usare gli strumenti di ricerca per trovare più facilmente i dati del cliente che possono essere oggetto di una richiesta dell’interessato. Dopo aver raccolto i documenti potenzialmente rilevanti, è possibile eseguire una o più delle azioni DSR descritte nei passaggi seguenti per rispondere alla richiesta del soggetto interessato. In alternativa, è possibile stabilire che la richiesta non soddisfa le linee guida della propria organizzazione in merito alla risposta alle richieste dell'interessato.
- Accesso: recuperare i dati personali che risiedono nel cloud Microsoft e, se richiesto, crearne una copia che può essere disponibile per l'interessato.
- Rettificare: apportare modifiche o implementare le azioni richieste sui dati personali, ove applicabile.
- Limitare: limitare il trattamento dei dati personali, rimuovendo le licenze per vari servizi di Azure o disattivando i servizi desiderati, dove possibile. È anche possibile rimuovere i dati dal cloud di Microsoft e conservarli in locale o in un'altra posizione.
- Eliminare: rimuovere in modo definitivo i dati personali che risiedono nel cloud Microsoft.
- Esportazione/ricezione (portabilità): fornire all'interessato una copia elettronica dei dati o delle informazioni personali in un formato leggibile da una macchina. Secondo il CCPA, le informazioni personali sono qualsiasi informazione riguardante una persona fisica identificata o identificabile. Non esiste alcuna distinzione tra i ruoli privati, pubblici o di lavoro di una persona. Il termine definito "informazioni personali" combacia con il termine "dati personali" del GDPR. Tuttavia, il CCPA include anche i dati relativi alla famiglia e al nucleo familiare. Per altre informazioni sul CCPA, vedere il California Consumer Privacy Act e le Domande frequenti sul California Consumer Privacy Act.
Terminologia
Ecco alcune definizioni rilevanti dei termini del GDPR per questa guida:
- Titolare: la persona fisica o giuridica, l'autorità pubblica, l'agenzia o altro ente che, autonomamente o unitamente ad altri soggetti, determina gli obiettivi e i mezzi del trattamento dei dati personali; laddove gli obiettivi e i mezzi di tale trattamento sono determinati da una normativa europea o di uno specifico Stato membro dell'UE, il titolare del trattamento dei dati o i criteri specifici per la sua designazione potrebbero essere forniti da tale normativa europea o di uno specifico Stato membro dell'UE.
- Responsabile del trattamento: una persona fisica o giuridica, un'autorità pubblica, un'agenzia o altro corpo che tratta i dati personali per conto del titolare.
- Dati personali e soggetto interessato: Qualsiasi informazione correlata a una persona fisica identificata o identificabile ('interessato'). Una persona fisica identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare facendo riferimento a un identificatore come un nome, un numero di identificazione, i dati di posizione, un identificatore online o a uno o più fattori specifici dell'identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di tale persona fisica.
Ulteriori termini e definizioni che possono facilitare la comprensione di questa guida
- Dati dei servizi professionali: Tutti i dati, inclusi testo, audio, video, file di immagine o software, forniti a Microsoft dal cliente o per conto del cliente (o che il cliente autorizza Microsoft a ottenere da un prodotto) o altrimenti ottenuti o elaborati da o per conto di Microsoft tramite un accordo con Microsoft per ottenere i Servizi professionali.
- Dati di contatto del cliente: Dati personali che possono far parte della relazione aziendale con Microsoft, ad esempio i dati personali contenuti nelle informazioni di contatto dei clienti. I dati di contatto del cliente possono includere il nome, la posta elettronica o il numero di telefono del contratto Premier Service Manager (CSM), dell'amministratore globale o IT per un servizio online o di ruoli simili.
- Dati pseudonimizzati: quando si usa il supporto tecnico Microsoft per i prodotti e servizi aziendali Microsoft, Microsoft genera alcune informazioni collegate a un identificatore numerico Microsoft per fornire il supporto. Queste informazioni sono spesso denominate "dati pseudonimi". Anche se questi dati non possono essere attribuiti a un interessato specifico senza l'uso di informazioni aggiuntive, alcuni di questi dati possono essere considerati personali in base all'ampia definizione del GDPR per i dati personali. All'interno di Servizi professionali, le richieste per soddisfare o assistere all'adempimento di richieste DSR includeranno sempre automaticamente dati di indirizzamento presentati con l'uso di pseudonimi.
Come usare questa guida
Questa guida descrive quattro scenari che un cliente può riscontrare se ha utilizzato Servizi professionali di Microsoft.
- DSR per un contatto del cliente coinvolgente Microsoft: Spiegazione del modo in cui Microsoft risponde alle richieste di un contatto del cliente o di un amministratore IT per l'esercizio dei diritti dell'interessato.
- DSR per un End-User Coinvolgente Microsoft: Spiegazione del modo in cui Microsoft risponde alle richieste dei dipendenti di un cliente o di altri interessati per l'esercizio dei propri diritti.
- DSR per i dati forniti dal cliente: Supporto commerciale: Informazioni su come ricevere assistenza da Microsoft quando un cliente ha ricevuto una richiesta da un dipendente o da altri interessati per esercitare i propri diritti e i dati personali dell'interessato sono stati raccolti da supporto tecnico Microsoft durante un impegno di supporto.
- DSR per i dati forniti dal cliente: Servizi di consulenza, tra cui FastTrack Migration Services: Informazioni su come ricevere assistenza da Microsoft quando un cliente ha ricevuto una richiesta da parte del dipendente o di altri interessati per l'esercizio dei propri diritti e i dati personali dell'interessato sono stati raccolti da Microsoft durante un impegno di consulenza.
Richiesta dell'interessato per un contatto del cliente che coinvolge Microsoft
Come Microsoft risponde alle richieste da un contatto cliente o un amministratore IT per esercitare i diritti dei soggetti dei dati.
Quando un cliente si impegna con Microsoft per ricevere servizi di supporto o consulenza, supporto tecnico Microsoft raccoglie o recupera automaticamente dai record dell'account i dati personali del contatto del cliente (ad esempio, CSM, Global Amministrazione, IT Amministrazione). Tali dati includono probabilmente nome, indirizzo e-mail, telefono e altri dati personali del soggetto che necessita dei servizi di consulenza o supporto.
I dati personali del contatto del cliente fanno parte del rapporto aziendale di Microsoft con il cliente e Microsoft è il titolare del trattamento dei dati, tranne quando questi dati vengono raccolti nel corso della fornitura di supporto tecnico. Microsoft risponde ai DSR dal contatto del cliente in merito ai dati personali, indipendentemente dal fatto che siano ancora con l'organizzazione.
Quando i dati personali del contatto cliente vengono raccolti nel corso della fornitura di assistenza tecnica, Microsoft è il responsabile del trattamento.
I clienti devono comprendere che il DSR copre solo i dati personali del contatto del cliente e non vengono apportate modifiche o eliminazioni a nessuno dei dati del cliente inviati come parte degli impegni (ad esempio, trascrizioni, descrizioni dei casi, file, prodotto di lavoro), poiché Microsoft è il responsabile del trattamento dei dati. Inoltre, per mantenere il record cronologico delle interazioni, non verranno apportate modifiche alle interazioni concluse, tra cui il record di chi ha avviato un'interazione.
Dopo aver ricevuto una richiesta da un contatto del cliente relativa a una richiesta DSR in cui Microsoft è il titolare del trattamento dei dati, il personale Microsoft fa riferimento al contatto del cliente al Privacy Response Center. Questo è il meccanismo di input principale di Microsoft per le richieste e i reclami sulla privacy. Al momento della ricezione di una richiesta, il Privacy Response Center identifica che fa parte di un account commerciale o aziendale e risponde di conseguenza.
Dove Microsoft è il responsabile del trattamento dei dati, vedere DSR per i dati forniti dal cliente: Supporto commerciale di seguito.Where Microsoft is the Data Processor, see DSR for Customer Provided Data: Commercial Support below.
I clienti possono scegliere di apportare modifiche ai dati raccolti durante gli impegni di Professional Services tramite normali canali di supporto o consulenza, separati da questo DSR. Ad esempio, Microsoft può contribuire all'eliminazione degli impegni di supporto su richiesta (vedere la sezione DSR Guide for Customer Provided Data ).
Richiesta dell'interessato per un utente finale che coinvolge Microsoft
Come Microsoft risponde alle richieste di esercizio dei propri diritti da parte dei dipendenti di un cliente o di altri interessati.
Se il dipendente di un cliente o un altro interessato contatta Microsoft per esercitare i propri diritti sui dati raccolti da Microsoft come responsabile del trattamento dei dati, l'interessato verrà informato della necessità di contattare il cliente di Microsoft, in qualità di titolare del trattamento dei dati, per esercitare tali diritti. Microsoft non esegue ulteriori azioni.
Se l'interessato ha anche contattato Microsoft per l'esercizio dei propri diritti per i dati raccolti da Microsoft in situazioni in cui Microsoft è il titolare del trattamento dei dati (ad esempio, il supporto dei consumatori), Microsoft risponderà separatamente alla richiesta del diritto dell'interessato per tali dati personali.
DSR per i dati forniti dal cliente: supporto commerciale
Come ottenere assistenza da Microsoft quando un cliente riceve una richiesta di esercizio dei propri diritti da parte di un suo dipendente o di altri interessati e i dati personali dell'interessato sono stati raccolti dal supporto tecnico Microsoft durante un'interazione di supporto.
Quando un cliente interagisce con supporto tecnico Microsoft, Microsoft raccoglie i dati di supporto dal cliente per risolvere eventuali problemi che richiedevano l'engagement del supporto. Tali dati includono l'interazione di Microsoft con il cliente, ad esempio chat, telefono, e-mail, invio sul Web, nonché qualsiasi file inviato dal cliente a Microsoft o che Microsoft, con il consenso del cliente, ha estratto dall'ambiente IT del cliente o dal tenancy di Online Services per risolvere il problema riscontrato. Nel caso del supporto unificato, sono inclusi anche i dati raccolti dal cliente per evitare in modo proattivo problemi futuri. Tuttavia, ciò esclude altre informazioni derivanti dalla relazione aziendale tra Microsoft e il cliente (ad esempio, record di fatturazione).
Per tutti i dati del supporto e i dati di contatto raccolti nel corso della fornitura del supporto, Microsoft è il responsabile del trattamento dei dati. Di conseguenza, Microsoft non risponde alle richieste dirette degli interessati relative ai dati di supporto forniti quando sono stati associati a un cliente commerciale Microsoft. I clienti devono contattare il proprio Customer Success Account Manager (CSAM) per assistenza.
Passaggio 1: scoprire
Il primo passaggio per ottenere l'assistenza di Microsoft nella risposta a una richiesta dell'interessato consiste nell'individuare i dati personali oggetto della richiesta. Questo primo passaggio (individuazione e analisi dei dati personali in questione) consente al cliente di determinare se una richiesta dell'interessato soddisfa i criteri aziendali per l'accettazione di una richiesta di questo tipo.
Dopo che il cliente ha trovato i dati, il cliente può quindi eseguire l'azione specifica per soddisfare la richiesta dell'interessato. L'identificazione delle operazioni che il cliente sta tentando di eseguire determinerà il livello di individuazione in cui il cliente deve impegnarsi.
Quando Microsoft assiste un cliente nella risoluzione di una richiesta DSR, questa è una funzione aziendale e la richiesta viene effettuata tramite il canale di supporto regolare.
Per individuare i dati pertinenti e ottenere assistenza da Microsoft, un cliente ha diverse opzioni per gestire la richiesta dell'interessato:
Opzione A: richiesta dell'interessato del cliente relativa al supporto tecnico Microsoft per più sistemi. Applicare la richiesta DSR a tutti i dati di supporto del cliente nell'ambiente di supporto Microsoft. A tale scopo, un cliente può semplicemente chiedere a Microsoft di applicare la richiesta DSR a tutti i dati di supporto raccolti.
Opzione B: interazioni specifiche del cliente. Usare i sistemi online per analizzare i ticket, quindi identificare le interazioni specifiche contenenti i dati personali pertinenti e segnalarli a Microsoft. Microsoft tenta di fornire assistenza per eseguire una ricerca se il cliente non ha la possibilità di eseguire ricerche tra interazioni (ticket).
Una volta identificati gli impegni, richiedere di applicare i diritti del soggetto dei dati a una parte specifica del record o a tutto ciò che riguarda tale impegno in Microsoft.
Per identificare interazioni specifiche, i clienti devono eseguire ricerche tra i propri impegni. Per i clienti unificati, l'account di successo del cliente ("CSAM") per un cliente ha visibilità su tutte le richieste di supporto (SR) create in base alla pianificazione del contratto del cliente. Per i portali di engagement di supporto non unificati sono disponibili portali di supporto equivalenti, ad esempio tramite aree di supporto di Servizi online.
Il CSM può accedere al portale in Hub dei servizi e selezionare Gestisci tutte le richieste di supporto.
Importante
Oltre alla cronologia dei casi in Services Hub, i clienti possono anche avere dati personali di un utente finale in file raccolti da Microsoft (o, con l'autorizzazione del cliente, rimossi dal servizio online) durante un coinvolgimento del supporto. Gli esempi possono includere copie delle cassette postali di scambio del cliente, delle macchine virtuali di Azure o dei database. Tali dati personali possono essere menzionati o meno nella cronologia del caso (cioè, il ticket) per un impegno particolare. Per analizzare tali dati, il contatto cliente deve essere uno specifico contatto di richiesta del supporto (tramite AAD o MSA) autenticato che ha ricevuto un URL per uno spazio di lavoro nello strumento Data Transfer and Management (DTM) del Supporto tecnico Microsoft. Un contatto cliente avrà accesso ai file, ma non sarà disponibile una visione globale e l’Hub dei servizi non indicherà se i file esistono.
Dopo aver identificato tutti i dati pertinenti nei ticket del supporto selezionati, i clienti possono decidere se richiedere l'eliminazione di tutto ciò che riguarda un ticket o applicare la richiesta DSR in modo selettivo a singole istanze di dati personali.
Passaggio 2: accedere
Dopo che un cliente ha trovato dati di supporto contenenti dati personali potenzialmente reattivi a una richiesta DSR, spetta al cliente decidere quali dati personali includere nella risposta. Ad esempio, il cliente può scegliere di rimuovere i dati personali relativi ad altri interessati ed eventuali informazioni riservate.
La risposta al DSR può includere una copia del documento effettivo, una versione appropriatamente redacted o uno screenshot delle parti che il cliente ha ritenuto appropriato condividere. Per ognuna di queste risposte a una richiesta di accesso, il cliente deve recuperare una copia del documento o di un altro elemento che contiene i dati reattivi.
L'accesso ai dati personali di un utente finale potrebbe derivare da una menzione o notazione nei vari tipi di documentazione sui contenuti. Dal momento che i clienti possono accedere ai contenuti e al ticket di interazione, possono fornire autonomamente un riepilogo dei dati personali senza ulteriore assistenza di Microsoft.
In rari casi, il cliente potrebbe dover ottenere copie dei dati relativi alle interazioni con il supporto tecnico (ad esempio, messaggi di posta elettronica, copie trascritte di registrazioni telefoniche, trascrizioni di chat) tra un rappresentante Microsoft e il rappresentante del cliente. Nella misura necessaria, Microsoft può fornire copie censurate di tali trascrizioni in base alle esigenze, alla riservatezza e alla difficoltà.
Passaggio 3: rettificare
Se un interessato ha chiesto al cliente di rettificare i dati personali che risiedono nei dati di supporto dell'organizzazione, il cliente deve determinare se è appropriato rispettare la richiesta. Se il cliente sceglie di rispettare la richiesta, il cliente può richiedere a Microsoft di apportare la modifica. Microsoft può rettificare i dati o eliminare i dati del cliente dai sistemi di supporto e richiedere al cliente di inviarli nuovamente a Microsoft in formato corretto.
Passaggio 4: limitare
Il cliente può chiudere un impegno o contattare Microsoft e richiedere la chiusura dell'impegno in qualsiasi momento. Un impegno chiuso impedisce l'esecuzione di qualsiasi lavoro.
Passaggio 5: eliminare
Il "diritto alla cancellazione" attraverso la rimozione dei dati personali dai dati del supporto di un'organizzazione è una misura di tutela fondamentale prevista dal GDPR. La rimozione dei dati personali include l'eliminazione di interazioni, documenti o file completi o l'eliminazione di dati specifici all'interno di un'interazione, di un documento o di un file.
Nel caso in cui un cliente abbia intenzione di eliminare dei dati personali in risposta a una richiesta DSR, di seguito sono descritti alcuni aspetti importanti sul funzionamento dell'eliminazione per il Supporto tecnico Microsoft.
Microsoft applica a tutti i dati dei criteri di conservazione ed eliminazione, che variano a seconda del rischio e di altri fattori.
I clienti che richiedono l'eliminazione universale dei dati personali di un interessato nei sistemi di supporto possono farlo tramite Customer Success Account Manager (CSAM) o inviando una richiesta di supporto (SR) nel Services Hub o in un sistema equivalente. È necessario indicare che si tratta di una richiesta di assistenza per una richiesta dell'interessato ai sensi del GDPR.
Opzione A: richiesta dell'interessato del cliente relativa al supporto tecnico Microsoft per più sistemi. Per una richiesta DSR tra sistemi, il cliente deve fornire i dati personali necessari a Microsoft per identificare i dati necessari (ad esempio, indirizzo di posta elettronica, numero di telefono). Microsoft non correla o ricerca i record e cerca solo direttamente gli identificatori forniti dal cliente. Quando vengono trovati dati, Microsoft elimina tutti gli impegni e tutti i dati associati.
Nota importante: ciò può comportare la perdita di record cronologici importanti per l'organizzazione del cliente.
Opzione B: interazioni specifiche del cliente. Per interazioni specifiche che il cliente ha identificato e vuole eliminare, non eliminare i ticket dal Services Hub. In questo modo i dati personali rimangono nei log e nei sistemi downstream che potrebbero non essere eliminati entro l'intervallo di tempo necessario. Al contrario, identificare il ticket o i dati personali nel ticket da eliminare e contattare il supporto tecnico Microsoft per ricevere assistenza con l'eliminazione di tali dati.
Istruzioni sullo strumento Data Transfer and Management (DTM) del Supporto tecnico Microsoft
Per tutte queste ricerche, Microsoft non eseguirà ricerche in DTM a causa della potenziale sensibilità del contenuto nei file. Tuttavia, se il cliente lo desidera, Microsoft elimina tutti i file contenuti in DTM associati all'account del cliente. A causa del potenziale impatto sui clienti, Microsoft richiede una richiesta separata da parte del cliente che specifichi l'eliminazione dei file DTM.
- Per i casi aperti o per i casi chiusi meno di 90 giorni prima, il contatto del cliente può accedere a DTM ed eliminare i file.
- Per impostazione predefinita, i file vengono eliminati automaticamente 90 giorni dopo la chiusura del caso.
- I clienti devono anche richiedere a Microsoft di controllare tra i sistemi i dati personali in quanto i file vengono occasionalmente copiati da DTM ad altri sistemi per scopi diagnostici tramite il proprio CSAM o tramite il Privacy Response Center.
Passaggio 6: esportare
Il "diritto di portabilità dei dati" consente a un interessato di richiedere una copia dei propri dati personali in formato elettronico e richiedere che l'organizzazione la trasmetta a un altro titolare del trattamento. Nel caso dei dati di supporto, qualsiasi informazione utilizzabile di Microsoft sarebbe sotto forma di informazioni di engagement o file che possono essere restituiti all'utente per la nuova comunicazione o il caricamento in un altro titolare del trattamento.
Nota: i dati esportati potrebbero non includere la proprietà intellettuale di Microsoft o dati che possono compromettere la sicurezza o la stabilità del servizio.
Guida DSR per i dati forniti dal cliente nei servizi di consulenza, compresi i servizi di migrazione
Come ottenere assistenza da Microsoft quando un cliente riceve una richiesta di esercizio dei propri diritti da parte di un suo dipendente o di altri interessati e i dati personali dell'interessato sono stati raccolti da Microsoft durante un'interazione di consulenza.
Soluzioni di settore
Per gli impegni di Industry Solutions contratti nell'ambito del [Componente aggiuntivo per la protezione dei dati di Prodotti e servizi Microsoft (DPA)] (https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA).
Microsoft è il titolare del trattamento dei dati per i contatti dei clienti che lavorano con il team di engagement. Tali utenti devono contattare il Privacy Response Center per soddisfare i diritti dell'interessato.
Microsoft è il responsabile del trattamento dei dati per una richiesta DSR che si trova all'interno dei dati forniti durante un accordo di consulenza. Il cliente deve contattare il Customer Success Account Manager (CSAM) per compilare un piano per rispondere a una richiesta DSR in base ai dati raccolti e quindi al tipo specifico di servizi di consulenza forniti. Nella misura in cui la richiesta costituisce un livello di impegno generalmente visto all'interno di soluzioni di settore, potrebbe essere necessario un ordine di lavoro aggiuntivo. Inoltre, i dati personali verranno eliminati dopo ogni impegno di consulenza entro un intervallo di tempo che dipende dal tipo di coinvolgimento di consulenza. Il cliente può richiedere l'eliminazione dei dati prima e richiedere un'attestazione dell'eliminazione.
Servizi di Microsoft FastTrack
Microsoft FastTrack fornisce servizi di consulenza IT alle organizzazioni per aiutarle a eseguire l'onboarding e usare i servizi cloud Microsoft come Microsoft 365, Azure e Dynamics 365.
Microsoft è il titolare del trattamento dei dati per i contatti dei clienti aziendali che lavorano con FastTrack per distribuire ed eseguire la migrazione ai servizi cloud Microsoft indicati in precedenza. Se si è un'organizzazione aziendale che collabora con Microsoft FastTrack alla distribuzione e si desidera accedere, modificare o rimuovere le informazioni di contatto dai record FastTrack di Microsoft, è possibile inviare una richiesta dell'interessato inviando una richiesta alla posta in arrivo di FastTrack per le richieste GDPR aziendali di Microsoft 365 (O365ftgdpr@microsoft.com).
Per i servizi di migrazione FastTrack, Microsoft è il responsabile del trattamento dei dati. In conformità con l'informativa sulla privacy aggiuntiva di Fast Track, tutti i dati durante la migrazione sono considerati "dati di migrazione". Se è necessario eseguire DSR mentre l'organizzazione è impegnata in un progetto di migrazione FastTrack, è necessario prestare particolare attenzione.
Se è necessario elaborare qualsiasi accesso, rettificare o esportare richieste DSR durante l'elaborazione dei dati di un utente tramite i sistemi di migrazione FastTrack, è responsabilità del cliente soddisfare tali richieste DSR tramite i sistemi di origine esistenti in cui vengono archiviati i dati utente. Una volta completata la migrazione dell'utente e la migrazione dei dati nel servizio cloud Microsoft di destinazione, saranno quindi applicate le indicazioni fornite da Microsoft su come i clienti possono usare i prodotti, i servizi e gli strumenti di amministrazione di Microsoft per trovare i dati personali e agire su di essi per rispondere alle richieste degli interessati. Per visualizzare questa guida, vedere Richieste dell'interessato per il GDPR.
Se è necessario eliminare un account utente in risposta a una richiesta di eliminazione DSR mentre l'organizzazione è impegnata in un progetto di migrazione FastTrack in corso, è necessario tenere presente che i sistemi di migrazione possono conservare una copia dei dati di migrazione degli utenti per un periodo di tempo dopo il completamento della migrazione dell'utente e l'eliminazione dell'account utente non eliminerà automaticamente tali dati di migrazione degli utenti archiviati nei sistemi di migrazione FastTrack. Se si desidera che il team Microsoft FastTrack elimini i dati di migrazione degli utenti, è possibile inviare una richiesta. Nel normale corso dell'attività, Microsoft FastTrack elimina tutte le copie dei dati al termine della migrazione dell'organizzazione.
Altri servizi di consulenza
I clienti che ricevono altri servizi di consulenza tramite Microsoft devono collaborare con il team di engagement per soddisfare tutti i requisiti GDPR. Se il team di engagement non è in grado di fornire istruzioni chiare sull'evasione del GDPR DSR, i clienti devono contattare il proprio CSAM o inviare una richiesta di supporto tecnico.