回應 Power Apps 客戶資料的資料主體權利 (DSR) 要求

DSR 要求簡介

歐盟 (EU) 一般資料保護規定 (GDPR) 提供人員 (規章中稱為 資料主體) 權利管理已由雇主或其他類型的機構或組織收集的個人資料 (稱為 資料控制器 或只是 控制器)。 個人資料在 GDPR 中非常廣泛地定義為與被識別或可識別自然人相關的任何資訊。 GDPR 授與資料主體執行下列動作的權利,因為這些動作與個人資料有關:

  • 取得副本
  • 要求更正
  • 限制處理
  • 刪除它
  • 以電子格式接收,使其可移至另一個控制站

資料主體對控制站提出對其個人資料執行動作的正式要求,稱為資料主體權利 (DSR) 要求。

本文描述 Microsoft 如何準備進行 GDPR,也提供當使用 Power Apps、Power Automate 和 Microsoft Dataverse 時您可以用來支援 GDPR 合規性的步驟範例。 您將瞭解如何使用 Microsoft 產品、服務及管理工具,協助控制站客戶尋找、存取和處理 Microsoft 雲端的個人資料,以回應 DSR 要求。

本文涵蓋以下動作:

  • 探索—使用搜尋和探索工具更輕鬆地尋找可能是 DSR 要求主體的客戶資料。 收集到可能的回應性文件後,您可以執行下列一或多個 DSR 動作來回應要求。 或者,也可以判斷此要求不符合組織對於回應 DSR 要求的指導方針。

  • 存取—擷取位於 Microsoft 雲端的個人資料,並在有要求時,提供一份資料複本給該資料主體。

  • 改正—在適合的狀況下,對個人資料進行變更或實作要求的動作。

  • 限制—透過移除各種線上服務的授權,或關閉所需的裝置 (若可能的話),以限制處理個人資料。 您也可以將資料從 Microsoft 雲端移除,並將資料保留在內部部署或另一個位置。

  • 刪除—永久移除位於 Microsoft 雲端中的個人資料。

  • 匯出—將個人資料的電子複本 (機器可讀的格式) 提供給資料主體。

探索

回應 DSR 要求的第一個步驟是尋找屬於要求主體的個人資料。 第一個步驟—尋找並審核有爭議的個人資料—這可協助您判斷 DSR 要求是否符合組織對於兌現或拒絕 DSR 要求的需求。 例如,在尋找和審核有爭議的個人資料之後,您可能判斷要求不符合您組織的需求,因為這可能會對其他人的權利和自由造成負面影響。

步驟 1:在 Power Apps 中尋找使用者的個人資料

以下是包含特定使用者個人資料之 Power Apps 資源類型的摘要。

包含個人資料的資源 目的
環境 環境是儲存、管理和共用組織商務資料、應用程式及流程的空間。 深入了解
環境權限 使用者會被指派至環境角色,以在環境中授與建立者和系統管理權限。 深入了解
畫布應用程式 可透過功能強大的空白畫布建構的跨平台商務應用程式,並可連接至超過 200 個資料來源。 深入了解
畫布應用程式權限 畫布應用程式可以共用給組織中的使用者。 深入了解
Connection 由連接器使用,並允許連接至 API、系統、資料庫等。 深入了解
連接權限 某些類型的連接可以與組織中的使用者共用。 深入了解
自訂連接器 使用者所建立的自訂連接器,用以提供對於不是透過其中一個 Power Apps 標準連接器提供之資料來源的存取權。 深入了解
自訂連接器權限 自訂連接器可以共用給組織中的使用者。 深入了解
Power Apps 使用者和使用者應用程式設定 Power Apps 會儲存數個使用者喜好設定和設定,用來傳送 Power Apps 執行階段和入口網站體驗。
Power Apps 通知 Power Apps 可傳送數種通知給使用者,包括有應用程式提供共用以及 Dataverse 匯出作業完成。
閘道 閘道是內部部署資料閘道,可由使用者安裝,以快速且安全地在 Power Apps 和不在雲端的資料來源之間傳輸資料。 深入了解
閘道權限 閘道可以共用給組織中的使用者。 深入了解
模型導向應用程式和模型導向應用程式權限 模型導向應用程式設計是以元件為主的應用程式開發方法。 模型導向應用程式及其使用者存取權限會儲存為 Dataverse 資料庫中的資料。 深入了解

Power Apps 提供下列體驗來尋找特定使用者的個人資料:

如需如何使用這些體驗來針對上述每種資源類型尋找特定使用者之個人資料的詳細步驟,請參閱回應資料主體權利 (DSR) 匯出 Power Apps 客戶資料的要求

找到資料之後,您可以執行特定的動作,來滿足資料主體的要求。

步驟 2:在 Power Automate 中尋找使用者的個人資料

Power Apps 授權始終包括 Power Automate 功能。 除了隨附於 Power Apps 授權之外,Power Automate 也可做為獨立服務。

如需如何探索 Power Automate 服務儲存之個人資料的指導,請參閱回應 Power Automate 的 GDPR 資料主體要求

重要

建議系統管理員為 Power Apps 使用者完成此步驟

步驟 3:在 Dataverse 環境中尋找使用者的個人資料

某些 Power Apps授權 (包括 Power Apps 開發人員方案) 讓組織內的使用者能建立 Dataverse 環境,和在 Dataverse 上建立和組建應用程式。 Power Apps 開發人員方案是免費授權,可讓使用者在個別環境中試用 Dataverse。 請參閱 Power Apps 價格頁面,其功能隨附於每個 Power Apps 授權中。

如需如何探索 Dataverse 服務儲存之個人資料的指導,請參閱回應資料主體權利 (DSR) 對 Dataverse 中客戶資料的要求

重要

建議系統管理員為 Power Apps 使用者完成此步驟。

改正

如果資料主體要求您改正存在於您組織資料中的個人資料,您和您的組織就必須判斷是否適合接受該要求。 改正資料可能包括對個人資料進行編輯、纂輯或自文件或其他類型項目中移除。

您可以使用 Azure Active Directory 在 Power Apps 內管理您使用者的身分識別 (個人資料)。 企業客戶可以使用給定 Microsoft 服務中有限的編輯功能來管理 DSR 改正要求。 身為資料處理者,Microsoft 無法提供更正系統所產生日誌的能力,因為這些日誌會反映實際活動,並在 Microsoft 服務中構成事件的歷史記錄。 請參閱 GDPR:資料主體要求 (DSR) 以取得詳細資料。

限制

資料主體可能要求您限制處理其個人資料。 我們提供預先存在的應用程式開發介面 (API) 和使用者介面 (UI)。 這些體驗可以讓企業客戶的 Power Platform 系統管理員透過資料匯出和刪除資料的組合來管理這類 DSR。 客戶可能要求:

  • 匯出使用者個人資料的電子複本,包括:

    • 帳戶
    • 系統產生的日誌
    • 相關記錄
  • 刪除存在於 Microsoft 系統中的帳戶和相關資料。

匯出

「資料可攜權」讓資料主體可要求其個人資料的電子格式 (亦即「結構化、通用、機器可讀取及可互通的格式」) 複本,以便傳送至另一個資料控制器。

請參閱回應資料主體權利 (DSR) 匯出 Power Apps 客戶資料的要求以取得詳細資料。

刪除

從組織的客戶資料移除個人資料的「擦除權利」是 GDPR 中的一項重要保護。 移除個人資料包括系統產生的日誌,但不包括稽核記錄資訊。

Power Apps 允許使用者建立企業營運系統應用程式,這是組織日常作業的重要組成部分。 當使用者離開您的組織時,您需要手動審查並判斷是否要刪除使用者所建立的某些資料和資源。 只要從 Azure Active Directory 中刪除使用者的帳戶,就會自動刪除其他客戶資料。

請參閱回應資料主體權利 (DSR) 刪除 Power Apps 客戶資料的要求以取得詳細資料。