Запросы субъектов данных, GDPR и CCPA
Общий регламент по защите данных (GDPR) обязывает организации, предоставляющие товары и услуги в Европейском союзе или занимающиеся сбором и анализом данных резидентов ЕС, соблюдать новые правила независимо от того, где находитесь вы или ваше предприятие. Дополнительные сведения см. в статье Сводка по GDPR.
В законе Калифорнии о конфиденциальности данных (CCPA) также указаны права и обязательства для потребителей в Калифорнии, включая права, схожие с правами субъектов данных GDPR, такие как право на удаление, доступ и получение (возможность переноса) личных сведений. CCPA также предусматривает определенное раскрытие информации, защиту от дискриминации при избрании прав на осуществление и требования «отказаться / подписаться» для определенных передач данных, классифицированных как «продажи». В этом документе вы сможете получить сведения о запросах субъектов данных (DSR), определенных в GDPR и CCPA, с помощью продуктов и служб Майкрософт.
- Office 365
- Azure
- Intune
- Dynamics 365
- Семейство Visual Studio
- Azure DevOps Services
- Служба поддержки и профессионального обслуживания Майкрософт
- Windows
- Windows 365
Терминология
Полезные определения терминов GDPR, используемых в этом документе:
- Управляющий данными (управляющий) — юридическое лицо, орган государственной власти, агентство или другое лицо, которое отдельно от других или вместе с ними определяет цели и средства обработки персональных данных.
- Персональные данные и субъект данных — все сведения, относящиеся к определенному или определяемому физическому лицу ("субъект данных"). Определяемым физическим лицом считается лицо, которого можно прямо или косвенно определить.
- Обработчик — физическое или юридическое лицо, орган государственной власти, агентство или другое лицо, которое обрабатывает персональные данные от лица управляющего.
- Данные клиента — это данные, которые создаются и хранятся в ходе повседневной работы компании.
Что такое Запросы субъектов данных (DSR)?
Общий регламент по защите данных (GDPR) предоставляет пользователям (называемым в регламенте субъектами данных) права по управлению персональными данными, которые были собраны работодателем или другой службой или организацией (называемыми управляющим данными или просто управляющим). GDPR предоставляет субъектам данных определенные права на их персональные данные, в том числе следующие: получение их копий, запрос на внесение в них исправлений, ограничение возможностей их обработки, удаление или получение данных в электронном виде для передачи другому управляющему.
В законе Калифорнии о конфиденциальности данных (CCPA) указаны права и обязанности для потребителей в Калифорнии, включая права, схожие с правами субъектов данных GDPR, такие как право на удаление, доступ и получение (возможность переноса) личных сведений.
Как контроллер вы обязаны быстро рассмотреть каждый DSR и предоставить существенный ответ, выполнив запрошенное действие или объяснив, почему DSR не может быть размещен контроллером. Управляющий должен проконсультироваться со своими советниками по правовым или нормативным вопросам в отношении надлежащего обращения с любыми конкретными DSR.
Для выполнения DSR может потребоваться несколько процессов в соответствии с правилами соответствия требованиям GDPR в вашей организации.
- Обнаружение. Процесс определения данных, необходимых для выполнения DSR.
- Доступ. Извлечение и потенциальная возможность передачи данных в субъект данных обнаруженной информации.
- Уточнение. Реализация изменений или других запрошенных изменений персональных данных.
- Ограничение Изменение доступа или обработка персональных данных путем ограничения доступа или удаления данных из облака Microsoft.
- Экспорт Создание "структурированного, часто используемого, удобного для машинного считывания формата" персональных данных для субъекта данных, предоставленных в рамках "права на перенос данных" GDPR.
- удаление. Окончательное удаление персональных данных из облака Microsoft.
Специальные аспекты, связанные с DSR
Аналитические сведения, создаваемые в рамках продуктов и служб Майкрософт
Аналитические сведения могут создаваться службами (Viva Personal Insights и т. д.) Office 365 включает веб-службы, которые предоставляют аналитические сведения пользователям и организациям, которые их используют. Данные, сгенерированные этими службами, могут создавать личные данные, относящиеся к DSR. Следуйте по ссылке в списке ниже, чтобы получить сведения в отношении процессов DSR, связанных со службами.
DSR для журналов, создаваемых системой
Журналы и связанные данные, созданные корпорацией Майкрософт, могут содержать данные, которые считаются персональными в соответствии с определением "персональных данных" в GDPR. Ограничение или исправление данных в системных журналах не поддерживается. Данные в системных журналах основаны на фактических действиях в облаке Майкрософт и диагностических данных. Изменение таких данных приведет к нарушению архивных записей о действиях и увеличит риски мошенничества и угроз безопасности. Майкрософт предоставляет возможность доступа, экспорта и удаления журналов, созданных системой, которые могут потребоваться для выполнения DSR. Примерами таких данных могут быть:
- Данные об использовании продуктов и служб, например журналы о действиях пользователей
- Данные запросов и поисковых запросов пользователей
- Данные, созданные продуктами и службами на основе сведений о работе системы и взаимодействии с пользователями и другими системами.
Viva Engage
Удаление учетной записи пользователя не приведет к удалению системных журналов для Viva Engage. Чтобы удалить данные из этих приложений, ознакомьтесь с одним из следующих ресурсов:
Национальные облака
В некоторых национальных облаках глобальному ИТ-администратору нужно удалить журналы, созданные системой.
Службы корпорации Майкрософт
Если ваша организация или пользователи взаимодействуют с корпорацией Майкрософт для получения, поддержка, связанная с продуктами и службами Майкрософт, некоторые из этих данных могут содержать персональные данные. Дополнительные сведения см. в статье Запросы субъектов данных о предоставлении поддержки и профессиональных услуг Майкрософт, определенные в GDPR.
Продукты Майкрософт для управляющих
В некоторых случаях пользователи вашей организации могут получить доступ к продуктам или службам Майкрософт, для которых корпорация Майкрософт является управляющим данными. В таких случаях пользователям потребуется инициировать свои DSR непосредственно в Майкрософт, и Майкрософт будет направлять запросы непосредственно пользователю.
Сторонние продукты
Для сторонних продуктов и служб, доступ к которым получен через проверку подлинности учетной записи Майкрософт, любые запросы субъектов данных следует направлять применимой третьей стороне.
Средства администрирования запросов субъектов данных
- Центр безопасности и соответствия требованиям: данные, созданные пользователем, экспортируются с помощью Центра безопасности и соответствия требованиям или функций приложения.
- центр Microsoft Entra Администратор. Удаление субъекта данных из Microsoft Entra ID и связанных служб с помощью центра Microsoft Entra Администратор.
- Средство экспорта журнала данных (Майкрософт): администраторы клиентов могут экспортировать журналы, созданные системой, с помощью средства экспорта журнала данных (Майкрософт).