回應 Power Automate 的 GDPR 資料主體要求

本文將協助您與您的組織做好遵循歐盟的「一般資料保護規定」(GDPR) 的準備。 本文不僅描述 Microsoft 為 GDPR 所做的準備,也會分享您現在即可採取的步驟範例,以便在使用 Power Apps、Power Automate 和 Microsoft Dataverse 時支援 GDPR 合規性。

先決條件

使用者和系統管理員可以執行本文所述的動作。

使用者

使用者必須使用具有 Power Automate 授權的有效 Azure Active Directory 帳戶。 未符合此需求的使用者,必須請求系統管理員執行這些動作。

系統管理員

如果您使用具有這兩個權限的帳戶登入 Power Platform 系統管理中心Power Apps 系統管理 PowerShell,即可執行本文中所述需要系統管理權限的作業:

非受控租用戶

如果您是非受控租用戶的成員,這表示您的 Azure AD 租用戶沒有全域管理員,仍然可以依照本文所述的步驟匯出和移除您自己的個人資料。

回應 Power Automate 客戶資料的 DSR

GDPR 賦予人員 (在 GDPR 中稱為資料主體) 管理由雇主或其他類型單位或組織 (稱為資料控制者,或簡稱控制者) 所收集個人資料的權利。 個人資料在 GDPR 中非常廣泛地定義為與被識別或可識別自然人相關的任何資訊。 GDPR 為資料主體提供其個人資料的特定權限;這些權限包括取得個人資料複本、要求對該資料的修正、限制對該資料的處理、刪除該資料,或是以電子格式接收該資料以移送至其他控制者。 由資料主體向控制者提出以對其個人資料採取行動的正式要求,稱為資料主體權限 (DSR) 要求。

本文討論如何使用 Microsoft 產品、服務和系統管理工具,以協助控制者在回應 DSR 時尋找及處理個人資料。 具體而言,本文內容說明如何尋找、存取和處理位於 Microsoft 雲端的個人資料。 以下是本指南中所述程序的快速概觀:

  1. 探索:使用搜尋及探索工具更輕鬆地找出可能是 DSR 主體的客戶資料。 一旦收集到可能的回應文件之後,您就能執行下列步驟所述的一或多個 DSR 動作來回應要求。 或者,您可能判定該要求不符合組織回應 DSR 的方針。 Power Automate DSR 探索文件

  2. 存取:擷取位於 Microsoft 雲端的個人資料,並根據要求來建立複本以供資料主體使用。

  3. 改正:在適用情況下,對個人資料進行變更或實作要求的動作。

    如果資料主體要求您修正位於您組織中的個人資料,您和您組織必須判斷是否應該接受該要求。 改正資料可能包括編輯、校訂或移除個人資料等動作。

    您可以使用 Azure Active Directory 來管理 Power Automate 使用者的身分識別。 企業客戶可以根據指定 Microsoft 服務的特質來管理 DSR 修正要求 (包括有限的編輯功能)。 身為資料處理者,Microsoft 無法提供更正系統所產生日誌的能力,因為這些日誌會反映實際活動,並在 Microsoft 服務中構成事件的歷史記錄。 進一步了解 DSR

  4. 限制:移除各種線上服務的授權,或關閉所需的裝置 (若有可能),以限制處理個人資料。 您也可以將資料從 Microsoft 雲端移除,並將資料保留在內部部署或另一個位置。

    資料主體可能要求您限制處理其個人資料。 Microsoft 有針對此目的提供應用程式開發介面 (API) 和使用者介面 (UI)。 這些介面可讓企業客戶的租用戶系統管理員,搭配使用資料匯出和資料刪除來管理這類 DSR。 客戶可以 (1) 匯出使用者個人資料的電子複本 (包括帳戶、系統產生的記錄檔和相關聯記錄檔),並接著 (2) 刪除位於 Microsoft 系統內的帳戶和相關資料。

  5. 刪除:永久移除位於 Microsoft 雲端的個人資料。 深入了解刪除個人資料

  6. 匯出:將個人資料的電子複本 (使用電腦可讀取的格式) 提供給資料主體。 本文的每一節皆概述資料控制者組織可用來回應 Microsoft 雲端中個人資料 DSR 的技術程序。 深入了解匯出個人資料

系統產生的日誌

如需 Power Automate 系統產生記錄檔的詳細資訊,請參閱此指南