Reakce na žádosti o práva subjektu dat (DSR) pro Microsoft Dynamics 365 Project Operations

Tato příručka poskytuje informace o tom, jak použít produktů, služeb a nástrojů pro správu od Microsoftu pro pomoc zákazníkům kontroleru najít a zpracovat osobní údaje v reakci na žádosti o práva subjektu dat (DSR) pro Microsoft Dynamics 365 Project Operations. Konkrétně tento článek popisuje, jak najít osobní údaje, které jsou umístěné v Microsoft Cloud, získat k nim přístup a provádět příslušné akce. Tato příručka vám pomůže s následujícím postupem:

• Vyhledání: Použijte nástroje pro vyhledávání k snadnějšímu nalezení zákaznických dat, které mohou být předmětem žádosti DSR. Po shromáždění dokumentů, na které máte potenciálně reagovat, můžete v reakci na danou žádost provést některé akce PSÚ popsané v následujících krocích. Případně můžete určit, že žádost nesplňuje pokyny vaší organizace ohledně reakce na požadavky DSR.
• Přístup: Získejte osobní údaje, které se nacházejí v Microsoft Cloud, a na požádání vytvořte jejich kopii, která je dostupná pro subjekt údajů.
• Oprava: V případě potřeby proveďte změny osobních údajů nebo další požadované akce.
• Omezení: Omezte zpracování osobních údajů, a to buď odstraněním licencí pro různé online služby nebo vypnutím požadovaných služeb, pokud je to možné.
• Odstranění: Trvale odstraní osobní údaje, která se nacházejí v Microsoft Cloud.
• Export/příjem (přenosnost): Poskytněte subjektu údajů jeho osobní údaje nebo osobní informace v elektronické podobě (ve strojově čitelném formátu).

Tato příručka popisuje technické postupy, které může organizace působící jako správce dat učinit v reakci na žádost PSÚ ohledně osobních údajů v Microsoft Cloud.

Další podrobnosti o právech subjektů údajů, jako je obecné nařízení Evropské unie o ochraně osobních údajů (GDPR) a kalifornský zákon o ochraně osobních údajů spotřebitelů (CCPA), najdete v kalifornském zákoně o ochraně soukromí spotřebitelů.

Jak vám tato příručka může pomoci splnit vaše povinnosti správce

Příručka rozdělená do dvou částí popisuje, jak používat produkty, služby a nástroje pro správu Microsoft, které vám pomohou najít data v Microsoft Cloud a jednat s nimi v reakci na požadavky subjektů údajů, které uplatňují svá práva podle GDPR. První část se zabývá osobními údaji, které jsou obsaženy v zákaznických datech. Následuje část, která se zabývá dalšími pseudonymizovanými osobními údaji zachycenými v protokolech generovaných systémem.

• Část 1: Reakce na žádosti o přístup k osobním údajům obsaženým v zákaznických datech dle DSR: Část 1 této příručky pojednává o tom, jak získat přístup, opravit, omezit, odstranit a exportovat osobní údaje z osobních údajů Dynamics 365 Project Operations (software jako služba), které jsou zpracovávány jako součást údajů o zákaznících, které jste poskytli online službě.
• Část 2: Reakce na žádosti o přístup k pseudonymizovaným údajům dle DSR: Když používáte Dynamics 365 Project Operations, Microsoft generuje některé informace (v tomto dokumentu označované jako protokoly generované systémem) k poskytování služby. Tyto informace jsou omezené na stopu využití, kterou koncoví uživatelé zanechávají k identifikaci svých akcí v systému. Přestože tyto údaje nelze přiřadit konkrétnímu subjektu údajů bez použití dalších informací, některé z nich mohou být podle GDPR považovány za osobní. Část 2 této příručky pojednává o tom, jak získat přístup, odstranit a exportovat protokoly generované systémem vytvořené Dynamics 365 Project Operations.

Příprava na šetření práv subjektu údajů

Když subjekty údajů uplatňují svá práva a podávají žádosti, zvažte následující body:

• Správně identifikujte osobu a roli – jako je zaměstnanec, zákazník, prodejce – pomocí informací, které vám subjekt údajů poskytl jako součást své žádosti. Těmito informacemi může být jméno, ID zaměstnance nebo číslo zákazníka nebo jiný identifikátor.
• Zaznamenejte datum a čas požadavku. (Na dokončení žádosti máte 30 dní.)
• Potvrďte, zda DSR splňuje požadavky vaší organizace na uznání nebo odmítnutí požadavku subjektu údajů. Musíte se například ujistit, že provedení požadavku není v rozporu s jinými právními, finančními nebo regulačními závazky, které máte, nebo že neporušuje práva a svobody ostatních.
• Ověřte, zda máte informace související s požadavkem.

Část 1: Příručka DSR pro zákaznická data

Spouštění DSR na základě zákaznických dat

Microsoft poskytuje možnost přístupu, odstranění a exportu určitých zákaznických dat prostřednictvím portálu Azure a také přímo prostřednictvím již existujících rozhraní API (Application Programming Interface) nebo uživatelských rozhraní (UI) pro konkrétní služby (označované také jako prostředí v produktu). Podrobnosti o takových zkušenostech s produktem Dynamics 365 Project Operations jsou popsány v této příručce.

Poznámka:

Dynamics 365 Project Operations má několik typů nasazení, které mohou zahrnovat použití Dataverse, finanční a provozní architektury, nebo obojí. V závislosti na typu nasazení se proces žádosti DSR může lišit.

Discover

Prvním krokem v reakci na žádost subjektu údajů (DSR) je nalezení osobních údajů, které jsou předmětem žádosti. Tento první krok - nalezení a přezkum sporných osobních údajů - vám pomůže určit, zda požadavek DSR splňuje požadavky vaší organizace na uznání nebo odmítnutí žádosti DSR. Například po nalezení a kontrole sporných osobních údajů, můžete určit, že žádost nesplňuje požadavky vaší organizace, protože může nepříznivě ovlivnit práva a svobody ostatních.

Poté, co najdete data, můžete provést konkrétní akci, aby bylo vyhověno požadavku od subjektu údajů.

Dataverse poskytuje několik metod vyhledávání osobních údajů v záznamech, například Rozšířené hledání a Hledání záznamů. Všechny tyto funkce vám umožňují identifikovat (vyhledat) osobní údaje.

• Hledání pomocí funkce Rozšířené hledání
• Vyhledávání záznamů ve více typech záznamů

Finanční a provozní architektura nabízí několik způsobů vyhledávání zákaznických dat. Jako správce klienta můžete při hledání zákaznických dat provádět následující akce:

• Uspořádejte údaje o zákaznících způsobem, který slouží k rychlému zjišťování osobních údajů. Podívejte se , jak klasifikovat inventář dat pro tento účel.
• Pomocí Sestavy vyhledávání osob můžete vyhledávat a shromažďovat osobní údaje. Rozšiřte sestavu vyhledávání osob vytvořením nové entity nebo rozšířením existující entity.
• Pomocí funkcí vyhledávání a filtrování můžete vyhledat konkrétní osobní údaje a exportovat je pomocí funkce exportu Microsoft Office nebo tyto informace vytisknout do PDF pomocí rozšíření prohlížeče.
• Vytvořte vlastní formulář, který vyhledá a exportuje osobní údaje.
• Vytvořte externí portál nebo web, který ověřenému zákazníkovi umožní zobrazit jeho osobní údaje.

Přístup

Jakmile najdete zákaznická data obsahující osobní údaje, které potenciálně reagují na DSR, je na vás a vaší organizaci, abyste se rozhodli, která data subjektu údajů poskytnete. Můžete jim poskytnout kopii skutečného dokumentu, vhodně upravenou verzi nebo snímek obrazovky s částmi, které považujete za vhodné sdílet. Pro každou z těchto odpovědí na žádost o přístup budete muset načíst kopii dokumentu nebo jiné položky, která obsahuje responzivní data. Při poskytování kopie subjektu údajů může být nutné odstranit nebo redigovat osobní údaje o jiných subjektech údajů a veškeré důvěrné informace.

Zákaznická data v rámci Dataverse lze exportovat pomocí komplexních možností exportu entit. Zákaznická data je možné exportovat do statického souboru Excel pro vyhovění žádosti na přenositelnost údajů. Pomocí Excelu pak můžete upravit osobní údaje, které mají být zahrnuty do žádosti o přenositelnost, a uložit je v běžně používaném strojově čitelném formátu, jako je .csv nebo .xml. Záznamy lze také exportovat prostřednictvím Webového rozhraní API Microsoft Dataverse.

Zákaznická data ve finanční a provozní architektuře lze exportovat pomocí komplexních možností exportu entit. Entity správy a integrace dat umožňují správci klienta používat poskytnuté entity, vytvářet nové entity nebo rozšiřovat stávající entity pro opakovatelný export osobních dat do Excelu nebo řady dalších běžných formátů prostřednictvím Úloh importu a exportu dat. Případně lze exportovat mnoho seznamů do statického souboru Excel pro vyhovění žádosti na přenositelnost údajů. Když jsou zákaznická data exportována do Excelu, můžete upravit osobní údaje, které mají být zahrnuty do žádosti o přenositelnost, a uložit soubor v běžně používaném strojově čitelném formátu, jako je .csv nebo .xml. Můžete také zvážit použití sestavy Vyhledávání osob a poskytnout subjektu údajů údaje, které jste klasifikovali jako osobní údaje.

Opravit

Pokud vás subjekt údajů požádal o opravu osobních údajů, které se nacházejí v datech vaší organizace, budete se vy a vaše organizace muset rozhodnout, jestli této žádosti vyhovíte. Oprava údajů může znamenat například úpravu, redigování nebo odebrání osobních údajů z dokumentu nebo jiného typu položky.

Dataverse nabízí následující metody opravy nepřesných nebo neúplných údajů o zákaznících nebo vymazání údajů o zákaznících:

• Vyhledávejte zákaznická data pomocí funkcí uvedených v části "Zjišťování" a přímo upravujte data v rámci Dataverse. Úpravy lze provádět na úrovni jednoho řádku nebo lze přímo upravit více řádků.
• Hromadnou úpravou více záznamů můžete pomocí doplňku Microsoft Office exportovat data do Excelu, provést změny a pak tato upravená data z Excelu importovat do Dataverse.

V architektuře finančních a provozních aplikací můžete také použít nástroje pro přizpůsobení, ale rozhodnutí a implementace jsou vaší odpovědností.

Stručná poznámka k úpravě položek v obchodních transakcích

Transakční záznamy, jako jsou obecné, zákaznické a daňové položky, jsou nezbytné pro integritu systému plánování podnikových zdrojů (ERP). Osobní údaje, které jsou součástí finanční nebo jiné transakce, jsou uchovávány "tak, jak jsou" za účelem dodržování finančních zákonů (například daňových zákonů), prevence podvodů (jako je záznam bezpečnostního auditu) nebo dodržování oborových certifikací. Dynamics 365 Project Operations proto omezuje úpravy dat v těchto záznamech.

Omezit

Subjekty údajů mohou požádat, abyste omezili zpracování jejich osobních údajů.

Když od subjektu údajů obdržíte žádost o omezení zpracování zákaznických dat, můžete dotčená zákaznická data snadno extrahovat z online služby a uložit je do samostatného kontejneru (místního úložiště nebo samostatné webové služby s možnostmi izolace dat), který je izolovaný od funkcí zpracování nabízených jakoukoli cloudovou aplikací.

Odstranění

"Právo na odstranění" osobních údajů ze zákaznických dat organizace je klíčovou ochranou podle obecného nařízení o ochraně osobních údajů (GDPR). Odstranění osobních údajů zahrnuje protokoly generované systémem, ale nikoli informace z protokolu auditu.

Když vás subjekt údajů požádá, abyste odstranili jeho údaje zákazníků, můžete to provést několika způsoby:

• Hromadnou úpravou více záznamů Dataverse můžete pomocí doplňku Microsoft Office exportovat data do Excelu, provést změny a pak tato upravená data z Excelu importovat zpět do online služby.
• Zákaznická data uložená v libovolném poli můžete odstranit tak, že vyhledáte data, která chcete odstranit, a poté ručně odstraníte datový prvek obsahující cílová zákaznická data. Můžete například použít pevné odstranění záznamu kontaktu představujícího subjekt údajů a dalších záznamů, které obsahují osobní údaje.

Alternativně můžete ve finanční a provozní architektuře použít nástroje pro přizpůsobení k vymazání/úpravě zákaznických dat.

Abyste mohli odstranit uživatele z klienta, musíte být správcem klienta.

Export

"Právo na přenositelnost" údajů umožňuje, aby subjekt údajů požádal o kopii svých osobních údajů v elektronickém formátu (tedy „strukturovaném, běžně používaném, strojově čitelném a interoperabilním formátu“), který lze přenést na jiného správce údajů.

V reakci na žádost o přenositelnost dat je možné exportovat zákaznická data v Dataverse pomocí komplexních možností exportu entit. Zákaznická data je možné exportovat do statického souboru Excel pro vyhovění žádosti na přenositelnost údajů. Pomocí Excelu pak můžete upravit osobní údaje, které mají být zahrnuty do žádosti o přenositelnost, a uložit je v běžně používaném strojově čitelném formátu, jako je .csv nebo .xml.

Finanční a provozní architektura nabízí Entity správy a integrace dat umožňující používat poskytnuté entity, vytvářet nové entity nebo rozšiřovat stávající entity pro opakovatelný export osobních dat do Excelu nebo řady dalších běžných formátů prostřednictvím Úloh importu a exportu dat. Případně lze exportovat mnoho seznamů do statického souboru Excel pro vyhovění žádosti na přenositelnost údajů. Když jsou zákaznická data exportována do Excelu tímto způsobem , můžete upravit osobní údaje, které mají být zahrnuty do žádosti o přenositelnost, a uložit soubor v běžně používaném strojově čitelném formátu, jako je .csv nebo .xml.

Sestavu Vyhledávání osob lze použít poskytnutí dat subjektu údajů, které jste klasifikovali jako osobní údaje.

Abyste mohli exportovat data uživatele z klienta, musíte být správcem klienta.

Část 2: Protokoly generované systémem

Microsoft vám také poskytuje možnost přístupu, exportu a mazání protokolů generovaných systémem, které by mohly být považovány za osobní podle široké definice "osobních údajů" GDPR. Mezi příklady systémem generovaných protokolů, které mohou být podle GDPR považovány za osobní, patří:

• Data o využití produktů a služeb, jako jsou protokoly aktivity uživatelů
• Požadavky na vyhledávání uživatelů a data dotazů
• Data generovaná produkty a službami jako produkt systémové funkčnosti a interakce uživatelů nebo jiných systémů

Důležité

Možnost omezit nebo opravit data v systémem generovaných protokolech není podporována. Data v systémem generovaných protokolech představují faktické akce prováděné v Microsoft Cloud a diagnostická data a úpravy takových údajů by ohrozily historický záznam akcí a zvýšily rizika podvodu a bezpečnosti.

Spouštění DSR proti protokolům generovaným systémem

• Systémem generované protokoly zpracování žádostí subjektů dat pro Dynamics 365 Project Operations