Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В соответствии с Общим регламентом по защите данных (GDPR) контролер данных должен подготовить оценку влияния на защиту данных (DPIA) для операций обработки, которые "могут привести к высокому риску для прав и свобод физических лиц". В Dynamics 365 и Power Platform нет ничего, что обязательно требует создания DPIA контроллером данных, использующим эти службы. Вместо этого, требуется ли DPIA, зависит от сведений и контекста развертывания, настройки и использования контроллером данных Dynamics 365 или Power Platform. В любом случае запустите DPIA в начале жизненного цикла проекта и запустите его параллельно с процессом планирования и разработки.
В этой статье контролеры данных содержат сведения о Dynamics 365 и Power Platform, которые помогают определить, требуется ли им DPIA и, если да, какие сведения следует включить.
Примечание.
Корпорация Майкрософт не предоставляет никаких юридических консультаций в этой статье. Эта статья предназначена только для информационных целей. Обратитесь к вашим сотрудникам по вопросам конфиденциальности (и (или) сотруднику по защите данных (DPO), если они назначены) и (или) консультантам по юридическим вопросам и (или) консультантам, чтобы определить необходимость и содержимое любых DPIA, связанных с использованием вами Microsoft Dynamics 365, Power Platform или любой другой веб-службы Майкрософт.
Часть 1. Определение необходимости DPIA
Статья 35 GDPR требует от контролера данных создать оценку влияния на защиту данных: "[w] здесь тип обработки, в частности с использованием новых технологий, и с учетом характера, область, контекста и целей обработки, скорее всего, приведет к высокому риску для прав и свобод физических лиц". Далее в ней указаны конкретные факторы, указывающие на высокий риск, которые рассматриваются в следующей таблице. Чтобы определить, требуется ли DPIA, учитывайте эти факторы, а также любые другие важные факторы в свете конкретной реализации и использования Dynamics 365 и Power Platform.
| Фактор риска | Важная информация о Dynamics 365 и Power Platform |
|---|---|
| Системная и подробная оценка личных характеристик физического лица, которая основана на автоматизированной обработке, в том числе составлении психологического портрета, и на которой основаны решения, порождающие юридические последствия в отношении этого лица или влияющие на него похожим образом. | Некоторые службы Dynamics 365 и Power Platform выполняют определенную автоматическую обработку данных, например оценку потенциальных пользователей или возможностей (например, прогнозирование вероятности продажи). Однако службы Dynamics 365 и Power Platform не предназначены для обработки решений, которые имеют юридическое или аналогичное влияние на отдельных лиц. Тем не менее, поскольку Dynamics 365 и Power Platform являются службами с высокой степенью настройки, вы можете настроить их для такой обработки. Это определение зависит от использования Dynamics 365 и Power Platform. |
| Обработка в крупном масштабе1 специальных категорий данных (персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, а также обработка генетических данных, биометрические данные, используемые для уникальной идентификации физического лица, данные о здоровье или данные о сексуальной жизни или сексуальной ориентации физического лица); или персональных данных, связанных с уголовным судимостью и преступлениями; | службы Dynamics 365 и Power Platform не предназначены для обработки специальных категорий персональных данных в большом масштабе. Однако для обработки перечисленных специальных категорий данных можно использовать Dynamics 365 и Power Platform. Кроме того, Dynamics 365 и Power Platform — это настраиваемые службы, которые позволяют отслеживать или иным образом обрабатывать персональные данные, включая специальные категории персональных данных. Но как обработчик данных корпорация Майкрософт не контролирует такое использование и обычно не имеет практических сведений о таком использовании. |
| Масштабное систематическое отслеживание общедоступной области | Dynamics 365 и Power Platform не предназначены для проведения или упрощения такого мониторинга в большом масштабе. Однако их можно использовать для обработки данных, собранных с помощью такого мониторинга. Dynamics 365 и Power Platform — это службы с высокой степенью настройки, которые позволяют отслеживать или иным образом обрабатывать данные любого типа, включая данные мониторинга. Корпорация Майкрософт как обработчик данных не контролирует такое использование и не имеет практически никакого представления о таком использовании. Вы обязаны определить правильное использование ваших данных. |
Примечание.
1 Что касается критериев, согласно которым обработка будет осуществляться в "большом масштабе", в разделе 91 GDPR поясняется: "Обработка персональных данных не должна рассматриваться в большом масштабе, если обработка касается персональных данных пациентов или клиентов отдельным врачом, другим медицинским работником или адвокатом. В таких случаях оценка влияния на защиту данных не должна быть обязательной.
Часть 2. Содержимое DPIA
Статья 35(7) GDPR предписывает, что оценка влияния на защиту данных определяет цели обработки и систематическое описание предполагаемой обработки. Комплексный DPIA может включать такие факторы, как типы обработанных данных, срок хранения данных, расположение и передача данных, а также доступ к данным третьих лиц. В идеале схема потока данных поддерживает описание. Кроме того, DPIA должна включать:
- Оценка необходимости и пропорциональности операций обработки по отношению к целям.
- Оценка рисков для прав и свобод физических лиц.
- Меры, используемые для устранения рисков, включая меры безопасности, меры безопасности и механизмы для обеспечения защиты персональных данных и демонстрации соблюдения GDPR с учетом прав и законных интересов субъектов данных и других заинтересованных лиц.
В следующей таблице содержатся сведения о Dynamics 365 и Power Platform, относящиеся к каждому из этих элементов. Как и в части 1, контроллеры данных должны учитывать сведения, представленные в этой таблице, а также любые другие соответствующие факторы в контексте конкретных реализаций контроллера данных и использования Dynamics 365 или Power Platform.
| Элементы DPIA | Соответствующая информация о Dynamics 365 и Power Platform |
|---|---|
| Цели обработки | Контроллер, который реализует, настраивает и использует Dynamics 365 и Power Platform, определяет цели обработки данных. В соответствии с Условиями продукта и Дополнительным приложением по защите данных продуктов и служб Майкрософт (DPA), корпорация Майкрософт, как обработчик данных, обрабатывает данные клиента для предоставления клиенту веб-служб в соответствии с документированных инструкций клиента. Как описано в соглашении о продуктах и продуктах и услугах по защите данных (DPA), корпорация Майкрософт также использует персональные данные для поддержки ограниченного набора бизнес-операций. Корпорация Майкрософт является контролером обработки персональных данных для поддержки этих конкретных бизнес-операций. Как правило, корпорация Майкрософт объединяет персональные данные перед их использованием для бизнес-операций, что устраняет возможность корпорации Майкрософт идентифицировать конкретных лиц. Корпорация Майкрософт использует персональные данные в наименее идентифицируемой форме, которая поддерживает обработку, необходимую для бизнес-операций. Dynamics 365 — это онлайн-платформа для обработки, которая имеет несколько дискретных веб-службы, каждая из которых имеет различные цели обработки. Описание каждого предложения Dynamics 365 службы можно найти здесь и предложение службы Power Platform здесь. Корпорация Майкрософт не использует данные клиента или полученные от нее данные для профилирования, рекламы или аналогичных коммерческих целей. Dynamics 365 и Power Platform обрабатывают персональные данные только для предоставления клиентам своих веб-службы, в том числе для целей, совместимых с предоставлением этих служб. |
| Категории обрабатываемых персональных данных |
Данные клиента. Все данные, включая текстовые, звуковые, видеофайлы, файлы изображений и программное обеспечение, которые клиенты предоставляют корпорации Майкрософт или предоставляются от имени клиентов при использовании веб-службы Майкрософт. К ним относятся данные, отправляемые клиентами для хранения или обработки и модификации. Данные, созданные службой. Данные, создаваемые корпорацией Майкрософт при работе службы, например данные об использовании или производительности. Большая часть этих данных содержит идентификаторы-псевдонимы, создаваемые корпорацией Майкрософт. Данные профессиональных служб. Все данные, включая все текстовые, звуковые, видеофайлы, файлы изображений или программное обеспечение, которые предоставляются корпорации Майкрософт клиентом или от его имени (или которые Клиент разрешает корпорации Майкрософт получать из продукта) или иным образом получены или обрабатываются корпорацией Майкрософт или от ее имени в рамках взаимодействия с корпорацией Майкрософт для получения профессиональных услуг. Дополнительные сведения о данных, обрабатываемые Dynamics 365 и Power Platform, см. в разделе Условия использования продуктов и Дополнительные сведения о защите данных продуктов и служб Майкрософт (DPA). |
| Хранение данных | Корпорация Майкрософт сохраняет данные клиента на протяжении всего срока действия права клиента на использование службы, пока все данные клиента не будут удалены или возвращены в соответствии с инструкциями клиента или условиями Дополнительного соглашения о продуктах и услугах по защите данных (DPA). В течение срока действия подписки клиента клиент может получать доступ к данным клиента, хранящимся в каждой веб-службе, и извлекать их. Корпорация Майкрософт обычно хранит данные клиента, хранящиеся в веб-службе, в учетной записи ограниченной функции в течение 90 дней после истечения срока действия или прекращения подписки клиента, чтобы клиент мог извлечь данные. По истечении 90-дневного периода хранения корпорация Майкрософт отключает учетную запись клиента и удаляет данные клиента. Клиент может удалить данные клиента и псевдонимные данные в любое время, используя возможности, описанные в руководстве по правам субъекта данных Dynamics 365 и Power Platform. |
| Размещение и передача персональных данных | Клиенты могут подготавливать неактивные данные клиента в указанных географических регионах с учетом определенных исключений, как описано в добавлении к защите данных о продуктах и службах (DPA). Дополнительные сведения о развертывании служб и расположении данных см. в центре управления безопасностью Майкрософт, а также в статье о расположении и доступности данных Dynamics 365 и Power Platform в документации по расположению данных Microsoft Dynamics 365 и Power Platform и Dynamics 365 и продукте Microsoft Power Platform. отчеты о доступности. Для персональных данных, передаваемых за пределы Европейской экономической зоны, Швейцарии и Соединенного Королевства, корпорация Майкрософт гарантирует, что передача персональных данных в третью страну или регионы или международную организацию подпадает под соответствующие меры предосторожности, описанные в статье 46 GDPR. В дополнение к обязательствам корпорации Майкрософт в соответствии с Standard договорными положениями для обработчиков и других типовых контрактов, корпорация Майкрософт продолжает соблюдать условия Платформы конфиденциальности данных. |
| Оценка необходимости и пропорциональности операций обработки по отношению к целям | Такая оценка зависит от потребностей и целей обработки данных контролера. Корпорация Майкрософт принимает такие меры, как агрегирование персональных данных, используемых корпорацией Майкрософт для поддержки бизнес-операций для поддержки предоставления услуг, сводя к минимуму риск такой обработки для субъектов данных, которые используют службу. Что касается обработки, выполняемой корпорацией Майкрософт, то такая обработка необходима и пропорциональна для предоставления услуг контролеру данных. |
| Оценка рисков для прав и свобод субъектов данных | Основные риски для прав и свобод субъектов данных, связанные с использованием Dynamics 365 или Power Platform, зависят от того, как и в каком контексте контроллер данных реализует, настраивает и использует его. Корпорация Майкрософт принимает такие меры, как агрегирование персональных данных при использовании для поддержки бизнес-операций, что снижает риск такой обработки для субъектов данных, использующих службу. Однако, как и в случае с любой службой, персональные данные, хранящиеся в службе, могут быть подвержены риску несанкционированного доступа или непреднамеренного раскрытия. Меры, принятые корпорацией Майкрософт для устранения таких рисков, рассматриваются ниже. |
| Предоставление данных сторонним субобработчикам | Корпорация Майкрософт предоставляет данные третьим лицам, выступающим в качестве наших субобработчиков (как определено в GDPR), для поддержки таких функций, как клиентская и техническая поддержка, обслуживание и другие операции. Все субобработчики, которым корпорация Майкрософт передает данные клиента, данные поддержки или персональные данные, заключают с корпорацией Майкрософт письменные соглашения, которые не являются менее защитными, чем условия, указанные в дополнительном соглашении о защите данных о продуктах и продуктах и услугах (DPA). Все сторонние субобработчики, которым предоставляются Данные клиента из основных веб-служб Майкрософт, включены в список субподрядчиков веб-служб. |
| Права субъектов данных | Выступая в качестве обработчика, корпорация Майкрософт предоставляет клиентам (управляющим данными) персональные данные их субъектов данных, а также возможность отвечать на запросы субъектов данных, когда они пользуются своими правами в рамках GDPR. Корпорация Майкрософт делает это в соответствии с функциональными возможностями продукта и нашей ролью в качестве обработчика. Если корпорация Майкрософт получает запрос от субъектов данных клиента на осуществление одного или нескольких своих прав в соответствии с GDPR, мы перенаправляем субъект данных на выполнение запроса непосредственно к контроллеру данных. Сведения о том, как поддерживать права субъектов данных в Dynamics 365 и Power Platform, см. в руководстве по Dynamics 365 и Power Platform. Корпорация Майкрософт обычно агрегирует персональные данные перед их использованием для бизнес-операций и не в состоянии идентифицировать персональные данные конкретного человека в статистической совокупности. Это снижает риск конфиденциальности для человека. Если корпорация Майкрософт не может идентифицировать человека, она не может поддерживать права субъекта данных на доступ, стирание, переносимость, ограничение или возражение при обработке. |
| Меры для устранения рисков, включая гарантии безопасности, меры предосторожности и механизмы для обеспечения защиты персональных данных и демонстрации соблюдения настоящего GDPR с учетом прав и законных интересов субъектов данных и других заинтересованных лиц | Корпорация Майкрософт стремится обеспечить защиту данных клиентов. Меры безопасности, принятые корпорацией Майкрософт, подробно описаны в условиях использования продукта. Корпорация Майкрософт соответствует строгим стандартам и лидирующим отраслевым методам защиты данных. Корпорация Майкрософт постоянно улучшает свои системы для борьбы с новыми угрозами. Дополнительные сведения об управлении облаком и политиках конфиденциальности см. на странице Обзор соответствия требованиям Центра управления безопасностью Майкрософт . Корпорация Майкрософт принимает разумные и адекватные технические и организационные меры для защиты обрабатываемых персональных данных. Эти меры включают, помимо прочего, внутренние политики и практики конфиденциальности, договорные обязательства и международные и региональные стандартные сертификаты. Дополнительные сведения см. на странице конфиденциальности центра управления безопасностью. Подробный список элементов управления, управляемых корпорацией Майкрософт (технических и бизнес-процессов), для обеспечения безопасности, реализованных Dynamics 365 и Power Platform, см. на портале Service Trust Portal. Кроме того, когда корпорация Майкрософт выступает в качестве обработчика данных, она выполняет все остальные обязательства GDPR, которые применяются к обработчикам данных. Если корпорация Майкрософт обрабатывает персональные данные для своих бизнес-операций, она соответствует обязательствам GDPR, которые применяются к контроллерам данных. |