Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Общий регламент по защите данных (GDPR) обязывает организации, предоставляющие товары и услуги в Европейском союзе или занимающиеся сбором и анализом данных резидентов ЕС, соблюдать новые правила независимо от того, где находитесь вы или ваше предприятие. Дополнительные сведения см. в статье Сводка ПО GDPR.
Аналогичным образом, Закон о конфиденциальности потребителей Калифорнии (CCPA) предоставляет права и обязанности по обеспечению конфиденциальности для потребителей Калифорнии. Эти права включают в себя права, аналогичные правам субъекта данных GDPR, например право на удаление, доступ и получение (переносимость) своих персональных данных. CCPA также предусматривает определенное раскрытие информации, защиту от дискриминации при избрании прав на осуществление и требования «отказаться / подписаться» для определенных передач данных, классифицированных как «продажи». В этом документе вы сможете получить сведения о запросах субъектов данных (DSR), определенных в GDPR и CCPA, с помощью продуктов и служб Майкрософт.
- Azure DevOps Services
- Azure
- Dynamics 365
- Intune
- Служба поддержки и профессионального обслуживания Майкрософт
- Office 365
- Семейство Visual Studio
- Windows 365
- Windows
Определения терминов GDPR см. в разделе Общий регламент по защите данных. Сведения о роли Майкрософт в качестве обработчика данных см. в статье Майкрософт как обработчика данных.
Что такое Запросы субъектов данных (DSR)?
Общий регламент по защите данных (GDPR) предоставляет пользователям права (известные в регламенте как субъекты данных) на управление персональными данными, собираемые работодателем или другим типом агентства или организации (известного как контролер данных или просто контролер). GDPR предоставляет субъектам данных определенные права на их персональные данные. Эти права включают получение копий своих персональных данных, запрос изменений в них, ограничение их обработки, удаление или получение в электронном формате, чтобы они могли переместить их другому контролерю.
Как контроллер вы обязаны быстро рассмотреть каждый DSR и предоставить существенный ответ, выполнив запрошенное действие или объяснив, почему DSR не может быть размещен контроллером. Проконсультируйтесь со своими консультантами по юридическим вопросам или по соответствию требованиям относительно надлежащей ликвидации любого конкретного dsr.
В выполнении DSR может быть задействовано несколько процессов в соответствии с правилами соответствия GDPR вашей организации.
- Обнаружить: Используйте средства поиска и обнаружения, чтобы упростить поиск данных клиентов, которые могут быть предметом DSR. После сбора потенциально быстро реагирующих документов вы можете выполнить одно или несколько действий DSR, описанных в следующих шагах, чтобы ответить на запрос. Кроме того, вы можете определить, что запрос не соответствует рекомендациям вашей организации по реагированию на dsr.
- Доступа: Получите персональные данные, которые находятся в облаке Майкрософт, и при необходимости создайте их копию, к которой субъект данных может получить доступ.
- Уточнение. Внесение изменений или выполнение других запрошенных действий с персональными данными (если это возможно).
- Ограничение. Ограничение обработки персональных данных путем удаления лицензий на использование различных служб Azure либо путем выключения соответствующих служб, если это возможно. Вы также можете удалить данные из облака корпорации Майкрософт, сохранив их в локальной среде или в другом расположении.
- Удаление. Безвозвратное удаление персональных данных, хранящихся в облаке Майкрософт.
- Экспорт и получение (переносимость). Предоставление электронной копии персональных данных или личных сведений (в машиночитаемом формате) субъекту данных.
В каждом разделе в руководствах по конкретным продуктам описываются технические процедуры, которые может предпринять организация-контролер данных для реагирования на DSR в отношении персональных данных в облаке Майкрософт.
Использование руководств по продуктам
Каждое руководство по конкретному продукту состоит из двух частей:
- Часть 1. Реагирование на запросы субъекта данных для данных клиента: В части 1 рассматриваются способы доступа, исправления, ограничения, удаления и экспорта данных из приложений, в которых вы создали данные. В этом разделе описано, как выполнить dsr для содержимого клиента, а также для идентифицируемых сведений пользователей.
- Часть 2. Ответ на запросы субъекта данных в отношении системных журналов. Когда вы используете корпоративные службы Майкрософт, корпорация Майкрософт создает определенную информацию, известную как системные журналы, чтобы предоставлять эту службу. Часть 2 описывает, как получить доступ к такой информации, удалить и экспортировать ее.
Общие сведения о dsR для Microsoft Entra ID и учетных записей служб Майкрософт
С помощью расширенного прямого маркера каталога (EDDT) гостевые пользователи в клиенте могут инициировать dsr в нескольких клиентах. Все инициированные пользователем dsR выполняются для всех клиентов, в которых пользователь авторизован соответствующим администратором клиента.
Этот же процесс также применяется к учетным записям служб Майкрософт (MSA) в контексте служб, предоставляемых корпоративному клиенту. Выполнение DSR для учетной записи MSA, связанной с клиентом Microsoft Entra, относится только к данным в клиенте. Кроме того, при обработке учетных записей MSA в клиенте важно понимать следующее:
- Если пользователь MSA создает подписку на Azure, она обрабатывается как клиент Microsoft Entra. Следовательно, dsr находятся в пределах клиента, как описано выше.
- Если подписка Azure, созданная с помощью учетной записи MSA, удалена, это не влияет на фактическую учетную запись MSA. Опять же, как отмечалось выше, dsr, выполняемые в Azure подписке, ограничены область самого клиента.
Пользователи выполняют dsr для самой учетной записи MSA за пределами заданного клиента с помощью панели мониторинга конфиденциальности потребителей.
Конкретные рекомендации по DSR
Аналитика, созданная продуктами или службами Майкрософт
Аналитические сведения могут создаваться такими службами, как Viva Личная аналитика. Office 365 включает веб-службы, которые предоставляют аналитические сведения пользователям и организациям, которые их используют. Данные, созданные этими службами, могут привести к получению персональных данных, относящихся к DSR. Дополнительные сведения о процессах DSR для конкретных служб см. в следующем разделе.
DSR для журналов, создаваемых системой
Журналы и связанные данные, создаваемые корпорацией Майкрософт, могут содержать данные, которые GDPR считает личными. Вы не можете ограничить или исправить данные в системных журналах. Данные в системных журналах — это фактические действия, выполняемые в облачных и диагностических данных Майкрософт. Изменения повысят исторический послужной список действий и повысят риски мошенничества и безопасности. Корпорация Майкрософт предоставляет возможность доступа, экспорта и удаления системных журналов, которые могут потребоваться для завершения dsR. Примеры таких данных:
- Данные об использовании продуктов и служб, например журналы о действиях пользователей
- Данные запросов и поисковых запросов пользователей
- Данные, создаваемые продуктами и службами, которые создаются в результате работы системы и взаимодействия пользователей или других систем.
Дополнительные сведения о системных журналах при экспорте права субъекта данных (DSR) см. в статье Обзор системных журналов из экспорта запроса субъекта данных (DSR).
Viva Engage
Удаление учетной записи пользователя не приводит к удалению системных журналов для Viva Engage. Чтобы удалить данные из этих приложений, ознакомьтесь с одним из следующих ресурсов:
Национальные облака
В некоторых национальных облаках глобальному ИТ-администратору нужно удалить журналы, созданные системой.
Службы корпорации Майкрософт
Если ваша организация или пользователи взаимодействуют с корпорацией Майкрософт для получения поддержки, связанной с продуктами и службами Майкрософт, некоторые из этих данных могут содержать персональные данные. Дополнительные сведения см. в статье Запросы субъектов данных о предоставлении поддержки и профессиональных услуг Майкрософт, определенные в GDPR.
Продукты Майкрософт для управляющих
В некоторых случаях пользователи вашей организации могут получать доступ к продуктам или службам Майкрософт, для которых корпорация Майкрософт является управляющим данными. В таких случаях пользователям потребуется инициировать свои DSR непосредственно в Майкрософт, и Майкрософт будет направлять запросы непосредственно пользователю.
Сторонние продукты
Для сторонних продуктов и служб, доступ к которые осуществляется через проверку подлинности учетной записи Майкрософт, направляйте все запросы субъектов данных соответствующей третьей стороне.
Средства администрирования запросов субъектов данных
- Порталы Майкрософт. Экспорт данных, созданных пользователем или созданных пользователем, с помощью портала Microsoft Purview или функций в приложении.
- центр Microsoft Entra Администратор. Удаление субъекта данных из Microsoft Entra ID и связанных служб с помощью центра Microsoft Entra Администратор.
- Экспорт журнала данных Майкрософт. Администраторы клиента могут экспортировать системные журналы с помощью экспорта журналов данных Майкрософт.