回應 Power Pages 客戶資料的資料主體權利 (DSR) 要求
歐盟 (EU) 一般資料保護規定 (GDPR) 提供與個人資料相關的重要權利。 在一般資料保護規定摘要中了解更多有關 GDPR 的資訊。 此資源包括概述、關鍵術語、行動計劃和準備清單,可協助您在使用 Microsoft 產品和服務時履行 GDPR 規定的義務。
進一步了解 GDPR,以及 Microsoft 協助支援此規定的情形與受其影響的客戶。
Microsoft 信任中心提供對 GDPR 問責有幫助的一般資訊、合規性最佳做法和文件,例如資料保護影響評定、資料主體要求和資料外洩通知。
服務信任入口網站提供有關 Microsoft 服務如何協助支援 GDPR 的資訊。
本文提供了您在使用 Power Pages 時,可以採取的支持隱私合規性的步驟範例。 您將了解如何使用 Microsoft 產品、服務及管理工具,協助控制站客戶尋找、存取和處理 Microsoft 雲端的個人資料,以回應 DSR 要求。
本文涵蓋以下動作:
| 動作 | Description |
|---|---|
| 探索 | 使用搜尋和探索工具更輕鬆地尋找可能是 DSR 要求主體的客戶資料。 收集到可能的回應性文件後,您可以執行下列一或多個 DSR 動作來回應要求。 或者,您可能會判斷此要求不符合組織對於回應 DSR 要求的指導方針。 |
| 存取權限 | 擷取位於 Microsoft 雲端的個人資料,並在有要求時,提供一份資料複本給該資料主體。 |
| 改正 | 在適用情況下,對個人資料進行變更或實作要求的動作。 |
| 限制 | 移除各種線上服務的授權,或關閉所需的裝置 (若有可能),以限制處理個人資料。 您也可以將資料從 Microsoft 雲端移除,並將資料保留在內部部署或另一個位置。 |
| 删除 | 永久移除位於 Microsoft 雲端中的個人資料。 |
| Export | 將個人資料的電子複本 (使用電腦可讀取的格式) 提供給資料主體。 |
探索
回應 DSR 要求的第一個步驟是尋找屬於要求主體的個人資料。 您需要先確定發出請求的使用者類型。
尋找並審核有爭議的個人資料步驟,可協助您判斷 DSR 要求是否符合組織對於兌現或拒絕 DSR 要求的需求。 例如,在審核有爭議的個人資料之後,您可能判斷要求不符合您組織的需求,因為這可能會對其他人的權利和自由造成負面影響。
步驟 1:識別為其請求資料的使用者類型
Power Pages 有兩種類型的使用者存取其服務:
| 使用者的類型 | 用於存取 Power Pages 服務的介面 |
|---|---|
| 製作者/管理員 | Power Pages 製作者工作室、Power Platform Admin Center、Power Pages Portal Management App、Power Pages Management App、Power Pages VS Code Extensions、Power Pages Admin API、Dataverse API |
| 網站使用者/訪客 | 使用 Power Pages 服務託管的網站 |
步驟 2:在 Power Pages 中尋找使用者的個人資料
一旦識別出使用者類型,請檢查包含特定使用者類型個人資料的 Power Pages 資源類型:
製作者/管理員
| 包含個人資料的資源 | 目標 |
|---|---|
| 系統產生的遙測記錄 | 擷取服務中的歷史事件的記錄。 |
| Environment | 環境是儲存、管理和共用組織商務資料、應用程式及流程的空間。 深入了解 Power Platform 環境概觀。 |
| Power Pages 決策者/管理設定設定 | Power Pages 會儲存數個使用者喜好設定和設定,用來傳送 Maker Portal 和管理入口網站體驗。 |
User
| 包含個人資料的資源 | 目標 |
|---|---|
| 系統產生的遙測記錄 | 擷取服務中的歷史事件的記錄。 |
| Environment | 環境是儲存、管理和共用組織商務資料、應用程式及流程的空間。 深入了解 Power Platform 環境概觀。 |
如需如何使用這些體驗來針對上述每種資源類型尋找特定使用者之個人資料的詳細步驟,請參閱回應資料主體權利 (DSR) 匯出 Power Pages 客戶資料的要求。
找到資料之後,您可以執行特定的動作,來滿足資料主體的要求。
改正
如果資料主體要求您改正存在於您組織資料中的個人資料,您和您的組織就必須判斷是否適合接受該要求。 改正資料可能包括對個人資料進行編輯、纂輯或自文件或其他類型項目中移除。
您可以使用 Microsoft Entra 在 Power Apps 內管理您使用者的身分識別 (個人資料)。 企業客戶可以使用給定 Microsoft 服務中有限的編輯功能來管理 DSR 改正要求。 身為資料處理者,Microsoft 無法提供更正系統所產生記錄的能力,因為這些記錄會反映實際活動,並在 Microsoft 服務中構成事件的歷史記錄。
限制
資料主體可能會要求您限制處理其個人資料。 Microsoft 提供了預先存在的應用程式開發介面 (API) 和使用者介面 (UI)。 這些體驗可以讓企業客戶的 Power Platform 系統管理員透過資料匯出和刪除資料的組合來管理這類 DSR。 客戶可能要求:
- 匯出使用者個人資料的電子複本,包括:
- 客戶
- 系統產生的記錄
- 相關記錄
- 刪除存在於 Microsoft 系統中的帳戶和相關資料。
匯出
「資料可攜權」讓資料主體可要求其個人資料的電子格式 (「結構化、通用、機器可讀取及可互通的格式」) 複本,以便傳送至另一個資料控制器。
深入了解回應資料主體權利 (DSR) 匯出 Power Pages 客戶資料的要求。
删除
從組織的客戶資料中刪除個人資料的「刪除權」是一項關鍵的隱私權保護手段。 移除個人資料包括系統產生的記錄,但不包括稽核記錄資訊。
Power Apps 允許使用者建立企業營運系統應用程式,這是組織日常作業的重要組成部分。 當使用者離開您的組織時,您需要手動審查並判斷是否要刪除使用者所建立的某些資料和資源。 只要從 Microsoft Entra 識別碼中刪除使用者的帳戶,就會自動刪除其他客戶資料。