Odpowiadanie na wnioski podmiotów danych o wgląd w dane klientów przechowywane w usłudze Power Apps

Wprowadzenie do wniosków DSR

Ogólne rozporządzenie o ochronie danych (RODO) wprowadzone w Unii Europejskiej (UE) przyznaje osobom (zwanym osobami, których dane dotyczą, lub w kontekstowym uproszczeniu „podmiotami danych”) prawo do zarządzania ich danymi osobowymi, które zostały zgromadzone przez pracodawcę, urząd lub inną organizację (zwaną administratorem danych lub po prostu administratorem). Dane osobowe są w RODO definiowane bardzo szeroko jako wszelkie dane odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. RODO przyznaje podmiotom danych następujące prawa w zakresie ich własnych danych osobowych:

  • Uzyskiwanie kopii
  • Wnioskowanie o sprostowanie
  • Ograniczenie przetwarzania
  • Usunięcie danych („bycie zapomnianym”)
  • Otrzymanie w formacie elektronicznym, aby można je było przenieść do innego administratora

Formalna prośba podmiotu danych skierowana do administratora o wykonanie czynność na jego danych osobowych jest nazywana wnioskiem podmiotu danych (DSR).

W tym artykule opisano, jak Microsoft przygotowuje się na RODO, oraz zawarto przykłady czynności, jakie można wykonać w celu zapewnienia zgodności z RODO podczas korzystania z produktów Power Apps, Power Automate i Common Data Service. Dowiesz się, jak korzystać z produktów, usług i narzędzi administracyjnych Microsoft, aby pomagać administratorom u klientów w znajdowaniu, uzyskiwaniu dostępu i wykonywaniu czynności na danych osobowych znajdujących się w chmurze Microsoft w odpowiedzi na wnioski DSR.

W tym artykule omówiono następujące czynności:

  • Odnajdowanie — Użyj narzędzi wyszukiwania i odkrywania, aby łatwiej znajdować dane klientów mogące być przedmiotem wniosku DSR. Po zebraniu dokumentów potencjalnie objętych zakresem wniosku można wykonać jedną lub więcej poniższych czynności DSR, aby odpowiedzieć na wniosek. Alternatywnie użytkownik może uznać, że wniosek nie spełnia firmowych wytycznych w zakresie odpowiadania na wnioski DSR.

  • Dostęp — Pobieranie danych osobowych, które znajdują się w chmurze Microsoft, oraz na żądanie udostępnienie kopii tych danych osobie, której dane dotyczą.

  • Sprostowanie — Wprowadzenie zmian lub wykonanie innych wnioskowanych czynności względem danych osobowych, jeżeli jest to uzasadnione.

  • Ograniczenie — Ograniczenie przetwarzania danych osobowych poprzez usunięcie licencji na różne usługi online lub wyłączenie żądanych usług, gdy jest to możliwe. Można również usunąć dane z chmury Microsoft, a zachować je lokalnie lub w innej lokalizacji.

  • Usunięcie — Trwale wykasowanie danych osobowych znajdujących się w chmurze Microsoft.

  • Eksport — Przekazanie elektronicznego egzemplarza (w formacie czytelnym dla komputera) danych osobowych osobie, której dane dotyczą.

Wykrywanie

Pierwszym krokiem w odpowiedzi na żądanie DSR jest znalezienie danych osobowych, które są przedmiotem żądania. Ten pierwszy krok—polega na sprawdzeniu i przejrzeniu danychosobowych—, które będą pomocne w określeniu, czy żądanie DSR spełnia wymagania organizacji dotyczące honorowania lub odrzucania prośby DSR. Na przykład po znalezieniu i przejrzeniu danych osobowych objętych żądaniem można stwierdzić, że żądanie nie spełnia wymagań organizacji, ponieważ może to niekorzystnie wpłynąć na prawa i wolności innych.

Krok 1: Znajdź dane osobowe dla użytkownika w Power Apps

Poniżej zaprezentowano zestawienie typów zasobów Power Apps, które zawierają dane osobowe dla konkretnego użytkownika.

Zasoby zawierające dane osobowe Cel
Środowisko Środowisko to przestrzeń do przechowywania i udostępniania danych biznesowych, aplikacji i przepływów organizacji oraz zarządzania nimi. Dowiedz się więcej
Uprawnienia w środowisku Użytkownicy są przydzieleni do ról środowisk, aby przyznać uprawnienia do tworzenia i administrowania w środowisku. Dowiedz się więcej
Aplikacja kanwy Aplikacje biznesowe działajace między różnymi platformami, które mogą zostać utworzone z poziomu pustej kanwy i połączone z ponad 200 źródłami danych. Dowiedz się więcej
Uprawnienia aplikacji kanwy Aplikacje kanwy mogą być współużytkowane przez użytkowników w organizacji. Dowiedz się więcej
Connection Używane przez łączniki i umożliwiające podłączanie do interfejsów API, systemów, baz danych itp. Dowiedz się więcej
Uprawnienia połączeń Niektóre typy połączeń mogą być współużytkowane z użytkownikami w ramach organizacji. Dowiedz się więcej
Łącznik niestandardowy Własne łączniki utworzone przez użytkownika w celu uzyskania dostępu do źródła danych nie są dostępne za pośrednictwem jednego z standardowych łączników Power Apps. Dowiedz się więcej
Uprawnienia łączników niestandardowych Niestandardowe łączniki mogą być współużytkowane przez użytkowników w organizacji. Dowiedz się więcej
Ustawienia użytkownika Power Apps i użytkownika aplikacji Power Apps zawiera szereg preferencji użytkownika i ustawień używanych do dostarczania środowiska uruchomieniowego i portalu Power Apps.
Powiadomienia Power Apps Power Apps wysyła do użytkowników kilka typów powiadomień, w tym, kiedy aplikacja jest udostępniona z nimi i kiedy operacja eksportowania Common Data Service została zakończona.
Brama Bramy to lokalne bramy danych, które mogą zostać zainstalowane przez użytkownika w celu szybkiego i bezpiecznego przesyłania danych między Power Apps a źródłem danych, które nie jest w chmurze. Dowiedz się więcej
Uprawnienia bramy Bramy mogą być współużytkowane przez użytkowników w organizacji. Dowiedz się więcej
Aplikacje oparte na modelach i uprawnienia aplikacji opartych na modelach Projekt aplikacji opartej na modelu to skoncentrowane na składniku podejście do projektowania aplikacji. Aplikacje oparte na modelach oraz ich uprawnienia dostępu użytkowników są przechowywane jako dane w bazie danych Common Data Service. Dowiedz się więcej

Power Apps zawiera następujące funkcje umożliwiające znalezienie danych osobowych dla określonego użytkownika:

Aby zapoznać się ze szczegółowymi krokami dotyczącymi korzystania z tych funkcji, aby znaleźć dane osobowe dla konkretnego użytkownika dla każdego z tych typów zasobów, zobacz Odpowiadanie na wnioski podmiotów danych o wgląd w dane klientów przechowywane w usłudze Power Apps.

Po znalezieniu danych można wykonać określoną akcję, aby spełnić żądanie podmiotu danych.

Krok 2: Znajdź dane osobowe dla użytkownika w Power Automate

Licencje Power Apps są zawsze dołączone do funkcji Power Automate. Oprócz włączenia do licencji Power Apps, Power Automate jest także dostępna jako Usługa autonomiczna.

Aby zapoznać się z instrukcjami dotyczącymi odnajdowania danych osobowych przechowywanych w usłudze Power Automate, zobacz temat Odpowiadanie na wnioski podmiotów danych dotyczących RODO w usłudze Power Automate.

Ważne

Zaleca się, aby administratorzy wykonali ten krok dla użytkownika Power Apps

Krok 3: Znajdź dane osobowe dla użytkownika w środowisku Common Data Service

Niektóre licencje Power Apps, w tym plan wspólnotowy Power Apps, umożliwiają użytkownikom w organizacji tworzenie środowisk Common Data Serviceoraz tworzenie i konstruowanie aplikacji w Common Data Service Plan wspólnotowy Power Apps jest bezpłatną licencją, która umożliwia użytkownikom wypróbowanie Common Data Service w poszczególnych środowiskach. Zobacz stronę Kalkulacja cen Power Apps, której możliwości są zawarte w poszczególnych licencjach Power Apps.

Aby zapoznać się z instrukcjami dotyczącymi odnajdowania danych osobowych przechowywanych w usłudze Common Data Service, zobacz temat Odpowiadanie na wnioski podmiotów danych o wgląd w dane (DSR) klientów przechowywane w usłudze Common Data Service.

Ważne

Zaleca się, aby administratorzy wykonali ten krok dla użytkownika Power Apps.

Czyść

Jeśli podmiot danych składa wniosek o skorygowanie danych osobowych posiadanych przez organizację, organizacja musi określić, czy jest to zasadne żądanie. Sprostowanie danych może obejmować zmodyfikowanie, przeredagowanie lub usunięcie danych osobowych z dokumentu lub innego typu elementu.

Można używać usługi Azure Active Directory do zarządzania tożsamościami (danymi osobowymi) użytkowników w usłudze Power Apps. Klienci korporacyjni mogą zarządzać wnioskami DSR o sprostowanie danych za pomocą ograniczonych funkcji edycji dostępnych w wykorzystywanej usłudze firmy Microsoft. Jako podmiot przetwarzający dane firma Microsoft nie oferuje możliwości poprawiania dzienników generowanych przez system, ponieważ odzwierciedlają one rzeczywiste działania i stanowią historyczny rekord zdarzeń w usługach firmy Microsoft. Aby uzyskać szczegółowe informacje, zobacz RODO: Wnioski osób, których dane dotyczą (DSR).

Ogranicz

Właściciele danych mogą wnioskować o ograniczenie przetwarzanie swoich danych osobowych. Udostępniamy zarówno istniejące interfejsy API (Application Programming Interface), jak i interfejsy użytkownika (UI). Te funkcje umożliwiają administratorowi usługi Power Platform klienta korporacyjnego zarządzanie takimi żądaniami (DRS) za pośrednictwem kombinacji eksportu i usuwania danych. Klient może zażądać:

  • Eksportowanie elektronicznej kopii danych osobowych użytkownika, w tym:

    • konta(kont)
    • dzienników generowanych przez system
    • skojarzonych dzienników
  • Usuń klienta i związane z nim dane znajdujące się w systemach Microsoft.

Eksport

„Prawo do przenoszenia danych osobowych” pozwala podmiotowi danych składać wniosek o kopię swoich danych osobowych w formacie elektronicznym (określonym jako „ustrukturyzowany, powszechnie używany, możliwy do odczytu maszynowego i interoperacyjny format”), który może być przekazywany innemu kontrolerowi danych.

Zobacz Odpowiadanie na wnioski podmiotów danych o eksport danych klientów przechowywanych w usłudze Power Apps, aby uzyskać więcej szczegółów.

Usuń

„Prawo do usuwania” danych osobowych z danych klienta organizacji jest kluczową metodą ochrony w ogólnym rozporządzeniu o ochronie danych (RODO). Usuwanie danych osobowych zawiera dzienniki generowane w systemie, ale nie zawiera informacji dziennika inspekcji.

Power Apps zezwala użytkownikom na tworzenie aplikacji biznesowych, które stanowią kluczowy element operacji codziennej pracy w organizacji. Kiedy użytkownik opuści organizację, konieczne będzie ręczne przejrzenie i określenie, czy należy usunąć niektóre dane i zasoby, które zostały utworzone. Inne dane klientów będą automatycznie usuwane za każdym razem, gdy konto użytkownika zostanie usunięte z Azure Active Directory.

Zobacz Odpowiadanie na wnioski podmiotów danych o usunięcie danych klientów przechowywanych w usłudze Power Apps, aby uzyskać więcej szczegółów.