回應 Microsoft Dynamics 365 Project Operations 的資料主體權利 (DSR) 要求

本指南提供有關如何使用 Microsoft 產品、服務和系統管理工具的資源，以協助控制者客戶尋找和處理個人資料來回應 Microsoft Dynamics 365 Project Operations 的資料主體權利 (DSR) 要求。 具體而言，資訊包含如何尋找、存取和處理位於 Microsoft Cloud 的個人資料或個人資訊。 本指南將協助您完成下列程序：

• 探索：使用搜尋和探索工具，更輕鬆地尋找可能是 DSR 要求主體的客戶資料。 收集到可能的回應文件之後，您可以執行下列步驟所述的一個或多個 DSR 動作來回應要求。 或者，您可能會判斷此要求不符合組織對於回應 DSR 要求的指導方針。
• 存取：擷取位於 Microsoft Cloud 的個人資料，並在有要求時，提供其複本給資料主體。
• 改正：在適用情況下，對個人資料進行變更或實作其他要求的動作。
• 限制：透過移除各種線上服務的授權，或關閉所需的裝置 (若可能的話)，以限制處理個人資料。
• 刪除：永久移除位於 Microsoft Cloud 的個人資料。
• 匯出/接收 (可攜性)：將個人資料或個人資訊的電子複本 (機器可讀的格式) 提供給資料主體。

本指南概述資料控制器組織對 Microsoft Cloud 中個人資料所能採取以回應 DSR 要求的技術程序。

如需有關歐盟一般資料保護規定 (GDPR) 和加州消費者隱私權法案 (CCPA) 等資料主體權利的詳細資訊，請參閱加州消費者隱私權法案。

本指南如何協助您履行總監責任

本指南分為兩個部分，描述如何使用 Microsoft 產品、服務和管理工具，協助您尋找並處理 Microsoft Cloud 的資料，以回應 GDPR 中行使其權利的資料主體所提供的要求。 第一部分涉及客戶資料中包含的個人資料。 接下來是處理系統產生記錄中所擷取其他假名個人資料的部分。

• 第 1 部分：回應客戶資料中所包含個人資料的 DSR 要求：本指南的第 1 部分討論如何從當做您已提供給線上服務的一部分處理的 Dynamics 365 Project Operations (軟體即服務) 個人資料中存取、修正、限制、刪除和匯出。
• 第 2 部分：回應假名資料的 DSR 要求：當您使用 Dynamics 365 Project Operations 時，Microsoft 會產生一些資訊 (本文件稱之為系統產生記錄) 以提供服務。 此資訊僅限於終端使用者留下的使用足跡，以便識別他們在系統中的動作。 雖然這些資料無法在不使用其他資訊的情況下劃歸於特定資料主體，但可能會依據 GDPR 將其中部分資料視為個人的。 本指南的第 2 部分討論如何存取、刪除和匯出 Dynamics 365 Project Operations 建立的系統產生記錄檔。

準備進行資料主體權利調查

當資料主體行使其權限並發出要求時，請考慮下列幾點：

• 使用資料主體做為其要求的一部分提供給您的資訊，以正確識別人員和角色 (例如員工、客戶或廠商)。 此資訊可能是名稱、員工識別碼或客戶編號，或是其他識別碼。
• 記錄要求的日期和時間。 （您有 30 天的時間完成此要求）。
• 確認要求符合組織的需求，以接受或拒絕資料主體的要求。 例如，您必須確認執行要求不會與您承擔的任何其他法律，財務或監管義務相衝突，或是侵犯他人的權利和自由。
• 確認您擁有與要求相關的資訊。

第 1 部分：客戶資料的 DSR 指南

針對客戶資料執行 DSR

Microsoft 提供透過 Azure 入口網站以及直接透過特定服務既有應用程式開發介面 (API) 或使用者介面 (UI) (也稱為產品內體驗) 存取、刪除和匯出特定客戶資料的功能。 本指南會說明有關 Dynamics 365 Project Operations 的這類產品內體驗的詳細資訊。

注意

Dynamics 365 Project Operations 有多種部署類型，可能需要使用 Dataverse、財務和營運結構或兩者。 根據部署類型，DSR 要求程序可能會有所不同。

探索

回應 DSR 要求的第一個步驟是尋找屬於要求主體的個人資料。 這第一個步驟 (尋找並審查有爭議的個人資料) 可協助您判斷 DSR 要求是否符合組織對於接收或拒絕 DSR 要求的需求。 例如，尋找和審查有爭議的個人資料之後，您可能會判斷要求不符合您組織的需求，因為接收該要求可能對其他人的權利和自由造成負面影響。

找到資料之後，您可以執行特定動作來滿足資料主體的要求。

Dataverse 提供多種方法 (例如「進階尋找搜尋」和「搜尋記錄」)，讓您在記錄中搜尋個人資料。 這些功能都能讓您識別 (尋找) 個人資料。

• 進階尋找搜尋
• 跨多種記錄類型搜尋記錄

財務和營運結構提供多種搜尋客戶資料的方法。 身為租用戶管理員，您可以執行下列動作來搜尋客戶資料：

• 以有助於快速發現個人資料的方式組織您的客戶資料。 為此，請參閱如何對資料清單進行分類。
• 使用人員搜尋報告來尋找和收集個人資料。 製作新實體或擴充現有實體，以擴充人員搜尋報告。
• 使用搜尋和篩選功能尋找特定個人資料，並使用 Microsoft Office 匯出功能匯出該資料，或使用瀏覽器延伸將該資訊列印為 PDF。
• 製作尋找和匯出個人資料的自訂表單。
• 製作允許已驗證客戶查看其個人資料的外部入口網站或網站。

存取權

找到包含可能回應 DSR 之個人資料的客戶資料後，由您和您的組織決定向資料主體提供哪些資料。 您可以向他們提供實際文件的複本、適當編輯的版本或您認為螢幕擷取畫面適合分享的部分。 對於這其中每個對存取要求的回應，您必須擷取包含回應資料之文件或其他項目的複本。 向資料主體提供複本時，您可能需要移除或修訂有關其他資料主體的個人資訊以及任何機密資訊。

可以使用完整的實體匯出功能來匯出 Dataverse 中的客戶資料。 可以將客戶資料匯出至靜態 Excel 檔案，協助進行資料可攜性要求。 您可以接著使用 Excel，編輯要包含在可攜性要求中的個人資料，並以常用的機器可讀格式 (例如 .csv 或 .xml) 來儲存。 還可以透過 Microsoft Dataverse Web API 匯出記錄。

您可以使用完整的實體匯出功能匯出財務和營運結構中的客戶資料。 資料管理和整合實體允許租用戶管理員使用提供的實體、建立新實體或擴充現有實體，以便透過資料匯入和匯出工作，將可重複的個人資料匯出為 Excel 或許多其他常見格式。 或者，可以將許多清單導出到靜態 Excel 檔，以方便資料可移植性請求。 將客戶資料匯出至 Excel 後，您可以接著編輯要包含在可攜性要求中的個人資料，並將檔案儲存為常用的機器可讀格式，例如 .csv 或 .xml。 您還可以考慮使用人員搜尋報告，為資料主體提供已分類為個人資料的資料。

改正

如果資料主體要求您改正位於組織資料內的個人資料，您和組織就必須判斷接受此要求是否恰當。 改正資料可能包括採取如下的動作：從文件或者其他類型或項目中編輯、校訂或移除個人資料。

Dataverse 為您提供下列方法來更正不準確或不完整的客戶資料，或刪除客戶資料：

• 使用 [探索] 區段中提及的功能來搜尋客戶資料，並直接在 Dataverse 中編輯資料。 可以在單列層級進行編輯，也可以直接修改多列。
• 您可以透過大量編輯多個記錄的方式，使用 Microsoft Office 增益集將資料匯出至 Excel、進行變更，然後將修改後的資料從 Excel 匯入至 Dataverse 中。

對財務和營運結構，您也可以使用自訂工具，但此決定和實作應由您負責。

有關修改商務交易中項目的簡要說明

交易記錄 (例如一般、客戶和稅務分類帳分錄) 對於企業資源規劃 (ERP) 系統的完整性至關重要。 做為財務或其他交易一部分的個人資料依「現況」保留，以遵守金融法律 (例如稅法)、防止欺詐 (例如安全性稽核追蹤) 或遵守產業認證。 因此，Dynamics 365 Project Operations 會限制修改此類記錄中的資料。

限制

資料主體可能會要求您限制處理其個人資料。

收到資料主體限制客戶資料處理方式的要求時，您可以輕鬆地從線上服務擷取受影響的客戶資料，並將其儲存在與任何雲端應用程式所提供之處理功能隔離的不同容器 (內部部署儲存體或具有資料隔離功能的單獨 Web 服務) 中。

删除

透過從組織的客戶資料中移除個人資料來實現的「抹除權利」是 GDPR 中的一項重要保護。 移除個人資料包括系統產生的記錄，但不包括稽核記錄資訊。

當資料主體要求您刪除其客戶資料時，有數種方式可以做到：

• 您可以透過在 Dataverse 中大量編輯多個記錄的方式，使用 Microsoft Office 增益集將資料匯出至 Excel、進行變更，然後將修改後的資料從 Excel 匯入回線上服務中。
• 您可找出要刪除的資料，接著手動刪除包含目標客戶資料的資料元素，以刪除儲存在任何欄位中的客戶資料。 例如，您可以對代表資料主體的連絡人記錄和包含個人資料的其他記錄使用實刪除。

或者，也可以在財務和營運結構上，使用自訂工具來清除/修改客戶資料。

您必須是租用戶管理員才能從租用戶中刪除使用者。

Export

「資料可攜性權利」允許資料主體要求其個人資料的電子格式複本 (亦即「結構化、常用、機器可讀且可互通的格式」)，並可將之傳輸至另一個資料控制器。

為了回應資料可攜性要求，可以使用完整的實體匯出功能來匯出 Dataverse 中的客戶資料。 可以將客戶資料匯出至靜態 Excel 檔案，協助進行資料可攜性要求。 您可以接著使用 Excel，編輯要包含在可攜性要求中的個人資料，並將其另存為常用的機器可讀格式，例如 .csv 或 .xml。

財務和營運結構提供資料管理和整合實體，這些實體啟用提供的實體、新建立的實體或擴充的實體，以便透過資料匯入和匯出工作，將可重複的個人資料匯出為 Excel 或許多其他常見格式。 或者，可以將許多清單導出到靜態 Excel 檔，以方便資料可移植性請求。 以此方式將客戶資料匯出至 Excel 時，您可以接著編輯要包含在可攜性要求中的個人資料，並將檔案另存為常用的機器可讀格式，例如 .csv 或 .xml。

可以使用人員搜尋報告，為資料主體提供已分類為個人資料的資料。

您必須是租用戶管理員，才能從租用戶匯出使用者資料。

第 2 部分：系統產生的記錄

Microsoft 還為您提供存取、匯出和刪除系統產生記錄的功能，而根據 GDPR 對「個人資料」的廣泛定義，可能會將這些記錄視為個人資料。根據 GDPR 可能視為個人資料的系統產生記錄範例包括：

• 產品和服務使用資料，例如使用者活動記錄檔
• 使用者搜尋要求和查詢資料
• 產品和服務所產生的資料，會成為系統功能的產品，並可由使用者或其他系統進行互動

重要

不支援在系統產生的記錄中限制或修正資料的功能。 系統產生記錄中的資料構成 Microsoft Cloud 中所進行的實際動作，而診斷資料以及對此類資料的修改會洩露動作的歷史記錄，並增加欺詐和安全性風險。

針對系統產生的記錄執行 DSR

• Dynamics 365 Project Operations 的系統產生記錄資料主體權利要求程序