Svara på begäranden om registrerades rättigheter (DSR) för Microsoft Dynamics 365 Project Operations

Den här guiden tillhandahåller resurser kring hur du använder s produkter, tjänster och administrativa verktyg för att hjälpa våra kontrollantkunder att hitta och agera på personliga uppgifter i syfte att svara på DSR-begäranden för Microsoft Dynamics 365 Project Operations. Specifikt omfattar detta information om hur du hittar, kommer åt och agerar baserat på pesonlig information och personuppgifter som finns i Microsoft Cloud. Den här guiden hjälper dig med följande:

• Identifiera: Använd sök- och identifieringsverktygen för att enklare kunna hitta kunddata som skulle kunna vara föremål för en DSR-begäran. När potentiellt responsiva dokument samlas in kan utföra en eller flera av de DSR-åtgärder som beskrivs i följande steg för att svara på begäran. Alternativt kan du också anse att begäran inte uppfyller organisationens riktlinjer för att svara på DSR-begäran.
• Åtkomst: Hämta personuppgifter som finns i Microsoft Cloud och gör en kopia av det som finns tillgängligt för den registrerade om så krävs.
• Korrigera: göra ändringar eller genomföra andra begärda åtgärder på personuppgifterna, i tillämpliga fall.
• Begränsa: Begränsa behandlingen av personuppgifter, antingen genom att ta bort licenser för olika onlinetjänster eller genom att stänga av de önskade tjänsterna (om möjligt).
• Ta bort: Ta bort personuppgifter som finns i Microsoft Cloud permanent.
• Exportera/Ta emot (portabilitet): Tillhandahåll en elektronisk kopia (i ett format som kan läsas av datorn) av personliga data eller personuppgifter till den registrerade.

Den här guiden beskriver de tekniska procedurer som en datakontrollantorganisation kan vidta för att svara på en DSR-begäran för personliga data i Microsoft Cloud.

Mer information om registrerades rättigheter, t.ex. den Allmänna Dataskyddsförordningen (GDPR) och California Consumer Privacy Act (CCPA), finns i California Consumer Privacy Act.

Hur den här guiden kan hjälpa dig att uppfylla kontrollantens ansvar

Guiden är uppdelad i två delar och beskriver hur du använder Microsoft-produkter, tjänster och administrationsverktyg för att hitta och agera på data i Microsoft Cloud som svar på en förfrågan av registrerade data som utövar sina rättigheter under GDPR. Den första delen handlar om personuppgifter som ingår i kunddata. Därefter följer en del som handlar om andra pseudonymiserade personuppgifter som samlas in i systemgenererade loggar.

• Del 1: Svara på DSR-begäranden om personuppgifter som ingår i kunddata: Del 1 av denna guide innehåller information kring hur du får åtkomst till, korrigerar, begränsar, tar bort samt exporterar personuppgifter från Dynamics 365 Project Operations (programvara som en tjänst) som bearbetas som en del av den kunddata som du har tillhandahållit till online-tjänsten.
• Del 2: Svara på DSR-begäran om psudonymiserade data: När du använder Dynamics 365 Project Operations genererar Microsoft viss information (refererad till i detta dokument som ”systemgenererade loggar”) för att tillhandahålla tjänsten. Informationen är begränsad till den användning som slutanvändaren har lämnat efter sig för att identifiera dessas åtgärder i systemet. Även om dessa data inte kan hänföras till en specifik datatyp utan användning av ytterligare information kan en del av dem betraktas som personliga under GDPR. Del 2 i den här guiden innehåller information om hur du får tillgång till, tar bort och exporterar systemgenererade loggar framställda av Dynamics 365 Project Operations.

Förbereda för utredning av begäranden om datasubjekträttigheter

Tänk på följande om du har tillgång till uppgifter och begäran:

• Identifiera personen och rollen – t.ex. medarbetare, kund eller leverantör – med hjälp av information som den registrerade tillhandahållit till dig som en del av hans eller hennes förfrågan. Den här informationen kan vara ett namn, ett medarbetar-ID eller kundnummer, eller någon annan identifierare.
• Registrera datum och tid för begäran. (Du har 30 dagar på dig att slutföra förfrågan.)
• Bekräfta att förfrågan uppfyller organisationens krav på att en registrerads förfrågan ska uppfyllas eller avvisas. Du måste t.ex. se till att förfrågan inte är i konflikt med någon annan juridisk, ekonomisk eller lagmässig förpliktelse som du har eller intrång i andras frihet och rättigheter.
• Kontrollera att du har informationen som är relaterad till förfrågan.

Del 1: DSR-guide för kunddata

Köra DSR mot kunddata

Microsoft ger möjlighet att få tillgång till, ta bort och exportera vissa kunddata via Azure-portalen, samt även direkt via tidigare programmeringsgränssnitt för program (API:er) eller användargränssnitt (UI:er) för specifika tjänster (kallas även produktinterna upplevelser). Information om sådana produktinterna upplevelser för Dynamics 365 Project Operations beskrivs i den här guiden.

Obs

Dynamics 365 Project Operations har flera distributionstyper som kan innefatta användning av Dataverse, ekonomi- och driftsarkitektur, eller både och. Beroende på distributionstyp kan DSR-begäran komma att variera.

Upptäck

Det första steget när du svarar på en begäran från en registrerad (DSR) är att söka efter de personuppgifter som är föremål för begäran. Detta första steg – att söka efter och granska relevanta personuppgifter – hjälper dig att avgöra om en DSR-förfrågan uppfyller organisationens krav på att bevilja eller avvisa DSR-förfrågan. Om du till exempel, efter att ha sökt efter och granskat relevanta personuppgifter, anser att begäran inte uppfyller organisationens krav eftersom den, om den bifalles, kan komma att påverka andras rättigheter och friheter.

När du har hittat dina data kan du utföra den specifika åtgärden för att tillfredsställa den registrerades förfrågan.

Dataverse tillhandahåller flera metoder för att söka efter personuppgifter i poster, till exempel Avancerad sökning och Sökning efter poster. Med dessa funktioner kan du identifiera (hitta) personliga data.

• Avancerad sökning
• Söka efter poster över flera posttyper

Finance- och driftsarkitekturen erbjuder flera sätt att söka efter kunddata. Som administratör i en klientorganisation kan du utföra följande åtgärder för att söka efter kunddata:

• Ordna dina kunddata på ett sätt som gör det lättare att snabbt upptäcka personliga data. Se hur du kategoriserar datalager för detta ändamål.
• Använd rapporten Personsökningsrapport om du vill söka efter och samla in personliga data. Utöka rapporten Personsökning genom att skapa en ny entitet eller utöka en befintlig entitet.
• Med sök- och filterfunktioner kan du söka efter specifika personliga data och exportera dem med hjälp av exportfunktionen i Microsoft Office, eller skriva ut informationen i en PDF-fil med hjälp av webbläsartillägg.
• Skapa ett anpassat formulär för att söka efter och exportera personliga data.
• Skapa en extern portal eller webbplats där en autentiserad kund kan se sina personliga data.

Åtkomst

När du har hittat kunddata som innehåller personliga data som kan vara till hjälp för en DSR är det upp till dig och din organisation att bestämma vilka data som ska tillhandahållas till den registrerade. Du kan förse dem med en kopia av själva dokumentet, en korrekt redigerad version eller en skärmbild av de delar som du har tänkt dela. För vart och ett av svaren på en åtkomstbegäran måste du hämta en kopia av dokumentet eller en annan artikel som innehåller responsiva data. När du tillhandahåller en kopia till den registrerade kan du komma att behöva ta bort eller redigera personlig information om andra registrerade samt eventuellt konfidentiell information.

Kunddata inom Dataverse exporteras med hjälp av de omfattande entitetsexportfunktionerna. Kunddata kan exporteras till en statisk Excel-fil för att underlätta en begäran om överföring av data. Med Excel kan du sedan redigera de personliga data som ska ingå i portabilitetsbegäran och spara dem i ett vanligt, maskinläsbart format såsom .csv eller .xml. Poster kan även exporteras via webb-API för Microsoft Dataverse.

Kunddata i ekonomi- och driftsarkitekturen kan exporteras med hjälp av de omfattande exportfunktionerna för entiteten. Med entiteter för datahantering och -integrering kan administratören i klientorganisationen använda tillhandahållna entiteter, skapa nya entiteter eller utöka befintliga entiteter för en upprepningsbar personlig dataexport till Excel eller ett antal andra vanliga format via dataimport- och exportjobb. Alternativt kan många listor exporteras till en statisk Excel-fil i syfte att underlätta en begäran om överföring av data. När kunddata exporteras till Excel kan du sedan redigera de personliga data som ska ingå i portabilitetsbegäran och spara filen i ett vanligt, maskinläsbart format såsom .csv eller .xml. Du kan också överväga att använda rapporten Personsök för att förse den registrerade med data som du har klassificerat som personuppgifter.

Korrigera

Om en registrerad har bett dig korrigera de personuppgifter som finns i din organisations data, måste du och din organisation fastställa om det är lämpligt att gå med på denna begäran. Att korrigera datan kan innebära att vidta åtgärder som att redigera, skriva om eller ta bort personliga data från ett dokument eller annan typ eller objekt.

Dataverse erbjuder dig följande metoder för att korrigera felaktiga eller ofullständiga kunddata, eller för att radera kunddata:

• Sök efter kunddata med hjälp av funktionerna i avsnittet ”Upptäck” och redigera data direkt i Dataverse. Ändringar kan göras på enskild radnivå, eller också kan flera rader ändras direkt.
• Genom att massredigera flera poster kan du använda Microsoft Office-tillägget för att exportera data till Excel, utföra dina ändringar och sedan importera ändrade data från Excel till Dataverse.

När det gäller ekonomi- och driftsarkitektur kan du också använda anpassningsverktyg, men beslut och implementering är ditt ansvar.

Kort meddelande om ändring av poster i affärstransaktioner

Transaktionsposter, t.ex. allmänna, kundposter och momstransaktioner, är nödvändiga för ett ERP-system (Enterprise Resource Planning). Personliga data som är en del av en ekonomisk eller annan transaktion sparas i befintligt skick i syfte att uppfylla kraven i finansiell lagstiftning (till exempel skattelagstiftning), förhindrande av bedrägeri (till exempel säkerhetsrelaterad redovisningsspårning) eller efterlevnad av branschcertifikat. Därför begränsar Dynamics 365 Project Operations ändringar av data i sådana poster.

Begränsa

Registrerade kan begära att du begränsar behandlingen av deras personliga data.

När du får en förfrågan från en registrerad om att begränsa bearbetningen av kunddata, kan du enkelt extrahera berörda kunddata från onlinetjänsten och lagra den i en separat behållare (lokal lagring eller en separat webbtjänst med dataisoleringsfunktioner) som är isolerad från de bearbetningsfunktioner som erbjuds av ett molnprogram.

Delete

”Rätten att ta bort” genom radering av personuppgifter från en organisations kunddata är ett viktigt skydd i allmänna dataskyddsförordningen (GDPR). Om du tar bort personuppgifter tas även alla systemgenererade loggar bort, men inte spårningslogginformationen.

När en registrerad ber dig ta bort deras kunddata finns det flera olika sätt att utföra detta på:

• Genom att massredigera flera poster i Dataverse kan du använda Microsoft Office-tillägget för att exportera data till Excel, utföra dina ändringar och sedan importera ändrade data från Excel tillbaka till onlinetjänsten.
• Du kan ta bort kunddata som lagrats i valfritt fält genom att hitta de data du vill ta bort och sedan manuellt ta bort dataelementet som innehåller målkunddata. Du kan till exempel använda en hård borttagning för kontaktposten som representerar den registrerade och andra poster som innehåller personliga data.

För ekonomi- och driftsarkitekturen kan du också använda anpassningsverktygen för att radera/ändra kunddata.

Du måste vara administratör i klientorganisationen för att kunna ta bort en användare från klientorganisationen.

Export

”Rätten till överföring av data” ger en registrerad rätt att begära en kopia av hans/hennes personuppgifter i ett elektroniskt format (det vill säga, ett ”strukturerat, ofta använt, maskinläsbart och kompatibelt”) som kan överföras till en annan datakontrollplan.

Som svar på en begäran om dataportabilitet kan kunddata i Dataverse exporteras med hjälp av de omfattande exportfunktionerna för entiteter. Kunddata kan exporteras till en statisk Excel-fil för att underlätta en begäran om överföring av data. Med Excel kan du sedan redigera de personliga data som ska ingå i portabilitetsbegäran och spara dem i ett vanligt, maskinläsbart format såsom .csv eller .xml.

Arkitekturen för ekonomi och drift erbjuder entiteter för datahantering och -integrering som möjliggör utnyttjande av tillhandahållna entiteter, nyskapade entiteter eller utökade entiteter för en upprepningsbar personlig dataexport till Excel eller ett antal andra vanliga format via dataimport- och exportjobb. Alternativt kan många listor exporteras till en statisk Excel-fil i syfte att underlätta en begäran om överföring av data. När kunddata exporteras till Excel på detta sätt kan du sedan redigera de personliga data som ska ingå i portabilitetsbegäran och spara filen i ett vanligt, maskinläsbart format såsom .csv eller .xml.

Rapporten för personsökning kan också användas för att förse den registrerade med data som du har klassificerat som personuppgifter.

Du måste vara administratör i klientorganisationen för att kunna exportera användardata från klientorganisationen.

Del 2: Systemgenererade loggar

Microsoft ger dig även möjlighet att få tillgång till, exportera och ta bort systemgenererade loggar som kan anses vara personliga enligt den allmänna GDPR-definitionen av ”personuppgifter”. Exempel på systemgenererade loggar som kan anses vara personliga enligt GDPR inkluderar följande:

• Produkt-och service användnings data, t. ex användaraktivitetsloggar
• Användarsökbegäranden och frågedata
• Data som genererats av produkter och tjänster som en produkt med systemfunktioner och interaktion från användare eller andra system

Viktigt

Möjligheten att begränsa eller åtgärda data i systemgenererade loggar stöds ej. Data i systemgenererade loggar utgör en faktaåtgärd som utförs inom Microsoft Cloud, samt diagnostikdata och ändringar av sådana dataskulle äventyra den historiska posten med åtgärder och öka bedrägerier och säkerhetsrisker.

Köra DSR-system mot systemgenererade loggar

• Systemgenererade loggar processer för förfrågningar om dataämnesrättigheter för Dynamics 365 Project Operations