Giới thiệu về yêu cầu DSR
Quy định chung về bảo vệ dữ liệu của Liên minh châu Âu (GDPR) đã cho phép mọi người, gọi là chủ thể dữ liệu, quản lý dữ liệu cá nhân được thu thập bởi các tổ chức hoặc công ty khác, gọi là bên kiểm soát hoặc bên kiểm soát dữ liệu. Dữ liệu cá nhân được định nghĩa rất rộng theo GDPR, bao gồm bất kỳ thông tin nào liên quan đến một cá nhân đã được xác định hoặc có thể xác định được. GDPR đã cấp cho chủ thể dữ liệu những quyền sau liên quan đến dữ liệu cá nhân của họ:
- Nhận một bản sao của dữ liệu
- Yêu cầu chỉnh sửa
- Hạn chế xử lý
- Xóa dữ liệu
- Nhận dữ liệu ở định dạng điện tử để chuyển đến bên kiểm soát khác
Yêu cầu chính thức của chủ thể dữ liệu gửi bộ kiểm soát để thực hiện các hành động đối với dữ liệu của họ được gọi là quyền của chủ thể dữ liệu (DSR).
Bài viết này mô tả cách Microsoft đã chuẩn bị cho GDPR và cung cấp các ví dụ về các bước bạn có thể thực hiện để hỗ trợ việc tuân thủ GDPR bằng cách sử dụng Power Apps, Power Automate và Microsoft Dataverse. Bạn sẽ tìm hiểu cách sử dụng các sản phẩm, dịch vụ và công cụ quản lý của Microsoft để giúp khách hàng kiểm soát, truy cập và xử lý dữ liệu cá nhân trong đám mây của Microsoft theo yêu cầu DSR của họ.
Khám phá
Bước đầu tiên để phản hồi yêu cầu DSR là tra cứu dữ liệu cá nhân của chủ thể yêu cầu. Bước đầu tiên – định vị và xem xét dữ liệu cá nhân được đề cập – sẽ giúp bạn xác định xem yêu cầu DSR có đáp ứng các yêu cầu của tổ chức bạn để thực hiện hoặc từ chối yêu cầu DSR hay không. Ví dụ: sau khi khám phá và xem xét dữ liệu cá nhân được đề cập, bạn có thể xác định rằng một yêu cầu không tuân thủ các nguyên tắc tuân thủ các yêu cầu DSR của tổ chức bạn vì làm như vậy có thể tác động tiêu cực đến các quyền và tự do của bạn.
Bước 1: Tìm dữ liệu cá nhân trong Power Apps
Sử dụng các công cụ tìm kiếm và khám phá để dễ dàng tìm thấy dữ liệu cá nhân của khách hàng có thể liên quan đến yêu cầu DSR. Khi thu thập tài liệu phản hồi, bạn có thể phản hồi yêu cầu bằng cách thực hiện một hoặc nhiều hành động DSR. Bạn cũng có thể xác định xem yêu cầu có tuân thủ các nguyên tắc và yêu cầu DSR của tổ chức bạn hay không.
Bước 2: Tìm dữ liệu cá nhân trong Power Automate
Power Apps luôn bao gồm tính năng tự động hóa nguồn. Ngoài việc được tích hợp vào Power Apps, Power Automate cũng có sẵn như một dịch vụ độc lập. Sử dụng Power Automate để tìm dữ liệu cá nhân được lưu trữ trong dịch vụ tự động hóa. Điều này cho phép bạn khám phá dữ liệu cá nhân và thực hiện các hành động cần thiết để đáp ứng yêu cầu DSR.
Bước 3: Tìm dữ liệu cá nhân trong Microsoft Dataverse
Microsoft đã cung cấp giấy phép Power Apps cho phép người dùng tạo môi trường dữ liệu và xây dựng ứng dụng trên nền tảng dữ liệu. Sử dụng Microsoft Dataverse để tìm dữ liệu cá nhân được lưu trữ trong môi trường dữ liệu của tổ chức. Bạn có thể xác định xem yêu cầu DSR có đáp ứng các yêu cầu của tổ chức hay không.
Sửa
Nếu chủ thể dữ liệu yêu cầu bạn chỉnh sửa dữ liệu cá nhân trong dữ liệu tổ chức, bạn và tổ chức của bạn cần xác định xem việc làm như vậy có phù hợp hay không. Chỉnh sửa dữ liệu có thể bao gồm chỉnh sửa, sắp xếp lại hoặc xóa dữ liệu cá nhân khỏi tài liệu hoặc bất kỳ mục nào khác. Sử dụng Azure Active Directory để quản lý dữ liệu cá nhân của người dùng trong Power Apps. Microsoft không cung cấp khả năng chỉnh sửa nhật ký do hệ thống tạo ra để tạo lịch sử chi tiết về các sự kiện trong các dịch vụ của họ.
Hạn chế
Chủ thể dữ liệu có thể yêu cầu bạn hạn chế xử lý dữ liệu cá nhân của họ. Microsoft cung cấp Giao diện lập trình ứng dụng (API) và Giao diện người dùng (UI) để quản lý DSR thông qua kết hợp xuất và xóa dữ liệu. Khách hàng có thể yêu cầu phân phát bản sao điện tử của dữ liệu cá nhân, xóa tài khoản và dữ liệu liên quan khỏi hệ thống Microsoft.
Xuất
Quyền “di chuyển dữ liệu” cho phép chủ thể dữ liệu yêu cầu một bản sao dữ liệu cá nhân của họ ở dạng điện tử. Dữ liệu này có thể được chuyển đổi sang một định dạng khác của bên kiểm soát dữ liệu. Sử dụng Power Apps để xuất dữ liệu khách hàng dưới dạng điện tử và chuyển đến bên kiểm soát dữ liệu khác.
Xóa
Quyền “xóa” dữ liệu cá nhân khỏi hệ thống của một tổ chức là biện pháp bảo vệ chính trong GDPR. Việc xóa dữ liệu cá nhân bao gồm xóa nhật ký được tạo ra bởi hệ thống. Sử dụng Power Apps để xóa dữ liệu khách hàng khi tài khoản người dùng được xóa khỏi Azure Active Directory.
Với sự hỗ trợ từ Microsoft, việc tuân thủ thực hiện yêu cầu DSR của GDPR trở nên dễ dàng và đáng tin cậy. Hãy tham khảo các hướng dẫn chi tiết trên website iedv để tìm hiểu thêm về cách sử dụng các sản phẩm và dịch vụ của Microsoft để bảo vệ dữ liệu cá nhân và đáp ứng các yêu cầu của tổ chức bạn.