Responder a pedidos de Direitos do Titular de Dados (DSR) para Microsoft Dynamics 365 Project Operations

Este guia fornece recursos sobre como utilizar os produtos, os serviços e as ferramentas administrativas da Microsoft para ajudar os nossos clientes responsáveis pelo tratamento a localizarem e efetuarem uma ação sobre os dados pessoais para responder a pedidos de Direitos de Titular de Dados (DSR) para o Microsoft Dynamics 365 Project Operations. Especificamente, as informações incluem como localizar, aceder e realizar ações nos dados pessoais ou nas informações pessoais que residem na Microsoft Cloud. Este guia irá ajudá-lo com o seguinte processo:

• Descobrir: utilize as ferramentas de pesquisa e deteção para localizar mais facilmente dados de clientes que possam ser sujeitos a um pedido DSR. Após recolher os documentos potencialmente reativos, pode efetuar uma ou mais das ações DSR descritas nos passos seguintes para responder ao pedido. Alternativamente, poderá determinar que o pedido não corresponde às diretrizes da sua organização para responder a pedidos DSR.
• Acesso: obtenha dados pessoais que residam na Microsoft Cloud e, se necessário, disponibilize uma cópia do que está disponível para o titular dos dados.
• Corrigir: efetue alterações ou implemente outras ações pedidas nos dados pessoais, quando aplicável.
• Restringir: restrinja o processamento de dados pessoais, removendo licenças para vários serviços online ou ao desativar os serviços pretendidos sempre que possível.
• Eliminar: remover permanentemente dados pessoais que residem na Microsoft Cloud.
• Exportar/Receber (Portabilidade): forneça uma cópia eletrónica (num formato legível por máquina) de dados pessoais ou informações pessoais para o titular dos dados.

Este guia descreve os procedimentos técnicos que um responsável pelo tratamento de dados pode tomar para responder a um pedido DSR relativo aos dados pessoais na Microsoft Cloud.

Para mais detalhes sobre os direitos de titular de dados, como o Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia e a Lei de Privacidade do Consumidor da Califórnia (CCPA), consulte Lei de Privacidade do Consumidor da Califórnia.

Como este guia pode ajudá-lo a cumprir as suas responsabilidades de controlador

O guia, dividido em duas partes, descreve como utilizar produtos, serviços e ferramentas administrativas da Microsoft para ajudá-lo a localizar e agir sobre dados na Microsoft Cloud em resposta a pedidos de pessoas que estão a exercer os seus direitos ao abrigo do RGPD. A primeira parte aborda os dados pessoais que estão incluídos nos dados do cliente. É seguido por uma parte que aborda outros dados pessoais pseudonimizados capturados em registos gerados pelo sistema.

• Parte 1: Responder a pedidos DSR para dados pessoais incluídos em dados de cliente: A Parte 1 deste guia discute como aceder, retificar, restringir, eliminar e exportar dados pessoais do Dynamics 365 Project Operations (software como serviço), que são processados como parte dos dados do cliente que forneceu ao serviço online.
• Parte 2: Responder a pedidos DSR para dados pseudonimizados: Quando utiliza o Dynamics 365 Project Operations, a Microsoft gera algumas informações (referidas neste documento como registos gerados pelo sistema) para fornecer o serviço. Estas informações são limitadas à quantidade de utilização deixada pelos utilizadores finais para identificar as suas ações no sistema. Embora estes dados não possam ser atribuídos a um titular de dados específico sem a utilização de informações adicionais, alguns deles podem ser considerados pessoais ao abrigo do RGPD. A Parte 2 deste guia discute como aceder, eliminar e exportar registos gerados pelo sistema produzidos pelo Dynamics 365 Project Operations.

Preparar para investigações sobre direitos de titulares de dados

Quando os titulares de dados exercem os seus direitos e fazem pedidos, considere os seguintes pontos:

• Identifique adequadamente a pessoa e a função — como colaborador, cliente ou fornecedor — utilizando informações que o titular dos dados lhe deu como parte do seu pedido. Esta informação pode ser um nome, um ID de funcionário ou número de cliente, ou outro identificador.
• Registe a data e hora do pedido. (Tem 30 dias para completar o pedido.)
• Confirme que o pedido satisfaz os requisitos da sua organização para honrar ou recusar o pedido de um titular de dados. Por exemplo, deve certificar-se de que a execução do pedido não entra em conflito com quaisquer outras obrigações legais, financeiras ou regulamentares que tenha, ou que viole os direitos e liberdades dos outros.
• Verifique se tem a informação que está relacionada com o pedido.

Parte 1: Guia RDS para dados de cliente

Executar DSRs em dados de cliente

A Microsoft fornece a capacidade de aceder, eliminar e exportar determinados dados de cliente através do portal do Azure e também diretamente através de interfaces de programação de aplicações (APIs) ou interfaces de utilizador (IUs) preexistentes para serviços específicos (também conhecidas como experiências dentro do produto). Os detalhes sobre essas experiências dentro do produto para o Dynamics 365 Project Operations são descritos neste guia.

Nota

O Dynamics 365 Project Operations tem vários tipos de implementação que podem envolver a utilização do Dataverse, da arquitetura de finanças e operações ou ambos. Dependendo do tipo de implementação, o processo de pedidos DSR pode variar.

Detetar

O primeiro passo para responder a um pedido DSR é localizar os dados pessoais que são o assunto do pedido. Este primeiro passo — localizar e rever os dados pessoais em questão — irá ajudá-lo a determinar se um pedido DSR satisfaz os requisitos da sua organização para honrar ou recusar pedidos DSR. Por exemplo, depois de localizar e rever os dados pessoais problemáticos, poderá determinar que o pedido não corresponde aos requisitos da sua organização, pois honrá-lo poderá afetar adversamente os direitos e as liberdades de outros utilizadores.

Depois de localizar os dados, pode efetuar a ação específica para satisfazer o pedido pelo titular dos dados.

O Dataverse fornece vários métodos para pesquisar por dados pessoais em registos, como a Pesquisa de Localização Avançada e a Pesquisa por Registos. Todas estas funções permitem-lhe identificar (encontrar) dados pessoais.

• Pesquisa de Localização Avançada
• Pesquisar por Registos em vários tipos de registo

A arquitetura de finanças e operações fornece várias formas de pesquisar dados de clientes. Como administrador de inquilinos, pode efetuar as seguintes ações para pesquisar por dados de clientes:

• Organize os dados dos seus clientes de uma forma que sirva o propósito de descobrir rapidamente os dados pessoais. Consulte como classificar o inventário de dados para esta finalidade.
• Utilize o Relatório de pesquisa de pessoas para localizar e recolher dados pessoais. Expanda o relatório Pesquisa de pessoas ao criar uma nova entidade ou ao expandir uma entidade existente.
• Use os recursos de pesquisa e filtro para localizar dados pessoais específicos e exportar esses dados usando a funcionalidade Exportar do Microsoft Office ou imprima essas informações num PDF utilizando extensões do browser.
• Crie um formulário personalizado que localize e exporte dados pessoais.
• Crie um portal ou site externo que permita que um cliente autenticado veja os seus dados pessoais.

Acesso

Depois de encontrar dados de clientes que contêm dados pessoais potencialmente responsivos a um DSR, cabe a si e à sua organização decidir que dados fornecer ao titular dos dados. Pode fornecer-lhes uma cópia do documento real, uma versão devidamente redigida ou uma captura de ecrã das partes que considerou adequadas partilhar. Para cada uma destas respostas a um pedido de acesso, terá de obter uma cópia do documento ou outro item que contenha os dados relevantes. Ao fornecer uma cópia ao titular dos dados, poderá ter de remover ou redigir informações pessoais sobre outros titulares de dados e quaisquer informações confidenciais.

Os dados do cliente dentro do Dataverse podem ser exportados usando as capacidades abrangentes de exportação de entidades. Os dados de cliente podem ser exportados para um ficheiro Excel estático para facilitar um pedido de portabilidade de dados. Usando o Excel, pode editar os dados pessoais a serem incluídos no pedido de portabilidade e salvá-los num formato comumente usado e legível por máquina, como .csv ou .xml. Os registos também podem ser exportados através da API Web do Microsoft Dataverse.

Os dados do cliente na arquitetura de finanças e operações podem ser exportados utilizando os recursos abrangentes de exportação de entidades. As entidades de gestão e integração de dados permitem que o administrador de inquilinos utilize as entidades fornecidas, crie novas entidades ou expanda entidades existentes para uma exportação de dados pessoais repetível para o Excel ou para vários outros formatos comuns através de Tarefas de importação e exportação de dados. Como alternativa, muitas listas podem ser exportadas para um arquivo Excel estático para facilitar uma solicitação de portabilidade de dados. Quando os dados do cliente são exportados para o Excel, pode editar os dados pessoais a serem incluídos no pedido de portabilidade e guardar o ficheiro num formato comumente usado e legível por máquina, como .csv ou .xml. Também pode considerar usar o relatório Pesquisa de pessoas para fornecer ao titular os dados que classificou como dados pessoais.

Retificar

Se um titular dos dados lhe tiver pedido para retificar os dados pessoais que residem nos dados da sua organização, você e a sua organização terão de determinar se é apropriado respeitar o pedido. A retificação dos dados pode incluir efetuar ações como editar, redigir ou remover dados pessoais de um documento ou outro tipo de item.

O Dataverse fornece os seguintes métodos para corrigir dados de clientes imprecisos ou incompletos ou apagar dados de clientes:

• Pesquise por dados de clientes usando as capacidades mencionadas na secção "Descobrir" e edite diretamente os dados contidos no Dataverse. As edições podem ser feitas ao nível de uma única linha ou várias linhas podem ser modificadas diretamente.
• Ao editar vários registos em massa, pode utilizar o suplemento do Microsoft Office para exportar dados para o Excel, efetuar as alterações e, em seguida, importar esses dados modificados do Excel para o Dataverse.

Na arquitetura de finanças e operações, também pode usar ferramentas de personalização, mas a decisão e a implementação são da sua responsabilidade.

Breve nota sobre a modificação de entradas em transações comerciais

Os registos transacionais, como entradas gerais, de clientes e de livro razão, são essenciais para a integridade de um sistema de planeamento de recursos empresariais (ERP). Os dados pessoais que fazem parte de uma transação financeira ou outra são mantidos "como estão" para fins de conformidade com as leis financeiras (por exemplo, leis fiscais), prevenção de fraudes (como registo de auditoria de segurança) ou conformidade com certificações do setor. Portanto, o Dynamics 365 Project Operations restringe a modificação de dados nesses registos.

Restringir

Os titulares dos dados poderão pedir que restrinja o processamento de dados pessoais.

Quando recebe um pedido de um titular de dados para restringir o processamento de dados de clientes, pode extrair facilmente os dados de clientes afetados do serviço online e armazená-los num contentor separado (armazenamento no local ou um serviço web separado com capacidades de isolamento de dados) isolado das funções de processamento oferecidas por qualquer aplicação na cloud.

Eliminar

O "direito de remoção" através da remoção de dados pessoais de um cliente de uma organização é uma proteção-chave no RGPD. A remoção de dados pessoais inclui registos gerados pelo sistema, mas não as informações de registo de auditoria.

Quando um titular dos dados lhe pedir para eliminar os respetivos dados de cliente, existem várias formas de o fazer:

• Ao editar vários registos em massa no Dataverse, pode utilizar o suplemento do Microsoft Office para exportar dados para o Excel, efetuar alterações e, em seguida, importar esses dados modificados do Excel de volta para o serviço online.
• Pode eliminar os dados do cliente armazenados em qualquer campo localizando os dados que deseja eliminar e, em seguida, eliminando manualmente o elemento de dados que contém os dados do cliente visado. Por exemplo, pode utilizar uma eliminação definitiva no registo de contacto que representa o titular dos dados e noutros registos que contenham dados pessoais.

Como alternativa, na arquitetura de finanças e operações, pode usar ferramentas de personalização para apagar/modificar dados do cliente.

Tem de ser um administrador de inquilinos para eliminar um utilizador do inquilino.

Export

O "direito de portabilidade dos dados" permite que um titular dos dados solicite uma cópia dos seus dados pessoais num formato eletrónico (isto é, um "formato estruturado interoperável frequentemente utilizado e legível pelo computador") que possa ser transmitido a outro responsável pelo tratamento de dados.

Para responder a um pedido de portabilidade de dados, os dados do cliente no Dataverse podem ser exportados usando as capacidades abrangentes de exportação de entidades. Os dados de cliente podem ser exportados para um ficheiro Excel estático para facilitar um pedido de portabilidade de dados. Usando o Excel, pode editar os dados pessoais a serem incluídos no pedido de portabilidade e salvá-los num formato comumente usado e legível por máquina, como .csv ou .xml.

A arquitetura de finanças e operações oferece entidades de gestão e integração de dados que permitem às entidades fornecidas, entidades recém-criadas ou às entidades expandidas uma exportação de dados pessoais repetível para o Excel ou para vários outros formatos comuns através de Tarefas de importação e exportação de dados. Como alternativa, muitas listas podem ser exportadas para um arquivo Excel estático para facilitar uma solicitação de portabilidade de dados. Quando os dados do cliente são exportados para o Excel desta forma, pode editar os dados pessoais a incluir no pedido de portabilidade e guardar o ficheiro num formato normalmente utilizado e legível por máquina, como .csv ou .xml.

O relatório de pesquisa de pessoas pode ser usado para fornecer dados que classificou como dados pessoais ao titular dos dados.

Tem de ser um administrador de inquilinos para exportar dados de utilizador do inquilino.

Parte 2: Registos gerados pelo sistema

A Microsoft também oferece a capacidade de aceder, exportar e excluir registos gerados pelo sistema que podem ser considerados pessoais de acordo com a definição ampla de "dados pessoais" do RGPD. Exemplos de registos gerados pelo sistema que podem ser considerados pessoais ao abrigo do RGPD incluem:

• Dados de utilização de produtos e serviços, tais como registos de atividade de utilizador
• Pedidos de pesquisa de utilizadores e consultas de dados
• Dados gerados por produtos e serviços como produto de funcionalidade do sistema e interação por utilizadores ou outros sistemas

Importante

A capacidade de restringir ou corrigir dados em registos gerados pelo sistema não é suportada. Os dados existentes em registos gerados pelo sistema constituem ações factuais efetuadas na Microsoft Cloud, e os dados de diagnóstico e modificações a esses dados comprometem o registo de histórico de ações e aumentam a fraude e os riscos de segurança.

Executar DSRs em registos gerados pelo sistema

• Processos de Pedidos de Direitos dos Titulares de Dados para registos Gerados pelo Sistema para o Dynamics 365 Project Operations