Microsoft Dynamics 365 Project Operations için Veri Sahibi Hakları (DSR) isteklerine yanıt verme

Bu kılavuz, denetleyici müşterilerimizin Microsoft Dynamics 365 Project Operations için Veri Sahibi Hakları (DSR) taleplerine yanıt vermek üzere kişisel verileri bulmalarına ve bu veriler üzerinde işlem yapmalarına yardımcı olmak amacıyla Microsoft'un ürünlerini, hizmetlerini ve idari araçlarını nasıl kullanacakları hakkında kaynaklar sağlar. Bu bilgiler özellikle Microsoft Bulut'ta bulunan kişisel verilerin veya kişisel bilgilerin nasıl bulunacağını, bunlara nasıl erişileceğini ve bunlar üzerinde nasıl hareket edileceğini içerir. Bu kılavuz, aşağıdaki süreçte size yardımcı olacaktır:

• Bulma: Bir DSR isteğinin konusu olabilecek müşteri verilerini daha kolay bulmak için arama ve bulma araçlarını kullanın. Duyarlı olabilecek belgeler toplandıktan sonra isteğe yanıt vermek için aşağıdaki adımlarda açıklanan DSR eylemlerinden bir veya daha fazlasını gerçekleştirebilirsiniz. Alternatif olarak, isteğin DSR isteklerine yanıt vermek için kuruluşunuzun yönergelerini karşılamadığını belirleyebilirsiniz.
• Erişim: Microsoft Bulut'ta bulunan kişisel verileri alın ve istenirse veri sahibi tarafından kullanılabilecek bir kopyasını oluşturun.
• Düzeltmr: Uygun olduğunda, kişisel veriler üzerinde istediğiniz değişiklikleri yapın veya diğer istenen eylemleri gerçekleştirin.
• Kısıtlama: Çeşitli çevrimiçi hizmetler için lisansı kaldırarak veya mümkün olan yerlerde istediğiniz servisleri kapatarak kişisel verilerin işlenmesini kısıtlayın.
• Sil: Microsoft Bulut'ta bulunan kişisel verileri kalıcı olarak kaldırın.
• Dışa aktar/Alma (Taşınabilirlik): Veri sahibinin kişisel verileri veya kişisel bilgileri için (makinenin okuyabileceği biçimde) bir elektronik kopya sağlayın.

Bu kılavuzda, Microsoft Bulut'taki kişisel verilere yönelik bir DSR talebine yanıt vermek için bir veri denetleyicisi kuruluşun uygulayabileceği teknik prosedürler özetlenmektedir.

Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR) ve Kaliforniya Tüketici Gizliliği Yasası (CCPA) gibi veri sahibi hakları hakkında daha fazla bilgi için Kaliforniya Tüketici Gizliliği Yasası'na bakın.

Bu kılavuz, denetleyici sorumluluklarınızı yerine getirmenize nasıl yardımcı olur

İki bölüme ayrılan kılavuzda, GDPR kapsamındaki haklarını kullanan veri sahiplerinin taleplerine yanıt olarak Microsoft Bulut'taki verileri bulmanıza ve bunlar üzerinde işlem yapmanıza yardımcı olacak Microsoft ürünleri, hizmetleri ve yönetim araçlarının nasıl kullanılacağı açıklanmaktadır. İlk bölüm, müşteri verilerine dahil olan kişisel verileri ele almaktadır. Bunu, sistem tarafından oluşturulan günlüklerde yakalanan diğer takma adlı kişisel verileri ele alan bir bölüm izler.

• Bölüm 1: Müşteri verilerine dahil olan Kişisel Veriler için Veri Sahibi Hakları (DSR) isteklerini yanıtlama: Bu kılavuzun 1. Bölümünde, çevrimiçi hizmete sağladığınız müşteri verilerinin bir parçası olarak işlenen kişisel verilere Dynamics 365 Project Operations (servis olarak yazılım) kullanılarak nasıl erişileceği, bu verilerin nasıl düzeltileceği, kısıtlanacağı, silineceği ve dışarı aktarılacağı açıklanmaktadır.
• Bölüm 2: Anonimleştirilmiş veriler için DSR taleplerine yanıt verme: Dynamics 365 Project Operations'ı kullandığınızda Microsoft, hizmeti sağlamak için bazı bilgiler (bu belgede sistem tarafından oluşturulan günlükler olarak anılacaktır) üretir. Bu bilgiler, son kullanıcıların sistemdeki eylemlerini tanımlamak için geride bıraktıkları kullanım ayak izi ile sınırlıdır. Bu veriler, ek bilgi kullanılmadan belirli bir veri sahibiyle ilişkilendirilemese de bunların bazıları GDPR kapsamında kişisel kabul edilebilir. Bu kılavuzun 2. Bölümünde, Dynamics 365 Project Operations'in ürettiği sistem tarafından oluşturulan günlüklere erişim, günlüklerin silinmesi ve dışarı aktarılması anlatılmaktadır.

Veri sahibi hakları araştırmaları için hazırlanma

Veri sahipleri, haklarını kullanırken ve istekte bulunurken aşağıdaki noktaları göz önünde bulundurun:

• Veri sahibine ait isteğinin bir parçası olarak size verilen bilgileri kullanarak kişi ve rolü (çalışan, müşteri veya satıcı gibi) doğru bir şekilde tanımlayın. Bu bilgiler bir ad, çalışan kimliği veya müşteri numarası ya da başka bir tanımlayıcı olabilir.
• İsteğin tarihini ve saatini kaydedin. (İsteği tamamlamak için 30 gününüz vardır.)
• İsteğin, kuruluşunuzun bir veri sahibi isteğini gerçekleştirme veya reddetme gereksinimlerini karşılayıp karşılamadığını belirleyin. Örneğin, isteğin yerine getirilmesinin sahip olduğunuz diğer yasal, finansal veya mevzuat kapsamındaki yükümlülüklerinizle çelişmediğinden veya başkalarının hak ve özgürlüklerini ihlal etmediğinden emin olmalısınız.
• İstekle ilgili bilgilere sahip olduğunuzu doğrulayın.

1. Bölüm: Müşteri verileri için DSR kılavuzu

DSR'leri müşteri verilerine göre yürütme

Microsoft, belirli müşteri verilerine Azure portalı üzerinden ve ayrıca belirli hizmetler için önceden mevcut uygulama programlama arabirimleri (API'ler) veya kullanıcı arabirimleri (UI'ler) (ürün içi deneyimler olarak da adlandırılır) aracılığıyla doğrudan erişme, silme ve dışa aktarma olanağı sağlar. Dynamics 365 Project Operations için bu tür ürün içi deneyimlerle ilgili ayrıntılar bu kılavuzda açıklanmaktadır.

Keşfetme

DSR isteğini yanıtlamanın ilk adımı isteğe konu olan kişisel verileri bulmaktır. Bu adım (söz konusu kişisel verileri bulma ve inceleme), bir DSR isteğinin kuruluşunuzun DSR isteğini gerçekleştirme veya reddetme gereksinimlerini karşılayıp karşılamadığını belirlemenize yardımcı olur. Örneğin, kişisel verileri bulup inceledikten sonra isteğin başkalarının haklarını ve özgürlüklerini olumsuz etkileyebileceği için kuruluşunuzun gereksinimlerini karşılamadığına karar verebilirsiniz.

Verileri bulduktan sonra veri sahibinin isteğini karşılayan belirli eylemi gerçekleştirebilirsiniz.

Dataverse, kayıtlar içinde kişisel veri aramanız için Gelişmiş Bul Araması ve Kayıt Ara gibi birden çok yöntem sağlar. Bu işlevlerin tümü, kişisel verileri tanımlamanıza (bulmanıza) olanak tanır.

• Gelişmiş Bul Araması
• Birden çok kayıt türünde Kayıtları arama

Finans ve operasyon mimarisi, müşteri verilerini aramanız için çeşitli yollar sağlar. Kiracı yöneticisi olarak, müşteri verilerini aramak için aşağıdaki eylemleri gerçekleştirebilirsiniz:

• Müşteri verilerinizi, kişisel verilerin hızlı bir şekilde keşfedilmesi amacına hizmet edecek şekilde düzenleyin. Bu amaçla veri envanterinin nasıl sınıflandırılacağını görün.
• Kişisel verileri bulmak ve toplamak için Kişi arama raporunu kullanın. Yeni bir varlık yazarak veya var olan bir varlığı genişleterek Kişi arama raporunu genişletin.
• Belirli kişisel verileri bulmak için arama ve filtreleme özelliklerini kullanın ve bu verileri Microsoft Office Dışa Aktar işlevini kullanarak dışa aktarın veya tarayıcı uzantılarını kullanarak bu bilgileri PDF'ye yazdırın.
• Kişisel verileri bulan ve dışarı aktaran özel bir form yazın.
• Kimliği doğrulanmış bir müşterinin kişisel verilerini görmesine olanak tanıyan bir dış portal veya web sitesi yazın.

Erişim

DSR'ye yanıt verme olasılığı olan kişisel veriler içeren müşteri verilerini bulduktan sonra, veri sahibine hangi verilerin sağlanacağına karar vermek size ve kuruluşunuza bağlıdır. Onlara asıl belgenin bir kopyasını, uygun şekilde düzeltilmiş bir sürümünü veya paylaşmayı uygun gördüğünüz bölümlerin ekran görüntüsünü sağlayabilirsiniz. Bir erişim isteğine verilen bu yanıtların her biri için, belgenin veya yanıt veren verileri içeren başka bir öğenin bir kopyasını almanız gerekir. Veri sahibine bir kopya verirken, diğer veri sahipleri hakkındaki kişisel bilgileri ve gizli bilgileri kaldırmanız veya düzeltmeniz gerekebilir.

Dataverse içindeki müşteri verileri, kapsamlı varlık dışa aktarma özellikleri kullanılarak dışarı aktarılabilir. Müşteri verileri veri taşınabilirlik isteğini kolaylaştırmak için bir statik Excel dosyasına aktarılabilir. Excel'i kullanarak, taşınabilirlik isteğine dahil edilecek kişisel verileri düzenleyebilir ve .csv veya .xml gibi yaygın olarak kullanılan, makine tarafından okunabilir bir biçimde kaydedebilirsiniz. Kayıtlar Microsoft Dataverse Web API'si aracılığıyla da dışarı aktarılabilir.

Finans ve operasyon mimarisindeki müşteri verileri, kapsamlı varlık dışa aktarma özellikleri kullanılarak dışarı aktarılabilir. Veri yönetimi ve bütünleştirme varlıkları, kiracı yöneticisinin sağlanan varlıkları kullanmasına, yeni varlıklar oluşturmasına veya mevcut varlıkları genişleterek tekrarlanabilir kişisel verilerin Excel'e veya Veri içe ve dışa aktarma işleri aracılığıyla diğer yaygın biçimlere aktarılmasına olanak tanır. Alternatif olarak birçok liste veri taşınabilirlik isteğini kolaylaştırmak için bir statik Excel dosyasına aktarılabilir. Müşteri verileri Excel'e aktarıldığında, taşınabilirlik talebine eklenecek kişisel verileri düzenleyebilir ve dosyayı .csv veya .xml gibi yaygın olarak kullanılan, makine tarafından okunabilen bir biçimde kaydedebilirsiniz. Veri sahibine kişisel veri olarak sınıflandırdığınız verileri sağlamak için Kişi arama raporunu kullanmayı da düşünebilirsiniz.

Gider

Bir veri sahibi sizden kuruluşunuzun verilerinde bulunan kişisel verileri düzeltmenizi isterse, isteği kabul etmenin uygun olup olmadığını kuruluşunuzla birlikte belirlemeniz gerekir. Verilerin düzeltilmesi, kişisel verilerin düzeltilmesi, gözden geçirilmesi veya bir belgeden kaldırılması gibi işlemler yapmayı içerebilir.

Dataverse, yanlış veya eksik müşteri verilerini düzeltmek veya müşteri verilerini silmek için aşağıdaki yöntemleri sunar:

• "Keşfet" bölümünde belirtilen özellikleri kullanarak müşteri verilerini arayın ve Dataverse içindeki verileri doğrudan düzenleyin. Düzenlemeler tek bir satır düzeyinde yapılabilir veya birden çok satır doğrudan değiştirilebilir.
• Birden fazla kaydı toplu olarak düzenleyerek, Microsoft Office eklentisini kullanarak verileri Excel'e aktarabilir, değişikliklerinizi yapabilir ve daha sonra değiştirilen verileri Excel'den Dataverse'ye aktarabilirsiniz.

Finans ve operasyon mimarisinde özelleştirme araçlarını da kullanabilirsiniz, ancak karar ve uygulama sizin sorumluluğunuzdadır.

Ticari işlemlerde girişleri değiştirme hakkında kısa not

Genel, müşteri ve vergi defteri girişleri gibi işlem kayıtları, kurumsal kaynak planlama (ERP) sisteminin bütünlüğü için gereklidir. Mali veya başka bir işlemin parçası olan kişisel veriler, mali yasalara (örneğin, vergi yasaları), dolandırıcılığın önlenmesine (güvenlik denetimi izi gibi) veya sektör sertifikalarına uygunluk için "olduğu gibi" saklanır. Bu nedenle, Dynamics 365 Project Operations bu tür kayıtlardaki verilerin değiştirilmesini kısıtlar.

Kısıtla

Veri sahipleri kişisel verilerinin işlenmesini kısıtlamanızı isteyebilir.

Bir veri sahibinden müşteri verilerinin işlenmesini kısıtlamak için bir istek aldığınızda, etkilenen müşteri verilerini çevrimiçi hizmetten kolayca ayıklayabilir ve herhangi bir bulut uygulaması tarafından sunulan işleme işlevlerinden yalıtılmış ayrı bir kapsayıcıda (şirket içi depolama veya veri yalıtım özelliklerine sahip ayrı bir web hizmeti) depolayabilirsiniz.

Silme

Bir kuruluşun müşteri verilerinden kişisel verilerin silinmesi yoluyla “silme hakkı” GDPR’de yer alan temel korumalardan biridir. Kişisel verilerin kaldırılması, sistem tarafından oluşturulan günlükleri içerir ancak denetim günlüğü bilgilerini içermez.

Bir veri sahibi sizden müşteri verilerinin silinmesini istediğinde bunu yapmanın birkaç yolu vardır:

• Dataverse içindeki birden fazla kaydı toplu olarak düzenleyerek, Microsoft Office eklentisini kullanarak verileri Excel'e aktarabilir, değişikliklerinizi yapabilir ve daha sonra değiştirilen verileri Excel'den çevrimiçi hizmete geri aktarabilirsiniz.
• Silmek istediğiniz verileri bulup hedef müşteri verilerini içeren veri öğesini el ile silerek herhangi bir alanda depolanan müşteri verilerini silebilirsiniz. Örneğin, veri sahibini temsil eden ilgili kişi kaydında ve kişisel veriler içeren diğer kayıtlarda kalıcı silme işlemi uygulayabilirsiniz.

Alternatif olarak, finans ve operasyon mimarisinde, müşteri verilerini silmek/değiştirmek için özelleştirme araçlarını kullanabilirsiniz.

Kiracıdan bir kullanıcıyı silmek için kiracı yöneticisi olmanız gerekir.

Export

"Veri taşınabilirliği" hakkı, bir veri sahibine kişisel verilerinin elektronik biçimde (yani “yapılandırılmış, yaygın olarak kullanılan, makine tarafından okunabilir ve birlikte çalışabilen bir biçim”) bir kopyasını isteme olanağı sağlar. Bu kopya da başka bir veri sorumlusuna aktarılabilir.

Bir veri taşınabilirliği isteğine yanıt vermek için, Dataverse içindeki müşteri verileri kapsamlı varlık dışarı aktarma özellikleri kullanılarak dışarı aktarılabilir. Müşteri verileri veri taşınabilirlik isteğini kolaylaştırmak için bir statik Excel dosyasına aktarılabilir. Excel'i kullanarak, taşınabilirlik isteğine dahil edilecek kişisel verileri düzenleyebilir ve .csv veya .xml gibi yaygın olarak kullanılan, makine tarafından okunabilir bir biçimde kaydedebilirsiniz.

Finans ve operasyon mimarisi, sağlanan varlıkların, yeni oluşturulan varlıkların veya genişletilmiş varlıkların tekrarlanabilir kişisel veri aktarımını Excel'e veya diğer birçok yaygın biçime Veri içe ve dışa aktarma işleri yoluyla sağlayan Veri yönetimi ve bütünleştirme varlıkları sunar. Alternatif olarak birçok liste veri taşınabilirlik isteğini kolaylaştırmak için bir statik Excel dosyasına aktarılabilir. Bu sayede müşteri verileri Excel'e aktarıldığında, taşınabilirlik talebine eklenecek kişisel verileri düzenleyebilir ve dosyayı .csv veya .xml gibi yaygın olarak kullanılan, makine tarafından okunabilen bir biçimde kaydedebilirsiniz.

Kişi arama raporu, kişisel veri olarak sınıflandırdığınız verileri veri sahibine sağlamak için kullanılabilir.

Kiracıdan kullanıcı verilerini dışa aktarmak için kiracı yöneticisi olmanız gerekir.

Bölüm 2: Sistem tarafından oluşturulan günlükler

Microsoft ayrıca GDPR'nin geniş “kişisel veri” tanımı kapsamında kişisel olarak kabul edilebilecek sistem tarafından oluşturulmuş günlüklere erişme, bunları dışarı aktarma ve silme olanağı da sunar. Aşağıdakiler, GDPR kapsamında kişisel olarak kabul edilebilecek sistem tarafından oluşturulmuş günlüklere örnek olarak verilebilir:

• Ürün ve servis kullanımı verileri (örneğin, kullanıcı etkinlik günlükleri)
• Kullanıcı arama istekleri ve sorgu verileri
• Ürünler ve servisler tarafından sistem işlevinin ve kullanıcılar veya diğer sistemler tarafından etkileşimin ürünü olarak oluşturulan veriler

Sistem tarafından oluşturulan günlüklere karşı DSR'leri yürütme

• Dynamics 365 Project Operations için Sistem Tarafından Oluşturulan Günlükler Veri Sahibi Hakları İstekleri İşlemler