Power Automaten rekisteröidyn pyyntöihin vastaaminen GDPR:n mukaisesti

Tämä artikkeli valmistelee sinua ja organisaatiotasi Euroopan unionin yleistä tietosuoja-asetusta (GDPR) varten. Tässä artikkelissa kerrotaan, miten Microsoft valmistautuu GDPR-asetuksen voimaantuloon, ja annetaan esimerkkejä siitä, mitä voit tehdä jo nyt GDPR-asetuksen vaatimusten täyttämisen helpottamiseksi Power Appsia, Power Automatea ja Microsoft Dataverseä käytettäessä.

Edellytykset

Tässä artikkelissa mainittuja toimia voivat suorittaa käyttäjät ja järjestelmänvalvojat.

Käyttäjät

Käyttäjällä on oltava aktiivinen Azure Active Directory -tili, jossa on Power Automate -käyttöoikeus. Käyttäjien, jotka eivät täytä tätä vaatimusta, on pyydettävä järjestelmänvalvojaa suorittamaan nämä toimet.

Järjestelmänvalvojat

Voit suorittaa toimintoja, jotka vaativat järjestelmänvalvojan oikeuksia ja jotka on mainittu tässä artikkelissa, kirjautumalla sisään Power Platform -hallintakeskukseen tai Power Apps -järjestelmänvalvojan PowerShelliin tilillä, jossa on kumpikin seuraavista käyttöoikeuksista:

Hallitsemattomat vuokraajat

Jos olet hallitsemattoman vuokraajan jäsen eli Azure AD -vuokraajalla ei ole yleistä järjestelmänvalvojaa, voit silti viedä ja poistaa henkilökohtaiset tietosi tässä artikkelissa annettujen ohjeiden mukaisesti.

Power Automate -asiakastietoja koskeviin rekisteröidyn pyyntöihin vastaaminen

GDPR-asetus antaa henkilöille (kutsutaan GDPR-asetuksen yhteydessä rekisteröidyiksi henkilöiksi) oikeudet hallita henkilötietoja, jotka on kerännyt työnantaja tai toisenlainen virasto tai organisaatio (kutsutaan rekisterinpitäjäksi). Henkilökohtaiset tiedot määritetään laajasti GDPR:n avulla tiedoiksi, jotka liittyvät tunnistettavaan henkilöön. GDPR antaa rekisteröidyille tietyt oikeudet henkilötietoihinsa. Näitä oikeuksia ovat oikeus tarkistaa henkilötiedot, oikeus pyytää henkilötietojen korjaamista, oikeus rajoittaa henkilötietojen käsittelyä, oikeus pyytää henkilötietojen poistamista ja oikeus vastaanottaa henkilötiedot sähköisessä muodossa, jotta ne voidaan siirtää toiselle rekisterinpitäjälle. Kun rekisteröity henkilö esittää rekisterinpitäjälle virallisen pyynnön henkilötietojaan koskevien toimien toteuttamiseksi, kyse on rekisteröidyn henkilön oikeuksien (DSR) pyynnöstä.

Tässä artikkelissa käsitellään sitä, miten rekisterinpitäjät voivat Microsoftin tuotteiden, palvelujen ja hallintotyökalujen avulla löytää ja käsitellä henkilötietoja DSR-pyyntöihin vastaamiseksi. Tässä artikkelissa kuvataan etenkin sitä, miten voit etsiä, käyttää ja käsitellä Microsoftin pilvipalvelussa olevia henkilötietoja. Alla on lyhyt yleiskuvaus tässä oppaassa käsiteltävistä prosesseista:

  1. Etsi: löydät DSR-pyynnön kohteena olevia asiakastietoja helpommin haku- ja etsintätyökalujen avulla. Kun olet kerännyt mahdollisesti hyödyllisiä asiakirjoja, voit vastata pyyntöön suorittamalla seuraavissa vaiheissa kuvatun yhden tai useamman DSR-toiminnon. Voit myös tulla siihen tulokseen, että pyyntö ei täytä organisaatiosi vaatimuksia rekisteröidyn tietopyyntöön vastaamiselle. Power Automaten rekisteröidyn etsintäpyyntöjen dokumentaatio

  2. Käytä: nouda Microsoftin pilvipalvelussa sijaitsevat henkilötiedot ja kopioi ne pyynnöstä, jotta ne ovat rekisteröidyn henkilön saatavilla.

  3. Oikaise: Tee muutoksia henkilökohtaisiin tietoihin tai implementoi niihin muita pyydettyjä toimintoja.

    Jos rekisteröity henkilö pyytää sinua korjaamaan henkilötietojaan, jotka ovat organisaatiosi hallussa, sinun on määritettävä organisaatiosi kanssa, voidaanko pyyntö täyttää. Tietojen korjaaminen saattaa sisältää esimerkiksi henkilötietojen muokkaamisen, uudelleenkirjoittamisen tai poistamisen.

    Power Automate -käyttäjien tunnistetietoja voidaan hallinta Azure Active Directoryn avulla. Yritysasiakkaat voivat hallita DSR-korjauspyyntöjä, mukaan lukien rajoitetut muokkausominaisuudet, tietyn Microsoft-palvelun luonteen mukaisesti. Microsoft ei tiedonkäsittelijänä tarjoa mahdollisuutta korjata järjestelmän luomia lokeja, koska nämä lokit vaikuttavat todellisiin aktiviteetteihin ja muodostavat tapahtumien historiatietueen Microsoft-palveluissa. Lisätietoja rekisteröityjen pyynnöstä.

  4. Rajoita: Rajoita henkilökohtaisten tietojen käsittelyä poistamalla eri online-palveluiden käyttöoikeuksia tai poistamalla käytöstä haluttuja palveluita, jos se on mahdollista. Voit myös poistaa tietoja Microsoftin pilvestä ja säilyttää tiedot paikallisesti tai jossakin muussa sijainnissa.

    Rekisteröidyt voivat pyytää henkilökohtaisten tietojen käsittelyn rajoittamista. Microsoft tarjoaa sovelluksen ohjelmointirajapintoja ja käyttöliittymiä tätä tarkoitusta varten. Näiden rajapintojen/käyttöliittymien ansiosta yritysasiakkaan vuokraajan järjestelmänvalvoja voi hallita tällaisia DSR-pyyntöjä sekä tietojen viennin että poistamisen avulla. Asiakas voi (1) viedä käyttäjän henkilötietojen sähköisen kopion, mukaan lukien tilin/tilit, järjestelmän luomat lokit ja liitännäiset lokit, ja tämän jälkeen (2) poistaa tilin ja Microsoft-järjestelmässä olevat liitännäiset tiedot.

  5. Poista: poista pysyvästi Microsoftin pilvipalvelussa olevat henkilötiedot. Lue lisää henkilötietojen poistamisesta.

  6. Vie: Anna rekisteröidylle henkilökohtaisten tietojen sähköinen kopio (koneluettavassa muodossa). Tämän artikkelin jokaisessa osiossa mainitaan tekniset menettelyt, joiden avulla rekisterinpitäjänä toimiva organisaatio voi vastata Microsoftin pilvipalvelussa olevia henkilötietoja koskeviin DSR-pyyntöihin. Lue lisää henkilötietojen viemisestä.

Järjestelmän luomat lokit

Tässä oppaassa on lisätietoja järjestelmän muodostamista Power Automaten lokeista.