Odpowiadanie na żądania praw osób, których dotyczą dane w Microsoft Dynamics 365 Project Operations

Niniejszy przewodnik zawiera zasoby dotyczące sposobu korzystania z produktów, usług i narzędzi administracyjnych Microsoft, aby pomóc naszym klientom będącym administratorami danych w znajdowaniu danych osobowych i podejmowaniu działań w odpowiedzi na żądania dotyczące praw osób, których dane dotyczą (DSR) dla Microsoft Dynamics 365 Project Operations. W szczególności informacje te obejmują sposób wyszukiwania, uzyskiwania dostępu i podejmowania działań w odniesieniu do danych osobowych lub informacji osobowych znajdujących się w Microsoft Cloud. Ten przewodnik pomoże Ci w następującym procesie:

• Odnajdowanie: użyj narzędzi wyszukiwania i odkrywania, aby łatwiej znajdować dane klientów mogące być przedmiotem wniosku DSR. Po zebraniu potencjalnie użytecznych dokumentów można wykonać co najmniej jedną z akcji żądania podmiotu danych opisanych w poniższych krokach, aby odpowiedzieć na żądanie. Alternatywnie użytkownik może uznać, że wniosek nie spełnia firmowych wytycznych w zakresie odpowiadania na wnioski DSR.
• Dostęp: pobieranie danych osobowych, które znajdują się w chmurze Microsoft Cloud, oraz na żądanie udostępnienie kopii tych danych osobie, której dane dotyczą.
• Sprostowanie: Wprowadzenie zmian lub wykonanie innych wnioskowanych czynności względem danych osobowych, jeżeli jest to uzasadnione.
• Ograniczenie: ograniczenie przetwarzania danych osobowych poprzez usunięcie licencji na różne usługi online lub wyłączenie żądanych usług, gdy jest to możliwe.
• Usunięcie: trwale wykasowanie danych osobowych znajdujących się w chmurze Microsoft Cloud.
• Eksport/odbiór (Możliwość obsługi): przekazanie elektronicznego egzemplarza (w formacie czytelnym dla komputera) danych osobowych lub informacji osobie, której dane dotyczą.

W kolejnych sekcjach tego przewodnika opisano procedury techniczne, które mogą zostać wdrożone przez organizację administrującą danymi w odpowiedzi na żądanie praw podmiotu danych w odniesieniu do danych osobowych w chmurze Microsoft Cloud.

Aby uzyskać więcej informacji na temat praw osób, których dane dotyczą, takich jak ogólne rozporządzenie Unii Europejskiej o ochronie danych (RODO) i kalifornijska ustawa o ochronie prywatności konsumentów (California Consumer Privacy Act czyli CCPA), zobacz Kalifornijską ustawę o ochronie prywatności konsumentów.

W jaki sposób ten przewodnik może pomóc pełnić obowiązki administratora

Przewodnik, podzielony na dwie części, zawiera opis sposobów korzystania z produktów, usług i narzędzi administracyjnych Microsoft w celu ułatwienia wyszukiwania danych w chmurze Microsoft Cloud i wykonywania działań na ich temat w odpowiedzi na żądania tematów danych, którzy korzystają z odpowiednich praw w ramach RODO. Pierwsza część dotyczy danych osobowych, które są zawarte w danych klienta. Następnie znajduje się część dotycząca innych pseudonimizowanych danych osobowych przechwyconych w dziennikach generowanych przez system.

• Część 1: Odpowiadanie na żądania DSR dotyczące danych osobowych zawartych w danych klienta: Część 1 tego przewodnika omawia sposób uzyskiwania dostępu, poprawiania, ograniczania, usuwania i eksportowania z Dynamics 365 Project Operations (oprogramowanie jako usługa) danych osobowych, które są przetwarzane jako część danych klienta dostarczonych do usługi online.
• Część 2: Odpowiadanie na żądania DSR dotyczące pseudonimizowanych danych: Podczas korzystania z usługi Dynamics 365 Project Operations firma Microsoft generuje pewne informacje (określane w tym dokumencie jako dzienniki generowane przez system) w celu świadczenia usługi. Informacje te są ograniczone do śladu użytkowania pozostawionego przez użytkowników końcowych w celu identyfikacji ich działań w systemie. Mimo że te dane nie mogą być przypisywane do konkretnego podmiotu danych bez korzystania z dodatkowych informacji, niektóre z nich można uznać za osobiste w ramach RODO. Część 2 niniejszego przewodnika zawiera omówienie sposobów uzyskiwania dostępu do programu, usuwania i eksportowania danych wygenerowanych przez dzienniki systemowe tworzonych przez Dynamics 365 Project Operations.

Przygotowanie do postępowania w sytuacjach dot. praw podmiotów danych

Kiedy podmioty danych realizują swoje prawa i składają prośby, weź pod uwagę następujące kwestie:

• Prawidłowo zidentyfikuj osobę i jej rolę – pracownik, klient, dostawca – przy użyciu informacji, które dany podmiot danych podał użytkownikowi jako części żądania. Te informacje mogą być imieniem lub nazwiskiem, identyfikatorem pracownika lub numerem klienta lub jakimkolwiek innym numerem.
• Zapisz datę i godzinę otrzymania żądania. (Użytkownik ma 30 dni na spełnienie żądania).
• Potwierdź, że żądanie spełnia wymagania organizacji dotyczące honorowania lub odrzucania wniosku osoby, której dane dotyczą. Na przykład należy się upewnić, że wykonanie żądania nie powoduje konfliktu z innymi prawnymi, finansowymi lub prawnymi obowiązkami lub narusza prawa i wolności innych użytkowników.
• Sprawdź, czy masz informacje powiązane z żądaniem.

Część 1: Przewodnik DSR dotyczący danych klientów

Wykonywanie wniosków DSR na danych klientów

Microsoft zapewnia możliwość uzyskiwania dostępu, usuwania i eksportowania określonych danych klientów za pośrednictwem Azure Portal, a także bezpośrednio za pośrednictwem istniejących interfejsów programowania aplikacji (API) lub interfejsów użytkownika (UI) dla określonych usług (zwanych również środowiskami wewnątrzproduktowymi). Szczegóły dotyczące takich doświadczeń w produkcie dla Dynamics 365 Project Operations opisano w tym przewodniku.

Wykryj

Pierwszym krokiem w odpowiedzi na żądanie DSR jest znalezienie danych osobowych, które są przedmiotem żądania. Ten pierwszy krokpolega na sprawdzeniu i przejrzeniu danychosobowych, które będą pomocne w określeniu, czy żądanie DSR spełnia wymagania organizacji dotyczące honorowania lub odrzucania prośby DSR. Na przykład po znalezieniu i przejrzeniu danych osobowych objętych żądaniem można stwierdzić, że żądanie nie spełnia wymagań organizacji, ponieważ może to niekorzystnie wpłynąć na prawa i wolności innych.

Po znalezieniu danych można wykonać określoną akcję, aby spełnić żądanie podmiotu danych.

Dataverse zapewnia wiele metod wyszukiwania danych osobowych w rekordach, takich jak zaawansowane wyszukiwanie i wyszukiwanie rekordów. Wszystkie te funkcje umożliwiają identyfikację (wyszukiwanie) danych osobowych.

• Wyszukiwanie zaawansowane
• Wyszukiwanie rekordów w wielu typach rekordów

Architektura finansów i operacji zapewnia kilka sposobów wyszukiwania danych klientów. Jako administrator dzierżawy możesz wykonać następujące czynności w celu wyszukania danych klientów:

• Zorganizuj dane klientów w sposób, który służy szybkiemu wyszukiwaniu danych osobowych. Zobacz jak sklasyfikować inwentarz danych w tym celu.
• Użyj Raport wyszukiwania osób, aby znaleźć i zebrać dane osobowe. Rozszerz raport wyszukiwania osób poprzez utworzenie nowej encji lub rozszerzenie istniejącej.
• Użyj funkcji wyszukiwania i filtrowania, aby znaleźć określone dane osobowe i wyeksportuj te dane za pomocą funkcji eksportu Microsoft Office lub wydrukuj te informacje do pliku PDF za pomocą rozszerzeń przeglądarki.
• Utwórz niestandardowy formularz, który lokalizuje i eksportuje dane osobowe.
• Stworzenie zewnętrznego portalu lub strony internetowej, która umożliwia uwierzytelnionemu klientowi wgląd w jego dane osobowe.

Uzyskaj dostęp

Po znalezieniu danych klienta zawierających dane osobowe, które potencjalnie odpowiadają na DSR, do Ciebie i Twojej organizacji należy decyzja, które dane przekazać osobie, której dane dotyczą. Możesz dostarczyć kopię rzeczywistego dokumentu, odpowiednio zredagowaną wersję lub zrzut ekranu fragmentów, które uważasz za odpowiednie do udostępnienia. W przypadku każdej z tych odpowiedzi na wniosek o dostęp konieczne będzie uzyskanie kopii dokumentu lub innego produktu zawierającego odpowiadające dane. Podczas dostarczania kopii osobie, której dane dotyczą, może być konieczne usunięcie lub zredagowanie danych osobowych innych osób, których dane dotyczą, oraz wszelkich informacji poufnych.

Dane klientów w Dataverse mogą być eksportowane przy użyciu wszechstronnych możliwości eksportu encji. Dane klienta można wyeksportować do statycznego pliku Excel w celu obsłużenia żądania przeniesienia danych. Korzystając z programu Excel, można następnie edytować dane osobowe, które mają zostać uwzględnione we wniosku o przeniesienie, i zapisać je w powszechnie używanym formacie nadającym się do odczytu maszynowego, takim jak .csv lub .xml. Rekordy można również eksportować za pośrednictwem Microsoft Dataverse Web API.

Dane klientów w architekturze finansowej i operacyjnej mogą być eksportowane przy użyciu wszechstronnych możliwości eksportu encji. Encje zarządzania danymi i integracji umożliwiają administratorowi dzierżawy korzystanie z dostarczonych encji, tworzenie nowych encji lub rozszerzanie istniejących encji w celu powtarzalnego eksportu danych osobowych do programu Excel lub wielu innych popularnych formatów za pośrednictwem Zadania importu i eksportu danych. Alternatywnie, wiele list można wyeksportować do statycznego pliku Excel w celu ułatwienia wniosku o przeniesienie danych. Po wyeksportowaniu danych klienta do programu Excel można edytować dane osobowe, które mają zostać uwzględnione we wniosku o przeniesienie, i zapisać plik w powszechnie używanym formacie nadającym się do odczytu maszynowego, takim jak .csv lub .xml. Można również rozważyć użycie Raportu wyszukiwania osób w celu dostarczenia osobie, której dane dotyczą, danych, które z kolei zostały sklasyfikowane jako dane osobowe.

Czyść

Jeśli podmiot danych zwraca się z żądaniem sprostowania danych osobowych znajdujących się w Twojej organizacji, na Tobie i Twojej organizacji spoczywa obowiązek ustalenia, czy żądanie ma zostać spełnione. Sprostowanie danych może obejmować wykonanie takich czynności, jak edytowanie, redagowanie lub usuwanie danych osobowych z dokumentu lub elementu innego typu.

Dataverse oferuje następujące metody poprawiania niedokładnych lub niekompletnych danych klientów lub usuwania danych klientów:

• Wyszukuj dane klientów za pomocą funkcji wspomnianych w sekcji „Discover” i bezpośrednio edytuj dane w Dataverse. Edycji można dokonywać na poziomie pojedynczego wiersza lub bezpośrednio modyfikować wiele wierszy.
• Edytując zbiorczo wiele rekordów, można użyć dodatku do pakietu Microsoft Office, aby wyeksportować dane do programu Excel, wprowadzić zmiany, a następnie zaimportować zmodyfikowane dane z programu Excel do aplikacji Dataverse.

W przypadku architektury finansowej i operacyjnej można również korzystać z narzędzi dostosowywania, ale decyzja i wdrożenie leżą w gestii użytkownika.

Krótka uwaga na temat modyfikowania wpisów w transakcjach biznesowych

Zapisy transakcyjne, takie jak zapisy księgi głównej, klientów i podatkowej, są niezbędne dla integralności systemu planowania zasobów przedsiębiorstwa (ERP). Dane osobowe, które są częścią transakcji finansowej lub innej, są przechowywane w stanie, w jakim się znajdują, w celu zapewnienia zgodności z przepisami finansowymi (na przykład przepisami podatkowymi), zapobiegania oszustwom (takim jak ścieżka audytu bezpieczeństwa) lub zgodności z certyfikatami branżowymi. Dlatego Dynamics 365 Project Operations ogranicza modyfikowanie danych w takich rekordach.

Ogranicz

Właściciele danych mogą wnioskować o ograniczenie przetwarzanie swoich danych osobowych.

Po otrzymaniu żądania od osoby, której dane dotyczą, aby ograniczyć przetwarzanie danych klienta, można łatwo wyodrębnić odpowiednie dane klienta z usługi online i przechowywać je w oddzielnym kontenerze (lokalna pamięć masowa lub oddzielna usługa internetowa z funkcjami izolacji danych), który jest odizolowany od funkcji przetwarzania oferowanych przez dowolną aplikację w chmurze.

Delete

„Prawo do usuwania” danych osobowych z Danych klienta organizacji jest kluczową metodą ochrony w ogólnym rozporządzeniu o ochronie danych (RODO). Usuwanie danych osobowych zawiera dzienniki generowane w systemie, ale nie zawiera informacji dziennika inspekcji.

Gdy podmiot danych prosi o usunięcie jego danych osobowych, można to zrobić na różne sposoby:

• Edytując zbiorczo wiele rekordów w Dataverse, można użyć dodatku do pakietu Microsoft Office, aby wyeksportować dane do programu Excel, wprowadzić zmiany, a następnie zaimportować zmodyfikowane dane z programu Excel do usługi online.
• Możesz usunąć dane klienta przechowywane w dowolnym polu, lokalizując dane, które chcesz usunąć, a następnie ręcznie usuwając element danych zawierający docelowe dane klienta. Na przykład można zastosować twarde usunięcie rekordu kontaktowego reprezentującego osobę, której dane dotyczą, oraz innych rekordów zawierających dane osobowe.

Alternatywnie, w architekturze finansowej i operacyjnej można użyć narzędzi dostosowywania do usuwania/modyfikowania danych klientów.

Aby usunąć użytkownika z dzierżawy, musisz być administratorem dzierżawy.

Export

Prawo do przenoszenia danych umożliwia osobie, której dane dotyczą, zażądanie kopii jej danych osobowych w formacie elektronicznym (czyli „formacie strukturyzowanym, powszechnie używanym, umożliwiającym odczyt maszynowy i międzyoperacyjnym”), który pozwala na ich przesyłanie do innego kontrolera danych.

Aby odpowiedzieć na wniosek o przeniesienie danych, dane klienta w Dataverse można wyeksportować, korzystając z kompleksowych możliwości eksportu encji. Dane klienta można wyeksportować do statycznego pliku Excel w celu obsłużenia żądania przeniesienia danych. Korzystając z programu Excel, można następnie edytować dane osobowe, które mają zostać uwzględnione we wniosku o przeniesienie, i zapisać je w powszechnie używanym formacie nadającym się do odczytu maszynowego, takim jak .csv lub .xml.

Architektura finansów i operacji oferuje Encje zarządzania danymi i integracji umożliwiają administratorowi dzierżawy korzystanie z dostarczonych encji, tworzenie nowych encji lub rozszerzanie istniejących encji w celu powtarzalnego eksportu danych osobowych do programu Excel lub wielu innych popularnych formatów za pośrednictwem Zadania importu i eksportu danych. Alternatywnie, wiele list można wyeksportować do statycznego pliku Excel w celu ułatwienia wniosku o przeniesienie danych. Po wyeksportowaniu danych klienta do programu Excel można edytować dane osobowe, które mają zostać uwzględnione we wniosku o przeniesienie, i zapisać plik w powszechnie używanym formacie nadającym się do odczytu maszynowego, takim jak .csv lub .xml.

Raport wyszukiwania osób może być wykorzystany do dostarczenia osobie, której dane dotyczą, danych, które zostały sklasyfikowane jako dane osobowe.

Musisz być administratorem dzierżawy, aby eksportować dane użytkowników z dzierżawy.

Część 2: Dzienniki generowane przez system

Microsoft zapewnia również możliwość uzyskiwania dostępu, eksportowania i usuwania dzienników generowanych przez system, które mogą zostać uznane za dane osobowe zgodnie z szeroką definicją „danych osobowych” zawartą w RODO. Przykłady dzienników generowanych przez system, które mogą być uznane za dane osobowe zgodnie z RODO, obejmują:

• Dane użytkowe dotyczące produktu i usługi, takie jak dzienniki działań użytkownika
• Żądania wyszukiwania użytkowników i dane zapytania
• Dane generowane przez produkt i usługi jako iloczyn funkcji systemu oraz interakcji użytkowników lub innych systemów

Wykonywanie DSR na podstawie dzienników wygenerowanych przez system

• Dzienniki generowane przez system Procesów przetwarzania wniosków o prawa osób, których dane dotyczą w Dynamics 365 Project Operations