Responder a solicitações de Direitos do Titular dos Dados (DSR) para Microsoft Dynamics 365 Project Operations

Este guia apresenta recursos sobre como usar produtos, serviços e ferramentas administrativas da Microsoft para ajudar nossos clientes controladores a encontrar e tomar medidas quanto a dados pessoais para responder a solicitações de Direitos do Titular dos Dados (DSR) para Microsoft Dynamics 365 Project Operations. Mais especificamente, entre as informações estão como encontrar, acessar e tomar medidas quanto a dados pessoais ou informações pessoais residentes na Microsoft Cloud. Este artigo vai ajudar você no seguinte processo:

• Descobrir: use ferramentas de pesquisa e descoberta para encontrar mais facilmente dados do cliente que possam ser o assunto de uma solicitação DSR. Depois da coleta de documentos potencialmente responsivos, você poderá realizar uma ou mais ações DSR descritas nas etapas a seguir para atender à solicitação. Como alternativa, convém determinar se a solicitação não atende às diretrizes da organização para responder a solicitações DSR.
• Acesso: recupere dados pessoais contidos na Microsoft Cloud e, se solicitado, crie uma cópia desses dados disponíveis para o titular dos dados.
• Rectify: faça alterações ou implemente outras ações solicitadas nos dados pessoais, se aplicável.
• Restringir: restrinja o processamento de dados pessoais, removendo licenças para serviços online variados ou ao desativando os serviços desejados quando possível.
• Excluir: remova permanentemente os dados pessoais contidos na Microsoft Cloud.
• Exportar/Receber (portabilidade): apresente uma cópia eletrônica (em um formato legível por máquina) de dados ou informações pessoais para o titular dos dados.

Este guia descreve os procedimentos técnicos que uma organização controladora de dados pode realizar para atender a uma solicitação DSR para dados pessoais na Microsoft Cloud.

Para obter mais detalhes sobre direitos do titular dos dados, como o Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia e a Lei de Privacidade do Consumidor da Califórnia (CCPA), consulte Lei de Privacidade do Consumidor da Califórnia.

Como este guia pode ajudá-lo a cumprir suas responsabilidades de controlador

O guia, dividido em duas partes, descreve como usar os produtos, serviços e ferramentas administrativas da Microsoft para ajudá-lo a encontrar e agir sobre dados na nuvem da Microsoft Cloud em resposta a solicitações de titulares dos dados que exercem seus direitos sob o GDPR. A primeira parte aborda dados pessoais incluídos nos dados do cliente. Ela é seguida de uma parte que aborda outros dados pessoais pseudonimizados registrados em logs gerados pelo sistema.

• Parte 1: resposta a solicitações DSR para dados pessoais incluídos em dados do cliente: a parte 1 deste guia aborda como acessar, corrigir, restringir, excluir e exportar dados pessoais do Dynamics 365 Project Operations (software como serviço), processados como parte dos dados do cliente fornecidos por você para o serviço online.
• Parte 2: reposta a solicitações DSR de dados pseudonimizados: quando você usa o Dynamics 365 Project Operations, a Microsoft gera algumas informações (conhecidas neste documento como logs gerados pelo sistema) para oferecer o serviço. Essas informações são limitadas ao volume de uso deixado para trás pelos usuários finais para identificar as ações no sistema. Embora esses dados não possam ser atribuídos a um titular de dados específico sem o uso de informações adicionais, alguns deles podem ser considerados pessoais segundo o RGPD. A parte 2 deste guia aborda como acessar, excluir e exportar logs gerados pelo sistema produzidos pelo Dynamics 365 Project Operations.

Como se preparar para investigações de direitos do titular dos dados

Quando os titulares dos dados exercem seus direitos e fazem solicitações, considere os seguintes pontos:

• Identifique devidamente a pessoa e a função – como funcionário, cliente ou fornecedor – usando as informações que o titular dos dados deu a você como parte da solicitação. Essas informações podem ser um nome, uma ID do funcionário, um número do cliente ou outro identificador.
• Registre a data e a hora da solicitação. (Você tem 30 dias para concluir a solicitação.)
• Confirme se a solicitação atende às exigências da organização para aceitar ou recusar a solicitação de um titular dos dados. Por exemplo, você deve garantir que a execução da solicitação não entre em conflito com outras obrigações legais, financeiras ou normativas que você tenha, ou que não viole os direitos e liberdades de terceiros.
• Verifique se você possui as informações relacionadas à solicitação.

Parte 1: guia DSR para dados do cliente

Execução de DSRs em dados do cliente

A Microsoft oferece a capacidade de acessar, excluir e exportar determinados dados do cliente por meio do portal do Azure e também diretamente por meio das interfaces de programa aplicativo (APIs) preexistentes ou interfaces do usuário (UIs) de serviços específicos (também conhecidos como experiências no produto). Os detalhes sobre essas experiências no produto do Dynamics 365 Project Operations estão descritos neste guia.

Observação

O Dynamics 365 Project Operations tem vários tipos de implantação que podem envolver o uso do Dataverse, a arquitetura de finanças e operações, ou ambos. Dependendo do tipo de implantação, o processo de solicitação DSR pode variar.

Descobrir

A primeira etapa ao responder a uma solicitação de DSR é localizar os dados pessoais referentes ao titular da solicitação. Essa primeira etapa, encontrar e examinar os dados pessoais em questão, vai ajudar você a determinar se uma solicitação DSR atende às exigências da organização para atender a ou recusar uma solicitação DSR. Por exemplo, depois de encontrar e examinar os dados pessoais em questão, você poderá determinar se a solicitação não atende às exigências da organização porque atendê-la pode afetar negativamente os direitos e as liberdades de outras pessoas.

Depois de encontrar os dados, você poderá realizar a ação específica para atender à solicitação pelo titular de dados.

O Dataverse oferece vários métodos para você procurar dados pessoais nos registros, como Pesquisa de Localização Avançada e Pesquisar Registros. Todas essas funções permitem identificar (encontrar) dados pessoais.

• Pesquisa de Localização Avançada
• Procurar registros em vários tipos de registro

A arquitetura de operações e finanças oferece diversas maneiras de procurar dados do cliente. Como administrador locatário, você pode realizar as seguintes ações para procurar dados do cliente:

• Organize os dados dos clientes de maneira que atenda à finalidade de descobrir rapidamente dados pessoais. Consulte como classificar estoque de dados para essa finalidade.
• Use Relatório da pesquisa pessoal para encontrar e coletar dados pessoais. Estenda o Relatório de pesquisa pessoal criando uma nova entidade ou estendendo uma entidade existente.
• Use os recursos de pesquisa e filtro para encontrar dados pessoais específicos e exporte esses dados usando a funcionalidade Exportar do Microsoft Office ou imprima essas informações para um PDF usando extensões do navegador.
• Criar um formulário personalizado que localize e exporte dados pessoais.
• Crie um portal ou um site externo que permita a um cliente autenticado consultar os dados pessoais.

Acessar

Depois que tiver encontrado dados de cliente que contenham dados pessoais que possam ser responsivos a um DSR, caberá a você e à organização decidir quais dados fornecer ao titular dos dados. Você pode fornecer a eles uma cópia do documento real, uma versão devidamente redigida ou uma captura de tela das partes que considerou indicadas para compartilhar. Para cada uma dessas respostas a uma solicitação de acesso, você terá que recuperar uma cópia do documento ou outro item que contenha os dados responsivos. Ao fornecer uma cópia ao titular dos dados, talvez seja necessário remover ou eliminar informações pessoais sobre outros titulares de dados e eventuais informações confidenciais.

Os dados do cliente no Dataverse podem ser exportados usando os recursos da exportação de entidade abrangentes. Os dados do cliente podem ser exportados para um arquivo do Excel estático para facilitar uma solicitação de portabilidade de dados. Usando o Excel, você pode acabar editando os dados pessoais a serem incluídos na solicitação de portabilidade e salvá-los em um formato legível por computador muito usado, como .csv ou .xml. Os registros também podem ser exportados por meio da API Web do Microsoft Dataverse.

Os dados do cliente na arquitetura de finanças e operações podem ser exportados usando os recursos de exportação da entidade abrangentes. As entidades de gerenciamento de dados e integração permitem ao administrador locatário usar entidades fornecidas, criar novas entidades ou estender entidades existentes até uma exportação de dados pessoais repetível para o Excel ou vários outros formatos comuns por meio dos Trabalhos de importação e exportação de dados. Como alternativa, muitas listas podem ser exportadas para um arquivo do Excel estático para facilitar uma solicitação de portabilidade de dados. Quando os dados do cliente são exportados para o Excel, você pode acabar editando os dados pessoais a serem incluídos na solicitação de portabilidade e salvar o arquivo em um formato legível por computador muito usado, como .csv ou .xml. Você também pode levar em consideração o uso do Relatório da pesquisa pessoal para fornecer ao titular dados classificados por você como dados pessoais.

Retificar

Se uma entidade de dados solicitar a correção de dados pessoais residentes nos dados da organização, você e a organização precisarão determinar se é indicado atender à solicitação. A correção dos dados pode incluir a execução de ações como editar, redigir ou remover dados pessoais de um documento ou outro tipo ou item.

O Dataverse apresenta os seguintes métodos para corrigir dados do cliente imprecisos ou incompletos ou apagar dados do cliente:

• Procure dados do cliente usando os recursos mencionados na seção "Descobrir" e edite diretamente os dados dentro do Dataverse. As edições podem ser feitas em um único nível de linha ou várias linhas podem ser modificadas diretamente.
• Ao editar vários registros em massa, você pode usar o suplemento do Microsoft Office a fim de exportar dados para o Excel, fazer as alterações e, em seguida, importar esses dados modificados do Excel para o Dataverse.

Na arquitetura de finanças e operações, você também pode usar ferramentas de personalização, mas a decisão e a implementação são de sua responsabilidade.

Breve observação sobre a modificação de entradas em transações comerciais

Os registros transacionais, como entradas contábeis gerais, de clientes e de razão de imposto, são essenciais para a integridade de um sistema de planejamento de recursos empresariais (ERP). Os dados pessoais que fazem parte de uma transação financeira ou de outra natureza são mantidos "no estado em que se encontram" para fins de conformidade com leis financeiras (por exemplo, leis fiscais), prevenção de fraudes (como trilha de auditoria de segurança) ou conformidade com certificações do setor. Por isso, o Dynamics 365 Project Operations restringe a modificação de dados nesses registros.

Restringir

Os titulares de dados podem solicitar a você restringir o processamento dos dados pessoais.

Ao receber uma solicitação de um titular dos dados para restringir o processamento de dados do cliente, você pode extrair facilmente os dados do cliente afetados do serviço online e armazená-los em um contêiner à parte (armazenamento local ou um serviço Web à parte com recursos de isolamento de dados) isolado das funções de processamento oferecidas por qualquer aplicativo em nuvem.

Delete

O "direito de apagar" por meio da remoção de dados pessoais dos dados do cliente de uma organização é uma proteção-chave no RGPD. A remoção de dados pessoais inclui logs gerados pelo sistema, mas não informações do log de auditoria.

Quando um titular de dados solicita a você a exclusão dos dados do cliente, existem diversas maneiras de fazer isso:

• Ao editar vários registros em massa no Dataverse, você pode usar o suplemento do Microsoft Office a fim de exportar dados para o Excel, fazer as alterações e, em seguida, reimportar esses dados modificados do Excel para o serviço online.
• Você pode excluir dados armazenados do cliente em qualquer campo localizando os dados que deseja excluir e, em seguida, excluindo manualmente o elemento de dados que contém os dados do cliente de destino. Por exemplo, você pode empregar uma exclusão definitiva no registro do contato que representa o titular dos dados e em outros registros que contêm dados pessoais.

Como alternativa, na arquitetura de finanças e operações, você pode usar ferramentas de personalização para apagar/modificar dados do cliente.

Você deve ser um administrador do locatário para excluir um usuário do locatário.

Export

O "direito da portabilidade de dados" permite a um titular de dados solicitar uma cópia dos dados pessoais em formato eletrônico (ou seja, um "formato estruturado, normalmente usado, legível por máquina e interoperável") que pode ser transmitido para outro controlador de dados.

Para atender a uma solicitação de portabilidade de dados, os dados do cliente no Dataverse podem ser exportados usando os recursos de exportação da entidade abrangentes. Os dados do cliente podem ser exportados para um arquivo do Excel estático para facilitar uma solicitação de portabilidade de dados. Usando o Excel, você pode acabar editando os dados pessoais a serem incluídos na solicitação de portabilidade e salvá-los como um formato legível por computador muito usado, como .csv ou .xml.

A arquitetura de finanças e operações oferece Entidades de gerenciamento de dados e integração que habilitam entidades fornecidas, entidades recém-criadas ou entidades estendidas até uma exportação de dados pessoais repetível para o Excel ou vários outros formatos comuns por meio dos Trabalhos de importação e exportação de dados. Como alternativa, muitas listas podem ser exportadas para um arquivo do Excel estático para facilitar uma solicitação de portabilidade de dados. Quando os dados do cliente são exportados para o Excel assim, você pode acabar editando os dados pessoais a serem incluídos na solicitação de portabilidade e salvar o arquivo como um formato legível por computador muito usado, como .csv ou .xml.

O Relatório de pesquisa pessoal pode ser usado para fornecer ao titular dados classificados por você como dados pessoais.

Você deve ser um administrador do locatário para exportar dados de usuário do locatário.

Parte 2: Logs gerados pelo sistema

A Microsoft também oferece a possibilidade de acessar, exportar e excluir logs gerados pelo sistema que possam ser considerados pessoais segundo a definição ampla de "dados pessoais" do RGPD. Entre os exemplos de logs gerados pelo sistema que podem ser considerados pessoais segundo o RGPD estão:

• Dados de uso de produtos e serviços, como logs de atividades do usuário
• Solicitações de pesquisa de usuário e dados de pesquisa
• Dados gerados por produtos e serviços como produto da funcionalidade do sistema e interação por usuários ou outros sistemas

Importante

A possibilidade de restringir ou corrigir dados em logs gerados pelo sistema não é compatível. Os dados nos logs gerados pelo sistema constituem ações factuais na Microsoft Cloud, e os dados de diagnóstico e as modificações feitas nesses dados comprometeriam o registro histórico de ações e aumentariam os riscos de fraudes e à segurança.

Execução de DSRs em logs gerados pelo sistema

• Logs gerados pelo sistema, processos de solicitações de direitos do titular dos dados para o Dynamics 365 Project Operations