Rekisteröidyn oikeuksiin liittyviin pyyntöihin vastaaminen Microsoft Dynamics 365 Project Operationsille

Tämä opas tarjoaa resursseja siitä, kuinka in tuotteita, palveluja ja hallintatyökaluja voidaan käyttää auttamaan tietojen haltijan asiakkaita löytämään ja toimimaan henkilötietojen suhteen rekisteröidyn oikeuksia koskevien pyyntöjen tapauksissa Microsoft Dynamics 365 Project Operationsia koskien. Tiedot kuvaavat etenkin sitä, miten voit etsiä, käyttää ja käsitellä Microsoft Cloudissa olevia henkilötietoja. Tämä opas auttaa seuraavassa prosessissa:

• Etsintä: Haku- ja etsintätyökalujen avulla voit etsiä helposti asiakastietoja, jotka voivat olla DSR-pyynnön kohteena. Kun olet kerännyt mahdollisesti hyödyllisiä asiakirjoja, voit vastata pyyntöön suorittamalla seuraavissa vaiheissa kuvatun yhden tai useamman DSR-toiminnon. Vaihtoehtoisesti voit määrittää, että pyyntö ei vastaa organisaation DSR-pyyntöjä koskevia ohjeita.
• Käyttö: Voit hakea henkilökohtaisia tietoja Microsoft Cloudista ja pyydettäessä kopioida käytettävissä olevat tiedot rekisteröidylle.
• Oikaise: tee muutoksia henkilökohtaisiin tietoihin tai implementoi niihin muita pyydettyjä toimintoja.
• Rajoita: Rajoita henkilökohtaisten tietojen käsittelyä poistamalla eri online-palveluiden käyttöoikeuksia tai poistamalla käytöstä haluttuja palveluita, jos se on mahdollista.
• Poista: Poista henkilökohtaisia tietoja pysyvästi Microsoft Cloudista.
• Vie/Vastaanota (Siirrettävyys): Anna rekisteröidylle henkilötietojen sähköinen kopio (koneluettavassa muodossa).

Tässä oppaassa esitellään tekniset toimintatavat, joilla rekisterinpitäjäorganisaatio voi reagoida rekisteröidyn henkilötietopyyntöön Microsoft Cloudista.

Lisätietoja rekisteröidyn oikeuksista, kuten Euroopan unionin yleisestä tietosuoja-asetuksesta (GDPR) ja California Consumer Privacy Actista (CCPA) on kohdassa California Consumer Privacy Act.

Miten tämä opas voi auttaa rekisterinpitäjän velvollisuuksien täyttämisessä

Tässä kahteen osaan jaetussa oppaassa kuvataan, miten Microsoft-tuotteita, palveluita ja hallintatyökaluja käytetään tietojen etsimiseen ja niiden perusteella toimimiseen Microsoft Cloudissa vastauksena GDPR:n mukaisia oikeuksiaan käyttävien rekisteröityjen pyyntöihin. Ensimmäisessä osassa käsitellään asiakastietoihin sisältyviä henkilökohtaisia tietoja. Sitä seuraa osa, joka käsittelee järjestelmän luomiin lokeihin tallennettuja muita anonyymisti tallennettuja henkilökohtaisia tietoja.

• Osa 1: Asiakastietoihin sisältyvien henkilötietojen pyyntöhin vastaaminen: Tämän oppaan ensimmäisessä osassa käsitellään sitä, miten sellaisia henkilötietoja käytetään, oikaistaan, rajoitetaan ja viedään Dynamics 365 Project Operationsista (ohjelmisto palveluna), joitaa käsitellään osana asiakastietoja, jotka olet antanut verkkopalvelulle.
• Osa 2: Vastaaminen henkilötietopyyntöihin, jotka koskevat anonyymeja tietoja: Kun käytäy Dynamics 365 Project Operationsia, Microsoft luo palvelun tarjoamiseksi joitakin tietoja (joita tässä asiakirjassa kutsutaan järjestelmän luomiksi lokeiksi). Nämä tiedot rajoittuvat loppukäyttäjien järjestelmään jättämään käyttöjalanjälkeen heidän järjestelmässä suorittamiensa toimien tunnistamiseksi. Vaikka näitä tietoja ei voi yhdistää tiettyyn rekisteröityyn ilman lisätietojen käyttöä, osa niistä voidaan katsoa GDPR:n mukaisiksi henkilötiedoiksi. Tämän oppaan toisessa osassa käsitellään sitä, miten Dynamics 365 Project Operationsin tuottamia järjestelmän luomia lokeja käytetään, poistetaan ja viedään.

Valmistautuminen rekisteröityjen oikeuksien tutkimuksiin

Kun rekisteröidyt käyttävät oikeuksiaan ja tekevät pyyntöjä, ota huomioon seuraavat seikat:

• Tunnista henkilö ja hänen roolinsa, kuten työntekijä, asiakas tai toimittaja, käyttämällä tietoja, jotka rekisteröity on antanut osana pyyntöään. Näitä tietoja voivat olla nimi, työntekijätunnus tai asiakasnumero tai muu tunniste.
• Tallenna pyynnön päivämäärä ja kellonaika. (Sinulla on 30 päivää aikaa toteuttaa pyyntö.)
• Vahvista, että pyyntö täyttää organisaation vaatimukset pyynnön rekisteröidyn pyynnön kunnioittamiselle tai hylkäämiselle. Sinun on esimerkiksi varmistettava, että pyynnön toteuttaminen ei ole ristiriidassa muiden lainsäädännöllisten, taloudellisten tai säädöksellisten velvollisuuksiesi kanssa tai riko muiden oikeuksia tai vapauksia.
• Tarkista, että sinulla on pyyntöön liittyvät tiedot.

Osa 1: Asiakastietojen DSR-opas

DSR:n suoritus asiakastiedoille

Microsoft antaa mahdollisuuden käyttää, poistaa ja viedä tiettyjä asiakastietoja Azure-portaalin kautta sekä suoraan olemassa olevien ohjelmistorajapintojen (API:en) tai käyttöliittymien (UI:en) kautta tietyille palveluille (tunnetaan myös tuotteen sisäisinä käyttäjäkokemuksina). Tässä oppaassa on tietoja tällaisista Dynamics 365 Project Operations -tuotteen käyttökokemuksista.

Muistiinpano

Dynamics 365 Project Operations sisältää useita käyttöönottotyyppejä, joihin voi liittyä Dataversen tai rahoitus- ja toimintoarkkitehtuurin käyttöä tai molempia. Käyttöönottotyypin mukaan DSR-pyyntöprosessi voi vaihdella.

Discover

Ensimmäinen vaihe rekisteröidyn pyyntöön vastaamisessa on etsiä sen henkilön henkilökohtaiset tiedot, jota pyyntö koskee. Ensimmäinen vaihe, kyseisten henkilötietojen etsiminen ja tarkistaminen, auttaa määrittämään, vastaako DSR-pyyntö organisaation DSR-pyynnön noudattamista tai hylkäämistä koskevia vaatimuksia. Kyseisten henkilökohtaisten tietojen etsimisen ja tarkastamisen jälkeen voit esimerkiksi määrittää, että pyyntö ei täytä organisaation vaatimuksia, koska se voi vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin.

Kun tiedot on löydetty, voit sitten suorittaa rekisteröidyn pyyntöä vastaavan toiminnon.

Dataversessa on useita tapoja hakea tietueista henkilötietoja, kuten erikoishaku ja tietueiden haku. Näiden toimintojen avulla voit tunnistaa (etsiä) henkilökohtaisia tietoja.

• Erikoishaku
• Useiden tietuetyyppien tietueiden hakeminen

Rahoitus- ja toimintoarkkitehtuuri sisältää useita tapoja, joilla voi hakea asiakastietoja. Vuokraajan järjestelmänvalvojana voit hakea asiakastietoja seuraavasti:

• Järjestä asiakastiedot tavalla, joka auttaa löytämään henkilötiedot nopeasti. Katso , miten tietovarasto on luokiteltava tätä varten.
• Etsi ja kerää henkilötietoja Hekilön hakuraportti -toiminnon avulla. Laajenna Henkilön hakuraporttia luomalla uusi entiteetti tai laajentamalla aiemmin luotua entiteettiä.
• Haku- ja suodatustoimintojen avulla voit etsiä tiettyjä henkilötietoja ja viedä ne Microsoft Officen vientitoiminnon avulla tai tulostaa tiedot PDF-tiedostoon selainlaajennusten avulla.
• Luo mukautettu lomake, joka etsii ja vie henkilökohtaisia tietoja.
• Luo ulkoinen portaali tai sivusto, jonka avulla todennettu asiakas voi tarkastella henkilökohtaisia tietojaan.

Käyttö

Kun olet löytänyt asiakastietoja, jotka sisältävät mahdollisesti DSR:ään liittyviä tietoja, sinun ja organsaatiosi on päätettävä, mitä tietoja rekisteröidylle annetaan. Voit toimittaa kopion todellisesta asiakirjasta, asianmukaisesti rajoitetusta versiosta tai näyttökuvan osista, jotka olet katsonut tarkoituksenmukaisiksi jakaa. Jokaista näistä käyttöoikeuspyynnön vastauksista varten on haetava kopio asiakirjasta tai muusta kohteesta, joka sisältää vastaavat tiedot. Kun teet kopion rekisteröidylle, sinun on ehkä poistettava tai rajoitettava muiden rekisteröityjen henkilöiden henkilötietoja ja luottamuksellisia tietoja.

Dataversessa olevia asiakastietoja voi viedä käyttämällä kattavia entiteettien vientiominaisuuksia. Asiakastietoja voidaan viedä staattiseen Excel-tiedostoon tietojen siirrettävyyttä koskevan pyynnön helpottamiseksi. Excelin avulla voit muokata siirrettävyyspyyntöön sisällytettäviä henkilökohtaisia tietoja ja tallentaa ne yleisesti käytettävässä koneluettavassa muodossa, kuten .csv tai .xml. Tietueita voidaan myös viedä Microsoft Dataverse -verkko-ohjelmointirajapinnan kautta.

Rahoitus- ja toimintoarkkitehtuurin asiakastietoja voi viedä käyttämällä kattavia entiteettien vientiominaisuuksia. Tietojen hallinnan ja integroinnin entiteettien avulla vuokraajan järjestelmänvalvoja voi käyttää annettuja entiteettejä, luoda uusia entiteettejä tai laajentaa aiemmin luotuja entiteettejä toistuvaa henkilökohtaista tietojen Exceliin tai muihin tavanomaisiin muotoihin vientiä varten Tietojen tuonti- ja vientitöiden avulla. Vaihtoehtoisesti monia luetteloita voidaan viedä staattiseen Excel-tiedostoon tietojen siirrettävyyttä koskevan pyynnön helpottamiseksi. Kun asiakastiedot on viety Exceliin, voit muokata siirrettävyyspyyntöön sisällytettäviä henkilökohtaisia tietoja ja tallentaa tiedoston yleisesti käytettävässä koneluettavassa muodossa, kuten .csv tai .xml. Saatat myös harkita käyttäväsi Henkilön etsintäraporttia tarjotaksesi rekisteröidylle henkilötiedoiksi luokittelemasi tiedot.

Korjaaminen

Jos rekisteröity pyytää sinua korjaamaan henkilötietoja, joita organisaatiosi tietoihin sisältyy, sinun ja organisaatiosi täytyy päättää, hyväksyttekö pyynnön. Tietojen korjaaminen saattaa tarkoittaa henkilötietojen muokkaamista, rajoittamista ja poistamista asiakirjasta tai muun tyyppisestä kohteesta.

Dataversessa on seuraavat menetelmät virheellisten tai puutteellisten asiakastietojen korjaamiseksi tai asiakastietojen poistamiseksi:

• Voit hakea asiakastietoja Etsi-osassa mainituilla ominaisuuksilla ja muokata suoraan tietoja Dataversessa. Muokkauksia voi tehdä yhden rivin tasolla, tai useita rivejä voi muokata suoraan.
• Jos useita tietueita muokataan kerralla, Microsoft Office -apuohjelman avulla voit viedä tietoja Exceliin, tehdä haluamasi muutokset ja tuoda sitten muokatut tiedot Excelistä Dataverseen.

Rahoitus- ja toimintoarkkitehtuurissa voit käyttää myös mukautustyökaluja, mutta päätös ja toteutus ovat sinun vastuullasi.

Lyhyt huomautus liiketoimintatapahtumien merkintöjen muokkaamisesta

Liiketoiminnan tapahtumatietueet, kuten yleiset, asiakas- ja verokirjaukset, ovat välttämättömiä yrityksen resurssisuunnittelun (ERP) järjestelmän yhtenäisyyden kannalta. Taloushallinto- tai muun tapahtuman henkilötietoja säilytetään "sellaisenaan" talouslakien (esimerkiksi verolakien), huijausten (kuten suojausjäljen) ehkäisemisen tai toimialan sertifiointien noudattamisen vuoksi. Tämän vuoksi Dynamics 365 Project Operations rajoittaa näiden tietueiden tietojen muokkaamista.

Rajoita

Rekisteröidyt voivat pyytää henkilökohtaisten tietojen käsittelyn rajoittamista.

Kun vastaanotat rekisteröidyltä pyynnön rajoittaa asiakastietojen käsittelyä, voit helposti poimia asiakastiedot online-palvelusta ja tallentaa ne erilliseen säilöön (paikalliseen tallennustilaan tai erilliseen www-palveluun, jossa on tietojeneristysominaisuudet), joka on eristetty minkä tahansa pilvisovelluksen käsittelytoiminnoilta.

Delete

Oikeus poistaa henkilökohtaisia tietoja organisaation asiakastiedoista on yleisen tietosuoja-asetuksen (GDPR) tärkeä osa. Henkilötietojen poistaminen sisältää järjestelmän luomat lokit mutta ei seurantalokin tietoja.

Jos rekisteröity pyytää sinua poistamaan asiakastietonsa, se voidaan tehdä usealla tavalla:

• Jos useita tietueita muokataan kerralla Dataversessa, voit käyttää Microsoft Office -apuohjelmaa tietojen viemiseksi Exceliin, tehdä muutoksesi ja tuoda muokatut tiedot sitten Excelistä takaisin online-palveluun.
• Voit poistaa mihin tahansa kenttään tallennettuja asiakastietoja etsimällä poistettavat tiedot ja poistamalla sitten manuaalisesti kohdeasiakkaan tiedot sisältävän tietoelementin. Esimerkiksi rekisteröityä ja muita henkilökohtaisia tietoja sisältäviä tietueita edustavalle yhteyshenkilötietueelle voi suorittaa kovan poiston.

Voit vaihtoehtoisesti poistaa tai muokata asiakastietoja mukautustyökalujen avulla rahoitus- ja toimintaarkkitehtuurissa.

Vain vuokraajan järjestelmänvalvoja voi poistaa käyttäjän vuokraajasta.

Export

Oikeus tietojen siirrettävyyteen mahdollistaa sen, että rekisteröidyt voivat pyytää kopiota henkilökohtaisista tiedoistaan sähköisessä muodossa (rakenteellisena, usein käytettynä, koneellisesti luettavissa olevana ja yhteentoimivassa muodossa olevana), joka voidaan toimittaa toiselle tiedonkäsittelijälle.

Tietojen siirrettävyyden pyyntöön vastaamiseksi Dataverse-asiakastiedot voidaan viedä käyttämällä kattavia entiteettien vientiominaisuuksia. Asiakastietoja voidaan viedä staattiseen Excel-tiedostoon tietojen siirrettävyyttä koskevan pyynnön helpottamiseksi. Excelin avulla voit muokata siirrettävyyspyyntöön sisällytettäviä henkilökohtaisia tietoja ja tallentaa ne yleisesti käytettävässä koneluettavassa muodossa, kuten .csv tai .xml.

Rahoitus- ja toimintoarkkitehtuuri tarjoaa Tietojen hallinnan ja integroinnin entiteettejä, jotka ottavat käyttöön annettuja entiteettejä, uusia entiteettejä tai laajennettuja entiteettejä toistuvaa henkilötietojen Exceliin tai muihin tavanomaisiin muotoihin vientiä varten Tietojen tuonti- ja vientitöiden avulla. Vaihtoehtoisesti monia luetteloita voidaan viedä staattiseen Excel-tiedostoon tietojen siirrettävyyttä koskevan pyynnön helpottamiseksi. Kun asiakastiedot on näin viety Exceliin, voit muokata siirrettävyyspyyntöön sisällytettäviä henkilökohtaisia tietoja ja tallentaa tiedoston yleisesti käytettävässä koneluettavassa muodossa, kuten .csv tai .xml.

Henkilön etsintäraporttia voidaan käyttää tarjoamaan rekisteröidylle henkilötiedoiksi luokittelemasi tiedot.

Vain vuokraajan järjestelmänvalvoja voi viedä tietoja vuokraajasta.

Osa 2: Järjestelmän luomat lokit

Microsoft tarjoaa myös mahdollisuuden käyttää, viedä ja poistaa järjestelmän luomia lokeja, joita voidaan pitää henkilökohtaisina GDPR:n laajan henkilötietojen määrittelyn perusteella. Esimerkkejä järjestelmästä luoduista lokeista, joita voidaan pitää henkilökohtaisina GDPR:n perusteella ovat:

• Tuotteen ja palvelun käyttötiedot, kuten käyttäjän aktiviteettilokit
• Käyttäjän hakupyynnöt ja kyselytiedot
• Tuotteiden tai palveluiden muodostamat tiedot, joita voi syntyä esimerkiksi järjestelmän toimintojen ja käyttäjien tai muiden järjestelmien vuorovaikutuksen vuoksi

Tärkeää

Mahdollisuutta rajoittaa tai korjata järjestelmän muodostamien lokien tietoja ei tueta. Järjestelmän muodostamissa lokeissa olevat tiedot ovat tosiasiallisia toimintoja, joita on tehty Microsoft Cloudissa, ja diagnostiikkatiedot, kuten kyseisten tietojen muokkaukset, vaarantaisivat toimintojen historiatiedot ja lisäisivät petokseen ja suojauksiin liittyviä riskejä.

DSR:n suoritus järjestelmän luomille lokeille

• Järjestelmän luomat lokit Rekisteröityjen oikeuksien käsittelyprosessit Dynamics 365 Project Operationsille