Запросы субъектов данных, GDPR и CCPA

Общий регламент по защите данных (GDPR) вводит новые правила для организаций, предоставляющих товары и услуги жителям Европейского союза (ЕС) или занимающихся сбором и анализом данных резидентов ЕС, независимо от того, где находитесь вы или ваше предприятие. Дополнительные сведения можно найти в разделе Сводка по GDPR.

В законе Калифорнии о конфиденциальности данных (CCPA) также указаны права и обязательства для потребителей в Калифорнии, включая права, схожие с правами субъектов данных GDPR, такие как право на удаление, доступ и получение (возможность переноса) личных сведений. CCPA также предусматривает определенное раскрытие информации, защиту от дискриминации при избрании прав на осуществление и требования «отказаться / подписаться» для определенных передач данных, классифицированных как «продажи». В этом документе вы сможете получить сведения о запросах субъектов данных (DSR), определенных в GDPR и CCPA, с помощью продуктов и служб Майкрософт.

Терминология

Полезные определения терминов GDPR, используемых в этом документе:

  • Управляющий данными (управляющий) — юридическое лицо, орган государственной власти, агентство или другое лицо, которое отдельно от других или вместе с ними определяет цели и средства обработки персональных данных.
  • Персональные данные и субъект данных — все сведения, относящиеся к определенному или определяемому физическому лицу ("субъект данных"). Определяемым физическим лицом считается лицо, которого можно прямо или косвенно определить.
  • Обработчик — физическое или юридическое лицо, орган государственной власти, агентство или другое лицо, которое обрабатывает персональные данные от лица управляющего.
  • Данные клиента — это данные, которые создаются и хранятся в ходе повседневной работы компании.

Что такое Запросы субъектов данных (DSR)?

Общий регламент по защите данных (GDPR) предоставляет пользователям (называемым в регламенте субъектами данных) права по управлению персональными данными, которые были собраны работодателем или другой службой или организацией (называемыми управляющим данными или просто управляющим). GDPR предоставляет субъектам данных определенные права на их персональные данные, в том числе следующие: получение их копий, запрос на внесение в них исправлений, ограничение возможностей их обработки, удаление или получение данных в электронном виде для передачи другому управляющему.

В законе Калифорнии о конфиденциальности данных (CCPA) указаны права и обязанности для потребителей в Калифорнии, включая права, схожие с правами субъектов данных GDPR, такие как право на удаление, доступ и получение (возможность переноса) личных сведений.

В качестве управляющего вы обязаны незамедлительно учитывать каждый запрос DSR и предоставлять содержательный ответ, выполнив запрошенное действие или объяснив, почему этот запрос DSR не может быть реализован управляющим. Управляющий должен проконсультироваться со своими советниками по правовым или нормативным вопросам в отношении надлежащего обращения с любыми конкретными DSR.

Для выполнения DSR может потребоваться несколько процессов в соответствии с правилами соответствия требованиям GDPR в вашей организации.

  • Обнаружение. Процесс определения данных, необходимых для выполнения DSR.
  • Доступ. Извлечение и потенциальная возможность передачи данных в субъект данных обнаруженной информации.
  • Уточнение. Реализация изменений или других запрошенных изменений персональных данных.
  • Ограничение Изменение доступа или обработка персональных данных путем ограничения доступа или удаления данных из облака Microsoft.
  • Экспорт Создание "структурированного, часто используемого, удобного для машинного считывания формата" персональных данных для субъекта данных, предоставленных в рамках "права на перенос данных" GDPR.
  • удаление. Окончательное удаление персональных данных из облака Microsoft.

Специальные аспекты, связанные с DSR

Аналитические сведения, создаваемые в рамках продуктов и служб Майкрософт

Аналитические сведения могут создаваться службами (MyAnalytics и т. д.). В состав Office 365 входят веб-службы, которые предоставляют аналитические сведения пользователям и организациям, которые их используют. Данные, сгенерированные этими службами, могут создавать личные данные, относящиеся к DSR. Следуйте по ссылке в списке ниже, чтобы получить сведения в отношении процессов DSR, связанных со службами.

DSR для журналов, создаваемых системой

В журналах и связанных данных, создаваемых Майкрософт, могут храниться данные, которые были признаны персональными согласно определению "персональных данных" GDPR. Запрет доступа к данным или их уточнение в системных журналах не поддерживается. Данные в системных журналах основаны на фактических действиях в облаке Майкрософт и диагностических данных. Изменение таких данных приведет к нарушению архивных записей о действиях и увеличит риски мошенничества и угроз безопасности. Майкрософт предоставляет возможность доступа, экспорта и удаления журналов, созданных системой, которые могут потребоваться для выполнения DSR. Примерами таких данных могут быть:

  • Данные об использовании продуктов и служб, например журналы о действиях пользователей
  • Данные запросов и поисковых запросов пользователей
  • Данные, созданные продуктами и службами на основе сведений о работе системы и взаимодействии с пользователями и другими системами.

Yammer и Kaizala

Удаление учетной записи пользователя не приведет к удалению системных журналов для Yammer и Kaizala. Чтобы удалить данные из этих приложений, ознакомьтесь с одним из следующих ресурсов.

Национальные облака

В некоторых национальных облаках глобальному ИТ-администратору нужно удалить журналы, созданные системой.

Службы корпорации Майкрософт

Если ваша организация или пользователи имеют договоренность с Майкрософт на получение поддержки, связанной с продуктами и службами Майкрософт, некоторые из этих данных могут содержать персональные данные. Дополнительные сведения см. в статье Запросы субъектов данных о предоставлении поддержки и профессиональных услуг Майкрософт, определенные в GDPR.

Продукты Майкрософт для управляющих

В некоторых случаях пользователи вашей организации могут получить доступ к продуктам или службам Майкрософт, для которых корпорация Майкрософт является управляющим данными. В таких случаях пользователям потребуется инициировать свои DSR непосредственно в Майкрософт, и Майкрософт будет направлять запросы непосредственно пользователю.

Сторонние продукты

Для сторонних продуктов и служб, доступ к которым получен через проверку подлинности учетной записи Майкрософт, любые запросы субъектов данных следует направлять применимой третьей стороне.

Средства администрирования запросов субъектов данных

Дополнительные сведения