回應 Power Apps 客戶資料的資料主體權利 (DSR) 要求
DSR 要求簡介
歐盟 (EU) 一般資料保護規定 (GDPR) 提供與個人資料相關的重要權利。 如需可協助您在使用 Microsoft 產品與服務時依據 GDPR 履行義務的 GDPR 概觀 (包括術語、動作計畫和整備度檢查清單),請參閱 Microsoft Learn 一般資料保護規定摘要。
您可以進一步了解 GDPR,以及 Microsoft 協助支援此規定的情形與受其影響的客戶。
- Microsoft 信任中心提供對 GDPR 問責有幫助的一般資訊、合規性最佳做法和文件,例如資料保護影響評定、資料主體要求和資料外洩通知。
- 服務信任入口網站提供有關 Microsoft 服務如何協助支援 GDPR 的資訊。
本文提供使用 Power Apps、Power Automate 和 Microsoft Dataverse 時,您可以使用這些步驟來支援隱私權合規性。 您將瞭解如何使用 Microsoft 產品、服務及管理工具,協助控制站客戶尋找、存取和處理 Microsoft 雲端的個人資料,以回應 DSR 要求。
本文涵蓋以下動作:
探索—使用搜尋和探索工具更輕鬆地尋找可能是 DSR 要求主體的客戶資料。 收集到可能的回應性文件後,您可以執行下列一或多個 DSR 動作來回應要求。 或者,也可以判斷此要求不符合組織對於回應 DSR 要求的指導方針。
存取—擷取位於 Microsoft 雲端的個人資料,並在有要求時,提供一份資料複本給該資料主體。
改正—在適合的狀況下,對個人資料進行變更或實作要求的動作。
限制—透過移除各種線上服務的授權,或關閉所需的裝置 (若可能的話),以限制處理個人資料。 您也可以將資料從 Microsoft 雲端移除,並將資料保留在內部部署或另一個位置。
刪除—永久移除位於 Microsoft 雲端中的個人資料。
匯出—將個人資料的電子複本 (機器可讀的格式) 提供給資料主體。
探索
回應 DSR 要求的第一個步驟是尋找屬於要求主體的個人資料。 第一個步驟 (尋找並審核有爭議的個人資料) 可協助您判斷 DSR 要求是否符合組織對於兌現或拒絕 DSR 要求的需求。 例如,在尋找和審核有爭議的個人資料之後,您可能判斷要求不符合您組織的需求,因為這可能會對其他人的權利和自由造成負面影響。
步驟 1:在 Power Apps 中尋找使用者的個人資料
以下是包含特定使用者個人資料之 Power Apps 資源類型的摘要。
| 包含個人資料的資源 | 目的 |
|---|---|
| 環境 | 環境是儲存、管理和共用組織商務資料、應用程式及流程的空間。 了解詳細資訊 |
| 環境權限 | 使用者會被指派至環境角色,以在環境中授與建立者和系統管理權限。 了解詳細資訊 |
| 畫布應用程式/自訂頁面 | 可透過功能強大的空白畫布建構的跨平台商務應用程式,並可連接至超過 200 個資料來源。 了解詳細資訊 |
| 畫布應用程式權限 | 畫布應用程式可以共用給組織中的使用者。 了解詳細資訊 |
| Connection | 由連接器使用,並允許連接至 API、系統、資料庫等。 了解詳細資訊 |
| 連接權限 | 某些類型的連接可以與組織中的使用者共用。 了解詳細資訊 |
| 自訂連接器 | 使用者所建立的自訂連接器,用以提供對於不是透過其中一個 Power Apps 標準連接器提供之資料來源的存取權。 了解詳細資訊 |
| 自訂連接器權限 | 自訂連接器可以共用給組織中的使用者。 了解詳細資訊 |
| Power Apps 使用者和使用者應用程式設定 | Power Apps 會儲存數個使用者喜好設定和設定,用來傳送 Power Apps 執行階段和入口網站體驗。 |
| Power Apps 通知 | Power Apps 可傳送數種通知給使用者,包括有應用程式提供共用以及 Dataverse 匯出作業完成。 |
| 閘道 | 閘道是內部部署資料閘道,可由使用者安裝,以快速且安全地在 Power Apps 和不在雲端的資料來源之間傳輸資料。 了解詳細資訊 |
| 閘道權限 | 閘道可以共用給組織中的使用者。 了解詳細資訊 |
| 模型導向應用程式和模型導向應用程式權限 | 模型導向應用程式設計是以元件為主的應用程式開發方法。 模型導向應用程式及其使用者存取權限會儲存為 Dataverse 資料庫中的資料。 了解詳細資訊 |
Power Apps 提供下列體驗來尋找特定使用者的個人資料:
- 網站存取:Power Apps 網站、 系統管理中心和 Microsoft 365 Service Trust 入口網站
- PowerShell 存取:Power Apps Cmdlet (適用於應用程式建立者和系統管理員) 以及內部部署閘道 Cmdlet
如需如何使用這些體驗來針對上述每種資源類型尋找特定使用者之個人資料的詳細步驟,請參閱回應資料主體權利 (DSR) 匯出 Power Apps 客戶資料的要求。
找到資料之後,您可以執行特定的動作,來滿足資料主體的要求。
步驟 2:在 Power Automate 中尋找使用者的個人資料
Power Apps 授權始終包括 Power Automate 功能。 除了隨附於 Power Apps 授權之外,Power Automate 也可做為獨立服務。
如需如何探索 Power Automate 服務儲存之個人資料的指導,請參閱回應 Power Automate 的資料主體要求。
重要
建議系統管理員為 Power Apps 使用者完成此步驟。
步驟 3:在 Microsoft Copilot Studio 中尋找使用者的個人資料
Power Apps 功能是建立在 Microsoft Copilot Studio 上。 Microsoft Copilot Studio 也可作為獨立服務提供。
如需如何探索 Microsoft Copilot Studio 服務儲存之個人資料的指導,請參閱回應 Microsoft Copilot Studio 的資料主體要求。
重要
建議系統管理員為 Power Apps 使用者完成此步驟。
步驟 4:在 Dataverse 環境中尋找使用者的個人資料
某些 Power Apps授權 (包括 Power Apps 開發人員方案) 讓組織內的使用者能建立 Dataverse 環境,和在 Dataverse 上建立和組建應用程式。 Power Apps 開發人員方案是免費授權,可讓使用者在個別環境中試用 Dataverse。 請參閱 Power Apps 價格頁面,其功能隨附於每個 Power Apps 授權中。
如需如何探索 Dataverse 服務儲存之個人資料的指導,請參閱回應資料主體權利 (DSR) 對 Dataverse 中客戶資料的要求。
重要
建議系統管理員為 Power Apps 使用者完成此步驟。
改正
如果資料主體要求您改正存在於您組織資料中的個人資料,您和您的組織就必須判斷是否適合接受該要求。 改正資料可能包括對個人資料進行編輯、纂輯或自文件或其他類型項目中移除。
您可以使用 Microsoft Entra 在 Power Apps 內管理您使用者的身分識別 (個人資料)。 企業客戶可以使用給定 Microsoft 服務中有限的編輯功能來管理 DSR 改正要求。 身為資料處理者,Microsoft 無法提供更正系統所產生日誌的能力,因為這些日誌會反映實際活動,並在 Microsoft 服務中構成事件的歷史記錄。
限制
資料主體可能要求您限制處理其個人資料。 我們提供預先存在的應用程式開發介面 (API) 和使用者介面 (UI)。 這些體驗可以讓企業客戶的 Power Platform 系統管理員透過資料匯出和刪除資料的組合來管理這類 DSR。 客戶可能要求:
匯出使用者個人資料的電子複本,包括:
- 帳戶
- 系統產生的日誌
- 相關記錄
刪除存在於 Microsoft 系統中的帳戶和相關資料。
匯出
「資料可攜權」讓資料主體可要求其個人資料的電子格式 (亦即「結構化、通用、機器可讀取及可互通的格式」) 複本,以便傳送至另一個資料控制器。
請參閱回應資料主體權利 (DSR) 匯出 Power Apps 客戶資料的要求以取得詳細資料。
刪除
從組織的客戶資料中刪除個人資料的「刪除權」是一項關鍵的隱私權保護手段。 移除個人資料包括系統產生的日誌,但不包括稽核記錄資訊。
Power Apps 允許使用者建立企業營運系統應用程式,這是組織日常作業的重要組成部分。 當使用者離開您的組織時,您需要手動審查並判斷是否要刪除使用者所建立的某些資料和資源。 只要從 Microsoft Entra ID 中刪除使用者的帳戶,就會自動刪除其他客戶資料。
請參閱回應資料主體權利 (DSR) 刪除 Power Apps 客戶資料的要求以取得詳細資料。