“通用数据保护条例”(GDPR)代表了全球隐私要求的范式转变,规定了组织如何在尊重个人选择的同时管理和保护个人数据 - 无论数据发送,处理或存储在何处。它为向欧盟(EU)居民提供产品和服务的组织提供了有关隐私,安全和合规的新要求。
Microsoft Dynamics 365 致力于帮助客户满足其 GDPR 要求:
提高个人隐私权利
增加保护数据的责任
强制违规报告
严惩违规行为
在Dynamics 365中,主要通过在三个层面来实现GDPR合规性要求:
数据集中处理:在一个系统中集中处理,简化数据管理,分类和监督。
提供最大划保护:使用行业领先的、最新的加密和安全技术来保护数据,并由专家进行评估。
简化合规性管理:使用已经获得国际认可的标准的服务,更容易地满足新的合规要求
Dynamics 365的合规性分为以下四个控制流程:
发现:确定用户个人数据以及它所在的位置
管理:针对用户个人数据如何使用和访问制定合规标准
保护:实施数据保护和安全监测机制,防止数据泄露
报告:保持文档记录,以及对于数据泄露事件进行通告
具体到搜索和识别个人数据,微软 Dynamics 365 提供了多种方法来搜索记录中的个人数据,包括高级查找、快速查找和相关性搜索。帮助您能够更准确地识别个人数据。由于GDPR 的新规定提升了资料当事人的权限,Dynamics 365 平台的灵活性可以让开发者构建应用扩展,用于数据分类,例如实体和字段级别。通过这些级别分类,客户可以根据GDPR 请求配置表单和视图来查找个人信息。在记录级别上,数据分类可以通过解决方案定制来实现。
根据 GDPR 的规定,资料当事人拥有转移数据的权利,有权以结构化、常用、机器可读的格式请求和接收他们的个人数据。最后,资料当事人在处理数据的过程中如果提出了暂时停止的请求,企业必须按照请求停止数据的处理。 Dynamics 365 使用 Azure Active Directory 简化用户和组的管理, 并使管理员轻松分配和撤销权限,保护您的数据免遭未经授权的访问。基于角色的安全性允许您分组限制用户可执行任务的权限,基于记录的安全性可 以限制用户对特定记录的访问,而字段级安全性可以限制对特定重要字段的访问,例如个人身份信息。
GDPR 要求管理者对于资料当事人个人数据的处理意向是透明的。Dynamics 365 提供了能显示详细信息的自定义 隐私声明的功能;该信息可以显示在表单上,或内部和外部门户的登录屏幕上。虽然 Dynamics 365 平台也能够托管外部隐私权声明,但企业有责任确保通知的具体语言符合GDPR 的规定。
GDPR 要求企业给予资料当事人反对数据处理的权利,必须有能力按照要求停止处理。Dynamics 365 具有多种工具可帮助企业按要求停止处理。诸如“高级查找”、“快速查找”和“相关性搜索”等工具使企业能够手动停止对Dynamics 365 功能的处理,包括营销和文本分析。
在处理数据之前,GDPR 要求控制者拥有法律依据,例如获得资料当事人的同意。Dynamics 365 提供了一个门户,您可以在处理 个人数据之前提出请求并获得同意。收集个人资料时,Dynamics 365 Customer Engagement可让您创建复选框和其他元素,使资料当事人在提交 个人资料之前表明意向。虽然 Dynamics 365 平台也能够托管外部隐私权声明,但您有责任确保通知的具体语言符合 GDPR 的规定。
GDPR 规定,处理个人资料的控制者向资料当事人提供手段,用来提交纠正、 删除或转移其个人资料的请求。Dynamics 365 为用户提供了几种工具,用来清 除和编辑与第三方资料当事人以及员工用户帐户相关的个人数据。用户可以 手动跟踪纠正、删除或转移个人数据的请求,并可以创建支持请求来跟踪和 管理资料当事人的权限请求。另外,请求生命周期中采取的操作可以跟踪, 并且在完成后可以标记为已解决。Dynamics 365 Customer Engagement 管理员可以使用门户提出和接收与个人数据有关的请求。
GDPR 规定,所有资料当事人都有权要求控制者删除其个人资料。 Dynamics 365 提供了几种清除资料当事人个人 数据的方法。高级查找工具能够帮助您识别个人数据,企业用户可以在 Dynamics 365 中轻松找到并直接删除记录。
GDPR 规定,资料当事人具有转移数据的权利。这意味着他们有权以结构化、 常用和机器可读的格式从控制者那里请求和接收他们的个人数据。Dynamics 365 数据可以导出到一个静态的Excel文件,方便满足数据转移的请求。企业可以使用Excel 编辑将包含在请求中的 个人数据,然后以常用、机器可读的格式(例如.csv 或.xml)保存数据。
加密是满足 GDPR 高标准安全规范的手段之一。 如果发生数据泄露,一旦发现,企业用户必须立即通知监管机构,也可能需要通知受影响的资料当事人。定期测试、评估和评价技术和企业安全措施的有效性,可以确保您在用正确的方式保护个人数据。 Dynamics 365 服务开发使用了微软的安全开发 生命周期,它采用了为隐私而建和默认隐私保护的方法,并符合微软的隐私政策。此外,许多 Dynamics 365 服务至少每年都要针对若干全球数据隐私 和网络安全标准(包括 ISO / IEC 27018)进行审核。Dynamics 365 使用了诸如透明数据加密(TDE*) 等技术来加密静态数据和传输层安全(TLS*),确保服务之间的通信。对于 Dynamics 365,Microsoft SQL Server 字段级加密可用于包含敏感信息的一 组默认实体属性。
为了通过报告来显示 GDPR 合规情况,企业用户应该保留所有处理活动、请求及其解 决方案的审计跟踪。企业还需要跟踪和记录个人数据如何流入和流出欧盟和第三 方服务提供商,因为个人资料的转移仅限于具有适当保障措施的国家和第三方。 最后,在处理可能对个人的权利和自由构成高风险的个人数据时,必须进行数据保护影响评估(DPIA)。该内部程序可以评估潜在风险,并提出适当的修复 措施。
企业用户可以在Dynamics 365 环境中跟踪和记录数据更改。Dynamics 365中可以审核的数据和操作包括创建、修改和删除记录; 记录共享权限的改变;用户的添加和删除;安全角色的分配;以及用户与团队和业务部门的关联。您可以使用这些记录和审核工具来记录资料当事人请求的解决方案,并记录与修改、删除或传输个人数据相关的事件。
此外,GDPR还规定个人资料如果需要转移到欧盟以外,只能进入拥有适当保障措施 或存在其他具体保障措施的国家。 Dynamics 365 允许企业选择存储数据的位置,减少将个人数据转出欧盟的情况。在初始设置过程中,用户可以选择来自全球30多个地区的数据中心。此外,微软已经做出了与 Azure 相关的许多合同承诺, 使微软生态系统中的个人数据能够恰当地流动。微软已实施欧盟示范条款,并获得了欧盟-美国隐私权保护框架的认证。