Обробка запитів прав суб’єкта даних (DSR) щодо даних клієнта Power Apps
Загальні відомості про запити ЗСД
Генеральний регламент із захисту персональних даних (GDPR) Європейського Союзу регулює права фізичних осіб у відношенні їхніх даних. Зверніться до Microsoft Learn Загального регламенту захисту даних, щоб отримати загальне уявлення про GDPR, зокрема термінологію, план дій і контрольні списки готовності, які допоможуть вам виконувати свої зобов’язання відповідно до GDPR під час використання продуктів і служб Microsoft.
Дізнайтеся більше про GDPR і принципи, завдяки яким корпорація Microsoft підтримує цей регламент і клієнтів, на яких він впливає.
- Центр безпеки та конфіденційності корпорації Майкрософт надає загальні відомості, практичні поради та документацію, корисні для підзвітності GDPR, наприклад оцінку впливу на захист даних, запити суб’єктів даних і сповіщення про витік даних.
- На порталі Service Trust можна знайти інформацію про те, як служби Microsoft допомагають підтримувати дотримання GDPR.
У цій статті наведено приклади кроків, які можна вжити для підтримки дотримання конфіденційності під час використання Power Apps, Power Automate, та Microsoft Dataverse. Ви дізнаєтеся, як використовувати продукти, служби й інструменти адміністрування Microsoft, щоб допомогти користувачам контролера знаходити особисті дані, отримувати до них доступ і виконувати дії з ними в хмарі Microsoft у відповідь на запити DSR.
У цій статті розглянуто зазначені нижче дії.
Ознайомлення — використовуйте засоби пошуку та ознайомлення, щоб спростити пошук даних клієнтів, які можуть бути суб’єктом запиту DSR. Після збору потенційно відповідних документів можна виконати одну або кілька зазначених нижче дій DSR, щоб відповісти на запит. Крім того, можна визначити, що запит не відповідає рекомендаціям організації щодо відповіді на запити DSR.
Доступ — отримуйте особисті дані, які містяться в хмарі Microsoft і, за запитом, створюйте копії даних, доступних для суб’єкта даних.
Уточнення — вносьте зміни або виконуйте інші запитувані дії щодо особистих даних, де це доречно.
Обмеження — обмежуйте обробку персональних даних шляхом видалення ліцензій для різних онлайнових послуг або вимкнення бажаних послуг, якщо це можливо. Також можна видалити дані з хмари Microsoft і зберігати їх у локальній версії або в іншому розташуванні.
Видалення — остаточно видаляйте особисті дані, що зберігаються в хмарі Microsoft.
Експорт — надавайте електронну копію (у форматі, що може бути зчитаний машиною) персональних даних суб’єкту даних.
Визначити
Щоб відповісти на запит суб’єкта даних (ЗСД), спочатку потрібно знайти персональні дані, які є об’єктом запиту. Цей перший крок — пошук і перевірка персональних даних, які запитуються — допоможе з’ясувати, чи відповідає запит ЗСД вимогам організації щодо схвалення або відхилення такого запиту. Наприклад, знайшовши й переглянувши особисті дані, які запитуються, ви можете визначити, що запит не відповідає вимогам вашої організації, оскільки його виконання може погано позначитися на правах і свободах інших осіб.
Крок 1. Пошук персональних даних користувача в Power Apps
Нижче наведено стислий огляд ресурсів Power Apps, що містять персональні дані певного користувача.
| Ресурси, що містять персональні дані | Призначення |
|---|---|
| Середовище | Середовище – це простір для зберігання, упорядкування й спільного використання даних, програм і робочих циклів компанії. Докладніше |
| Дозволи для середовища | Щоб користувачі отримали права розробника й адміністратора в середовищі, їм потрібно призначити ролі середовища. Докладніше |
| Програма Canvas / Спеціальна сторінка | Кросплатформні бізнес-програми, які можна розробити з використанням пустого полотна й підключити до понад 200 джерел даних. Докладніше |
| Дозволи для програми полотна | Програми полотна можна спільно використовувати в організації. Докладніше |
| Connection | Використовуються з’єднувачами та дають змогу встановлювати підключення до API, систем, баз даних тощо. Докладніше |
| Дозволи для підключення | Певні типи підключень можна спільно використовувати в організації. Докладніше |
| Настроюваний з’єднувач | Настроювані з’єднувачі, які користувач створив, щоб надати доступ до джерела даних, недоступний за використання одного зі стандартних з’єднувачів Power Apps. Докладніше |
| Дозволи для настроюваного з’єднувача | Настроювані з’єднувачі можна спільно використовувати в організації. Докладніше |
| Параметри користувача Power Apps і параметри програми користувача | Power Apps зберігає кілька настройок і параметрів користувача та параметри, які забезпечують середовище виконання Power Apps і можливість взаємодії з порталом. |
| Сповіщення Power Apps | Power Apps надсилає користувачам кілька типів сповіщень, зокрема в разі надання їм спільного доступу до програми та після завершення операції експорту Dataverse. |
| Шлюз | Шлюзи – це локальні шлюзи даних, які користувач може інсталювати для швидкої та безпечної передачі даних між Power Apps і джерелом даних, яке не входить до хмари. Докладніше |
| Дозволи для шлюзу | Шлюзи можна спільно використовувати в організації. Докладніше |
| Модельні програми та дозволи для модельних програм | Розробка програми на основі моделі – це підхід,сфокусований на компонентах під час розробки програми. Модельні програми та дозволи на їх використання зберігаються як дані в базі даних Dataverse. Докладніше |
Знайти персональні дані для певного користувача можна в кількох інтерфейсах Power Apps:
- Доступ через веб-сайт: сайт Power Apps і Портал надійності Microsoft 365
- Доступ через PowerShell: командлети Power Apps (для розробників програм і адміністраторів) і командлети локального шлюзу
Докладні вказівки щодо того, як використовувати ці можливості для пошуку особистих даних конкретного користувача для кожного з цих типів ресурсів, наведено в статті Відповідь на запити суб’єктів даних (DSR) щодо експорту Power Apps даних клієнтів.
Знайшовши свої дані, ви можете виконати певну дію, щоб задовольнити запит суб’єкта даних.
Крок 2. Пошук персональних даних користувача в Power Automate
Ліцензії на Power Apps завжди включають можливості Power Automate. Крім того, що функції Power Automate додаються до ліцензій на Power Apps, вони також доступні як окрема служба.
Щоб дізнатися, як виявити персональні дані, що зберігаються сервісом Power Automate , перегляньте статтю Відповіді на запити суб’єктів даних для Power Automate.
Важливо
Рекомендується, щоб адміністратори виконали цей крок за Power Apps користувача.
Крок 3: Знайдіть особисті дані користувача в Microsoft Copilot Studio
Power Apps спроможності, на Microsoft Copilot Studio яких ґрунтуються. Microsoft Copilot Studio також доступна як окрема послуга.
Щоб дізнатися, як виявити персональні дані, що зберігаються сервісом Microsoft Copilot Studio , перегляньте статтю Відповіді на запити суб’єктів даних для Microsoft Copilot Studio.
Важливо
Рекомендується, щоб адміністратори виконали цей крок за Power Apps користувача.
Крок 4: Знайдіть особисті дані користувача в Microsoft 365 центрі адміністрування
Деякі механізми Power Apps зворотного зв’язку інтегровані з центром Microsoft 365 адміністрування.
Щоб дізнатися, як знайти дані відгуків, які зберігаються в Microsoft 365 центрі адміністрування, перегляньте статтю Як переглянути відгуки користувачів?. Глобальний Microsoft Entra адміністратор може керувати цими даними в Microsoft 365 Центрі адміністрування без ліцензії Microsoft 365 Office.
Важливо
Рекомендується, щоб адміністратори виконали цей крок за Power Apps користувача.
Крок 5. Пошук персональних даних користувача в середовищах Dataverse
Деякі ліцензії Power Apps, зокрема план Power Apps Developer Plan, дають змогу користувачам організації створювати середовища Dataverse, а також створювати та будувати програми на платформі Dataverse. План Power Apps Developer Plan — це безкоштовна ліцензія, яка дозволяє користувачам спробувати Dataverse в окремому середовищі. Щоб дізнатися, які можливості надає кожна ліцензія на Power Apps, див. сторінку Прейскурант Power Apps.
Щоб дізнатися, як знайти персональні дані, що зберігаються Dataverse, перегляньте статтю Відповіді на запити суб’єктів даних (DSR) щодо даних клієнтів у Dataverse.
Важливо
Рекомендується, щоб адміністратори виконали цей крок за Power Apps користувача.
Уточнити
Якщо суб’єкт даних просить уточнити або внести зміни в його персональні дані, які знаходяться в вашій організації, ви й ваша організація повинні визначити, чи доречним буде виконання такого запиту. Уточнення даних може включати змінення, редагування або видалення персональних даних із документа або іншого типу елемента.
Ви можете використовувати Microsoft Entra для керування ідентифікаційними даними (персональними даними) ваших користувачів всередині Power Apps. Клієнти підприємства можуть керувати запитами DSR на уточнення, зокрема використовуючи обмежені можливості редагування, залежно від суті даної послуги Microsoft. Як компанія, що обробляє дані, корпорація Майкрософт не надає можливості виправити журнали, створені системою, оскільки вони відображають фактичні справи й є історичним записом подій у послугах Microsoft.
Обмежити
Суб’єкти даних можуть вимагати, щоб ви обмежили обробку їхніх персональних даних. Ми надаємо наявні інтерфейси прикладних програм (API) та інтерфейси користувача (UI). Ці інтерфейси дозволяють адміністратору Power Platform клієнта керувати такими ЗСД, поєднуючи експорт даних та видалення даних. Клієнт може вимагати:
Експортувати електронну копію персональних даних користувача, зокрема:
- облікові записи;
- системні журнали;
- пов’язані журнали.
Видалити обліковий запис і пов’язані дані, що зберігаються в системах Microsoft.
Експорт
«Право на перенесення даних» дозволяє суб’єкту даних вимагати копію своїх персональних даних в електронному форматі (це «структурований, широко використовуваний, машинозчитуваний і сумісний формат»), який може бути переданий іншому контролеру даних.
Перегляньте статтю Відповіді на запити суб’єктів даних (DSR) щодо експорту Power Apps даних клієнтів, щоб дізнатися більше.
Видалити
«Право на видалення» шляхом видалення персональних даних з даних клієнтів організації є ключовим захистом конфіденційності. Видалення персональних даних включає системні журнали, але не відомості з журналу відстеження.
Power Apps дає змогу користувачам створювати бізнес-програми, що є невід’мною складовою повсякденних операцій організації. Коли користувач залишає організацію, ви маєте самостійно вирішити, чи слід видаляти певні дані й ресурси, створені ним. Інші дані клієнта автоматично видаляються щоразу, коли обліковий запис користувача видаляється з Microsoft Entra ID.
Перегляньте статтю Відповідь на запити суб’єктів даних (DSR) щодо видалення Power Apps даних клієнтів, щоб дізнатися більше.