共用方式為

GDPR 與 CCPA 和資料主體要求

針對為歐盟 (EU) 中的人們提供產品及服務或為歐盟居民收集和分析資料的組織,一般資料保護規定 (GDPR) 推出了新的規則,而無論您或您的企業位於何處都必須遵守。 你可以在 GDPR摘要文章中找到更多細節。

同樣地,加州消費者隱私法 (CCPA) 提供加州消費者隱私權利與義務。 這些權利包括類似GDPR資料主體權利的權利,例如刪除、存取及接收 (可攜性) 個人資訊的權利。 CCPA 也提供特定揭露、針對選擇行使權時的歧視提供保護,以及特定資料傳輸的「選擇退出/選擇加入」需求分類為「銷售」。 本文件會引導您了解依據 GDPR 和 CCPA 使用 Microsoft 產品和服務時,完成資料主體要求 (DSR) 的相關資訊。

術語

本文件中使用的 GDPR 術語的實用定義:

  • 資料控制者 (控制者) :一個法人、公共機構、機關或其他團體,單獨或與他人共同決定個人資料處理的目的與方式。
  • 個人資料和資料主體:與已識別或可識別的自然人 (資料主體) 相關的任何資訊;可識別的自然人為可直接或間接識別的個人。
  • 處理者:自然人或法人、公家機關、公司,或代表控制者處理個人資料的其他主體。
  • 客戶資料:在公司運作的日常作業中產生並儲存的資料。

什麼是 DSR?

GDPR (《通用資料保護條例》) 賦予 (規定中稱為資料主體) 者管理雇主或其他機構或組織(稱為資料控制者或控制者) (的個人資料的權利。 GDPR賦予資料主體對其個人資料的特定權利。 這些權利包括取得個人資料副本、請求變更、限制處理、刪除資料,或以電子格式接收資料以便轉移至其他控制者。

作為管制員,你有義務迅速考慮每一項DSR,並提供實質性的回應,無論是採取所要求的行動,或解釋為何管制員無法配合DSR。 請諮詢您自己的法律或合規顧問,了解任何DSR的妥善處置。

完成DSR可能需要多個流程,但須遵守貴組織的GDPR合規規定。

  • 探索。 決定需要什麼資料才能完成 DSR 的程序。
  • 存取。 擷取並可能傳輸給所發現資訊的資料主體。
  • 修正。 實作變更或其他要求的個人資料變更。
  • 限制。 透過限制存取或移除 Microsoft 雲端資料,來改變個人資料的存取或處理方式。
  • 匯出。 對資料主體提供「結構化、常用、機器可讀取格式」的個人資料,如 GDPR 的「資料可攜帶權」所提供。
  • 刪除。 從 Microsoft 雲端永久移除個人資料。

DSR 的特定考量

由 Microsoft 產品或服務產生的洞察

洞察可能由像 Viva Personal Insights 這類服務產生。 Office 365 包含線上服務,為使用者及使用者組織提供洞察。 這些服務產生的資料可能會產生與DSR相關的個人資料。 有關各軍種DSR流程的詳細資訊,請參閱以下章節。

系統產生的記錄檔的 DSR

Microsoft 產生的日誌及相關資料可能包含 GDPR 視為個人資料。 你無法限制或修正系統產生的日誌中的資料。 系統產生日誌中的資料是指在 Microsoft 雲端及診斷資料中進行的事實行為。 修改將損害歷史紀錄,並增加詐欺與安全風險。 Microsoft 提供存取、匯出及刪除系統產生日誌的功能,這些日誌可能用於完成 DSR。 此類資料的範例包括:

  • 產品和服務使用情況資料 (例如使用者活動記錄)
  • 使用者搜尋要求和查詢資料
  • 由系統功能及使用者或其他系統互動所產生的產品與服務所產生的資料。

欲了解更多關於資料主體權利 (DSR) 導出產生的系統日誌資訊,請參閱資料 主體請求 (DS) R匯出系統產生日誌概覽

Viva Engage

刪除用戶帳號並不會移除 Viva Engage 的系統產生日誌。 若要移除這些應用程式中的資料,請參閱下列其中一項資源:

國家/地區雲端

在某些國家/地區的雲端中,全域 IT 系統管理員必須刪除由系統產生的記錄檔。

Microsoft 服務

如果您的組織或使用者與 Microsoft 聯繫以獲得與 Microsoft 產品和服務相關的支援,這些資料中可能包含個人資料。 如需詳細資訊,請參閱 GDPR 的 Microsoft 支援服務與專業服務資料主體要求

Microsoft 控制者產品

在某些情況下,您的組織用戶可能會存取Microsoft作為資料控制者Microsoft產品或服務。 在這些情況下,使用者必須直接向 Microsoft 起始自己的 DSR,而 Microsoft 會直接向使用者履行要求。

協力廠商產品

對於透過 Microsoft 帳號驗證存取的第三方產品與服務,請將任何資料主體請求轉交給相關第三方。

資料主體要求系統管理工具

深入了解

  • Last updated on