Reagowanie na żądania praw podmiotów danych RODO

W tym artykule opisano obowiązujące w Unii Europejskiej Ogólne rozporządzenie o ochronie danych (RODO) oraz przedstawiono kroki, jakie należy wykonać w celu zapewnienia zgodności z przepisami RODO dla użytkowników usługi Power Automate, którzy uwierzytelniają się za pomocą konta Microsoft (MSA).

Wymagania wstępne

Aby wykonać czynności opisane w tym artykule, musisz mieć konto MSA z bezpłatną licencją usługi Power Automate.

Porada

Informacje o zgodności z przepisami RODO są również dostępne dla użytkowników, którzy uwierzytelniają się za pomocą kont usługi Azure Active Directory.

Reaguj na żądania osób, których dotyczą dane w Power Automate

Formalne żądanie podmiotu danych skierowane do kontrolera i dotyczące podjęcia akcji związanej z jego danymi nosi nazwę żądania praw podmiotu danych (DSR, Data Subject Rights). Dane osobowe są zdefiniowane w rozporządzeniu RODO jako wszystkie dane powiązane ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną. Rozporządzenie RODO nadaje osobom (określanym jako podmioty danych) prawa do zarządzania danymi osobowymi zebranymi przez pracodawcę, agencję lub organizację (określanymi jako kontroler danych lub kontroler). Prawa te obejmują:

  • Uzyskiwanie kopii danych osobowych.
  • Żądanie poprawek do danych osobowych.
  • Ograniczanie przetwarzania danych osobowych.
  • Usuwanie danych osobowych.
  • Otrzymywanie danych osobowych w formie elektronicznej w celu przenoszenia ich do innego kontrolera.

Firma Microsoft udostępnia produkty, usługi i narzędzia, które ułatwiają kontrolerom wyszukiwanie danych osobowych i wykonywanie związanych z nimi akcji w przypadku reagowania na żądania praw podmiotów danych przechowywanych w chmurze.

Oto omówienie procesów przedstawionych w tym przewodniku:

  1. Odnajdowanie: używanie narzędzi do wyszukiwania i odnajdywania w celu łatwego znajdowania danych klienta, które mogą być przedmiotem żądania praw podmiotu danych. Jeśli stwierdzisz, że dokumenty, które zbierasz, spełniają wytyczne kontrolera wymagające podjęcia akcji, możesz wykonać co najmniej jedną z akcji praw podmiotów danych opisanych w poniższych krokach. Dowiedz się więcej z dokumentacji wykrywania praw podmiotów danych usługi Power Automate w przypadku kont Microsoft. Alternatywnie możesz stwierdzić, że żądanie nie spełnia wytycznych kontrolera dotyczących reagowania na żądania praw podmiotów danych.

  2. Uzyskiwanie dostępu: pobieranie danych osobowych, które znajdują się w chmurze firmy Microsoft, i jeśli tego zażądano, wykonywanie kopii do udostępnienia osobie, której dane dotyczą.

  3. Korygowanie: wprowadzanie zmian lub implementowanie innych żądanych akcji związanych z danymi osobowymi, jeśli mają zastosowanie.

  4. Ograniczanie: ograniczanie przetwarzania danych osobowych przez usunięcie licencji różnych usług online albo wyłączenie żądanych usług, jeśli jest to możliwe. Można również usunąć dane z chmury firmy Microsoft i przechowywać je lokalnie lub w innej lokalizacji.

  5. Usuwanie: trwałe usuwanie danych osobowych, które znajdują się w chmurze firmy Microsoft. Dowiedz się więcej o usuwaniu danych osobowych w przypadku kont Microsoft. Dowiedz się więcej o zamykaniu konta Microsoft.

  6. Eksportowanie: udostępnianie elektronicznej kopii danych osobowych (w formacie możliwym do odczytu maszynowego). Dowiedz się więcej na temat eksportowania danych osobowych w przypadku kont Microsoft.