Hướng dẫn đánh giá tác động bảo vệ dữ liệu (DPIA) theo GDPR với Microsoft Dynamics 365 và Power Platform
Cập nhật: Tháng 5/2025
Đối tượng: Doanh nghiệp sử dụng Microsoft Dynamics 365 và Power Platform
Quy định Bảo vệ Dữ liệu Chung (GDPR – General Data Protection Regulation) của Liên minh Châu Âu yêu cầu Tổ chức kiểm soát dữ liệu (Controller) thực hiện Đánh giá Tác động Bảo vệ Dữ liệu (DPIA – Data Protection Impact Assessment) cho các hoạt động xử lý dữ liệu có khả năng gây rủi ro cao đối với quyền và tự do của cá nhân. Tài liệu này cung cấp hướng dẫn toàn diện để doanh nghiệp khách hàng của BSD (gọi chung là Doanh nghiệp khách hàng BSD) xác định khi nào cần DPIA và cách xây dựng DPIA khi sử dụng Microsoft Dynamics 365 và Power Platform. Chúng tôi tích hợp thông tin từ chương trình EU Data Boundary để đảm bảo dữ liệu được lưu trữ và xử lý an toàn trong EU/EFTA, hỗ trợ tuân thủ GDPR.
Tài liệu bao gồm:
- Tổng quan về DPIA và yêu cầu GDPR.
- Quy trình xác định khi nào cần DPIA.
- Các yếu tố cần đưa vào DPIA.
- Thông tin cụ thể về Dynamics 365 và Power Platform.
- Hành động đề xuất cho doanh nghiệp khách hàng BSD.
Lưu ý pháp lý: Tài liệu này cung cấp thông tin tham khảo, không phải tư vấn pháp lý. Doanh nghiệp khách hàng BSD nên phối hợp với Nhân viên Bảo vệ Dữ liệu (DPO – Data Protection Officer) nội bộ, cố vấn pháp lý, hoặc chuyên gia quyền riêng tư để xác định yêu cầu DPIA và nội dung cụ thể.
1. Tổng quan về DPIA theo GDPR #
1.1 DPIA là gì? #
Theo Điều 35 GDPR, Đánh giá Tác động Bảo vệ Dữ liệu (DPIA) là quy trình mà Tổ chức kiểm soát dữ liệu (Controller) thực hiện để đánh giá rủi ro đối với quyền và tự do của cá nhân trong các hoạt động xử lý dữ liệu có khả năng gây rủi ro cao. DPIA giúp:
- Xác định rủi ro tiềm ẩn (như tiết lộ dữ liệu, phân biệt đối xử, đánh cắp danh tính).
- Đề xuất biện pháp giảm thiểu (mã hóa, kiểm soát truy cập, chính sách quyền riêng tư).
- Đảm bảo tuân thủ GDPR và minh bạch với chủ thể dữ liệu.
Ví dụ: Doanh nghiệp khách hàng BSD sử dụng Dynamics 365 để xử lý dữ liệu y tế của hàng nghìn khách hàng, cần DPIA để đánh giá rủi ro tiết lộ dữ liệu và đề xuất mã hóa mạnh mẽ.
1.2 Khi nào cần DPIA? #
DPIA là bắt buộc theo Điều 35(1) GDPR khi hoạt động xử lý dữ liệu có khả năng gây rủi ro cao đối với quyền và tự do của cá nhân, đặc biệt khi sử dụng công nghệ mới. Các yếu tố kích hoạt DPIA bao gồm:
- Đánh giá tự động và lập hồ sơ: Xử lý tự động dữ liệu cá nhân dẫn đến quyết định có hiệu lực pháp lý hoặc ảnh hưởng đáng kể (như từ chối khoản vay, tuyển dụng).
- Xử lý dữ liệu đặc biệt quy mô lớn: Dữ liệu y tế, chủng tộc, quan điểm chính trị, tội phạm, hoặc dữ liệu sinh trắc học.
- Giám sát công khai quy mô lớn: Theo dõi khu vực công cộng (như camera giám sát).
Lưu ý: Không có yếu tố nào trong Dynamics 365 hoặc Power Platform tự động yêu cầu DPIA. Việc cần DPIA phụ thuộc vào cách Doanh nghiệp khách hàng BSD cấu hình và sử dụng các dịch vụ này.
1.3 Vai trò của Dynamics 365 và Power Platform #
Dynamics 365 và Power Platform là các nền tảng tùy chỉnh cao, cho phép xử lý nhiều loại dữ liệu cá nhân. Microsoft, với tư cách là Tổ chức xử lý dữ liệu (Processor), cung cấp các công cụ và biện pháp bảo vệ để hỗ trợ DPIA, nhưng Doanh nghiệp khách hàng BSD (Controller) chịu trách nhiệm:
- Xác định khi nào cần DPIA dựa trên cách triển khai và sử dụng dịch vụ.
- Xây dựng DPIA, bao gồm đánh giá rủi ro và biện pháp giảm thiểu.
- Tham vấn Cơ quan Bảo vệ Dữ liệu (DPA – Data Protection Authority) nếu cần.
Ví dụ: Nếu Doanh nghiệp khách hàng BSD sử dụng Dynamics 365 Customer Insights để lập hồ sơ tự động khách hàng, cần DPIA để đánh giá rủi ro phân biệt đối xử.
1.4 Thuật ngữ chính #
| Thuật ngữ | Định nghĩa |
|---|---|
| Đánh giá Tác động Bảo vệ Dữ liệu (DPIA) | Quy trình đánh giá rủi ro của hoạt động xử lý dữ liệu đối với quyền và tự do của cá nhân. |
| Tổ chức kiểm soát dữ liệu (Controller) | Tổ chức quyết định mục đích và phương thức xử lý dữ liệu cá nhân (như Doanh nghiệp khách hàng BSD). |
| Tổ chức xử lý dữ liệu (Processor) | Tổ chức xử lý dữ liệu thay mặt tổ chức kiểm soát (như Microsoft). |
| Dữ liệu đặc biệt (Special Categories of Data) | Dữ liệu về y tế, chủng tộc, quan điểm chính trị, tội phạm, sinh trắc học, hoặc đời sống tình dục. |
| Chương trình EU Data Boundary | Cam kết của Microsoft lưu trữ dữ liệu khách hàng trong EU/EFTA, hỗ trợ tuân thủ GDPR. |
2. Quy trình xác định khi nào cần DPIA #
2.1 Các yếu tố rủi ro cao theo GDPR #
Theo Điều 35(3) GDPR, DPIA là bắt buộc trong các trường hợp sau:
| Yếu tố rủi ro | Mô tả |
|---|---|
| Đánh giá tự động và lập hồ sơ (Automated Processing and Profiling) | Xử lý tự động dữ liệu cá nhân, bao gồm lập hồ sơ, dẫn đến quyết định có hiệu lực pháp lý hoặc ảnh hưởng đáng kể (như từ chối tín dụng, sa thải). |
| Xử lý dữ liệu đặc biệt quy mô lớn (Large-Scale Processing of Special Data) | Xử lý dữ liệu y tế, chủng tộc, quan điểm chính trị, tội phạm, hoặc sinh trắc học với số lượng lớn. |
| Giám sát công khai quy mô lớn (Large-Scale Public Monitoring) | Theo dõi khu vực công cộng (như camera CCTV) với phạm vi lớn. |
Lưu ý: Điều 91 GDPR quy định rằng xử lý dữ liệu cá nhân bởi bác sĩ, luật sư, hoặc chuyên gia y tế cá nhân không được coi là “quy mô lớn”, nên không bắt buộc DPIA.
2.2 Dynamics 365 và Power Platform liên quan đến DPIA #
Không có yếu tố nào trong Dynamics 365 hoặc Power Platform tự động kích hoạt DPIA. Tuy nhiên, cách Doanh nghiệp khách hàng BSD triển khai, cấu hình, và sử dụng các dịch vụ này có thể dẫn đến rủi ro cao, yêu cầu DPIA. Các yếu tố cụ thể:
| Yếu tố rủi ro | Liên quan đến Dynamics 365 và Power Platform |
|---|---|
| Đánh giá tự động và lập hồ sơ | – Dynamics 365 (như Customer Insights) có thể thực hiện xử lý tự động (ví dụ: chấm điểm khách hàng tiềm năng). – Không được thiết kế để đưa ra quyết định có hiệu lực pháp lý hoặc ảnh hưởng đáng kể, nhưng doanh nghiệp có thể tùy chỉnh để làm điều này (ví dụ: tự động từ chối khách hàng). – Doanh nghiệp cần đánh giá cách sử dụng để xác định rủi ro. |
| Xử lý dữ liệu đặc biệt quy mô lớn | – Không được thiết kế để xử lý dữ liệu đặc biệt quy mô lớn, nhưng doanh nghiệp có thể tùy chỉnh để xử lý dữ liệu y tế, chủng tộc, hoặc tội phạm. – Microsoft không kiểm soát hoặc có cái nhìn sâu về dữ liệu tùy chỉnh, nên doanh nghiệp phải tự đánh giá. |
| Giám sát công khai quy mô lớn | – Không được thiết kế để giám sát công khai, nhưng doanh nghiệp có thể sử dụng để xử lý dữ liệu từ giám sát (ví dụ: dữ liệu camera CCTV). – Doanh nghiệp chịu trách nhiệm xác định dữ liệu giám sát và rủi ro liên quan. |
Ví dụ: Doanh nghiệp khách hàng BSD sử dụng Dynamics 365 để lưu trữ dữ liệu y tế của hàng nghìn bệnh nhân. Điều này yêu cầu DPIA do xử lý dữ liệu đặc biệt quy mô lớn.
2.3 Khi nào Doanh nghiệp khách hàng BSD cần DPIA? #
Doanh nghiệp khách hàng BSD nên thực hiện DPIA nếu:
- Sử dụng Dynamics 365 để lập hồ sơ tự động dẫn đến quyết định ảnh hưởng đáng kể (như từ chối dịch vụ dựa trên điểm số khách hàng).
- Xử lý dữ liệu đặc biệt quy mô lớn (như hồ sơ y tế, dữ liệu tội phạm).
- Sử dụng dữ liệu từ giám sát công khai quy mô lớn (như phân tích video giám sát).
- Triển khai công nghệ mới với rủi ro cao (như AI trong Power Platform để phân tích hành vi).
Lưu ý: DPIA nên bắt đầu sớm trong dự án, song song với giai đoạn lập kế hoạch và phát triển, để xác định rủi ro từ đầu.
Hành động đề xuất:
- Kiểm tra dữ liệu trong Dynamics 365 và Power Platform để xác định có yếu tố rủi ro cao (lập hồ sơ, dữ liệu đặc biệt, giám sát).
- Tham khảo hướng dẫn từ Cơ quan Bảo vệ Dữ liệu (DPA) hoặc Nhân viên Bảo vệ Dữ liệu (DPO) nội bộ để đánh giá cần DPIA.
- Liên hệ BSD để hỗ trợ đánh giá dữ liệu và xây dựng DPIA.
3. Nội dung của DPIA #
3.1 Yêu cầu nội dung DPIA theo GDPR #
Theo Điều 35(7) GDPR, DPIA phải bao gồm các yếu tố sau:
- Mô tả hệ thống về hoạt động xử lý và mục đích:
- Loại dữ liệu được xử lý (như tên, email, dữ liệu y tế).
- Thời gian lưu trữ dữ liệu.
- Vị trí lưu trữ và chuyển giao dữ liệu.
- Các bên thứ ba có quyền truy cập dữ liệu.
- Sơ đồ luồng dữ liệu (data flow diagram).
- Đánh giá tính cần thiết và tỷ lệ của hoạt động xử lý:
- Lý do cần xử lý dữ liệu (như cung cấp dịch vụ, phân tích khách hàng).
- Tính tỷ lệ so với mục đích (giảm thiểu dữ liệu, giới hạn mục đích).
- Đánh giá rủi ro đối với quyền và tự do của cá nhân:
- Rủi ro tiềm ẩn (tiết lộ dữ liệu, phân biệt đối xử, đánh cắp danh tính).
- Mức độ nghiêm trọng và khả năng xảy ra.
- Biện pháp giảm thiểu rủi ro:
- Biện pháp bảo mật (mã hóa, kiểm soát truy cập).
- Chính sách quyền riêng tư và quy trình xử lý DSR.
- Chứng nhận tuân thủ (như ISO/IEC 27018).
Ví dụ: DPIA cho Dynamics 365 Customer Service của Doanh nghiệp khách hàng BSD mô tả dữ liệu khách hàng (tên, email, giao dịch), lưu trữ tại Ireland, đánh giá rủi ro tiết lộ dữ liệu, và đề xuất mã hóa AES-256.
3.2 Dynamics 365 và Power Platform trong DPIA #
Dưới đây là thông tin cụ thể về Dynamics 365 và Power Platform liên quan đến các yếu tố DPIA, giúp Doanh nghiệp khách hàng BSD xây dựng DPIA hiệu quả:
| Yếu tố DPIA | Thông tin về Dynamics 365 và Power Platform |
|---|---|
| Mục đích xử lý | – Doanh nghiệp khách hàng BSD quyết định mục đích xử lý (như quản lý khách hàng, phân tích tiếp thị). – Microsoft (Processor) xử lý dữ liệu theo hướng dẫn của doanh nghiệp, theo Điều khoản Sản phẩm và Phụ lục Bảo vệ Dữ liệu (DPA). – Microsoft xử lý dữ liệu cá nhân cho hoạt động kinh doanh nội bộ (như cải thiện dịch vụ), nhưng tổng hợp dữ liệu để giảm khả năng nhận dạng cá nhân. – Không sử dụng dữ liệu khách hàng cho lập hồ sơ hoặc quảng cáo thương mại. |
| Mô tả xử lý (loại dữ liệu, lưu trữ, chuyển giao) | – Loại dữ liệu: Bao gồm Dữ liệu khách hàng (tên, email, giao dịch), Dữ liệu do dịch vụ tạo ra (nhật ký sử dụng, hiệu suất), và Dữ liệu dịch vụ chuyên nghiệp (dữ liệu hỗ trợ kỹ thuật). – Lưu trữ: Dữ liệu được lưu trong khu vực địa lý do doanh nghiệp chọn (như Hà Lan, Ireland), theo chương trình EU Data Boundary. – Thời gian lưu trữ: Dữ liệu khách hàng được giữ trong thời gian đăng ký, có thể truy cập và xuất. Sau khi hết hạn, Microsoft giữ dữ liệu trong 90 ngày trước khi xóa, trừ khi doanh nghiệp yêu cầu xóa sớm. – Chuyển giao: Dữ liệu có thể được chuyển ra ngoài EEA cho mục đích bảo mật toàn cầu, được bảo vệ bởi Điều khoản Hợp đồng Chuẩn (SCC) và Khung Quyền riêng tư Dữ liệu (Data Privacy Framework). |
| Tính cần thiết và tỷ lệ | – Xử lý của Microsoft là cần thiết và tỷ lệ để cung cấp dịch vụ (như lưu trữ, phân tích hiệu suất). – Doanh nghiệp cần đánh giá tính cần thiết và tỷ lệ của mục đích riêng (như phân tích khách hàng, tiếp thị). – Microsoft tổng hợp dữ liệu để giảm rủi ro quyền riêng tư. |
| Rủi ro đối với quyền và tự do | – Rủi ro phụ thuộc vào cách doanh nghiệp sử dụng Dynamics 365 (như lập hồ sơ tự động, xử lý dữ liệu y tế). – Rủi ro tiềm ẩn: Truy cập trái phép, tiết lộ dữ liệu do cấu hình sai. – Microsoft giảm rủi ro bằng tổng hợp dữ liệu và biện pháp bảo mật. |
| Chia sẻ với bên thứ ba (subprocessors) | – Microsoft chia sẻ dữ liệu với các bên xử lý phụ (subprocessors) để hỗ trợ dịch vụ (như hỗ trợ kỹ thuật, bảo trì). – Các bên xử lý phụ ký hợp đồng với Microsoft, tuân thủ Điều khoản Sản phẩm và DPA, đảm bảo bảo vệ dữ liệu. – Danh sách bên xử lý phụ được công khai tại Danh sách Nhà thầu phụ Dịch vụ Trực tuyến. |
| Biện pháp giảm thiểu rủi ro | – Bảo mật: Mã hóa dữ liệu đang truyền và tại chỗ, kiểm soát truy cập dựa trên vai trò, giám sát 24/7. – Chứng nhận: Tuân thủ tiêu chuẩn ISO/IEC 27018, SOC, và các kiểm toán quốc tế. – Quy trình DSR: Hỗ trợ doanh nghiệp xử lý yêu cầu truy cập, xóa, xuất dữ liệu thông qua Dynamics 365 DSR Guide. – Chính sách quyền riêng tư: Microsoft áp dụng chính sách nội bộ và biện pháp tổ chức để bảo vệ dữ liệu. – EU Data Boundary: Lưu trữ dữ liệu trong EU/EFTA, giảm rủi ro chuyển giao ra ngoài. |
Ví dụ: Doanh nghiệp khách hàng BSD xây dựng DPIA cho Dynamics 365 Sales, mô tả dữ liệu khách hàng (tên, email, giao dịch), lưu trữ tại Hà Lan, đánh giá rủi ro truy cập trái phép, và đề xuất MFA, mã hóa AES-256, và kiểm soát truy cập.
3.3 Vai trò của Microsoft và Doanh nghiệp khách hàng BSD #
- Microsoft (Processor):
- Cung cấp công cụ để hỗ trợ DPIA (như Microsoft Purview Compliance Manager, Dataverse Web API).
- Cung cấp đoạn trích DPIA của Microsoft để doanh nghiệp tham khảo.
- Cam kết bảo mật qua mã hóa, kiểm soát truy cập, và chứng nhận tuân thủ.
- Hỗ trợ DSR thông qua chức năng sản phẩm, nhưng chuyển hướng yêu cầu DSR từ cá nhân đến doanh nghiệp.
- Doanh nghiệp khách hàng BSD (Controller):
- Xác định mục đích và cách xử lý dữ liệu.
- Đánh giá rủi ro và xây dựng DPIA dựa trên cách triển khai Dynamics 365/Power Platform.
- Tham vấn DPA nếu DPIA cho thấy rủi ro cao không thể giảm.
Hành động đề xuất:
- Yêu cầu Microsoft cung cấp đoạn trích DPIA qua tài khoản quản lý để xây dựng DPIA.
- Sử dụng Microsoft Purview Compliance Manager để đánh giá rủi ro GDPR.
- Liên hệ BSD để hỗ trợ xây dựng DPIA và tham vấn DPA nếu cần.
4. Tích hợp chương trình EU Data Boundary #
Chương trình EU Data Boundary đảm bảo dữ liệu trong tenant Dynamics 365 và Power Platform tại EU được lưu trữ và xử lý trong EU/EFTA, hỗ trợ tuân thủ GDPR:
- Giai đoạn 1 (1/2023): Lưu trữ dữ liệu khách hàng trong EU/EFTA.
- Giai đoạn 2 (1/2024): Lưu trữ dữ liệu cá nhân ẩn danh.
- Giai đoạn 3 (2/2025): Lưu trữ dữ liệu hỗ trợ kỹ thuật.
Hỗ trợ DPIA:
- Vị trí dữ liệu: Dữ liệu được lưu trữ tại các trung tâm dữ liệu EU (như Hà Lan, Ireland), giảm rủi ro chuyển giao ra ngoài EEA.
- Chuyển giao hạn chế: Một số dữ liệu có thể được chuyển ra ngoài EU/EFTA cho mục đích bảo mật toàn cầu, được bảo vệ bởi SCC và Khung Quyền riêng tư Dữ liệu.
- Minh bạch: Doanh nghiệp có thể tham khảo Trung tâm Minh bạch EU Data Boundary để mô tả luồng dữ liệu trong DPIA.
Ví dụ: DPIA của Doanh nghiệp khách hàng BSD ghi rõ dữ liệu Dynamics 365 được lưu tại Ireland, với chuyển giao hạn chế ra ngoài EU được bảo vệ bởi SCC, giảm rủi ro vi phạm GDPR.
Hành động đề xuất:
- Xác nhận tenant Dynamics 365/Power Platform tại EU tuân thủ EU Data Boundary.
- Bao gồm thông tin EU Data Boundary trong DPIA, đặc biệt về vị trí dữ liệu và chuyển giao.
- Liên hệ BSD để hỗ trợ kiểm tra cấu hình tenant EU.
5. Hành động đề xuất cho khách hàng BSD #
Để thực hiện DPIA hiệu quả với Dynamics 365 và Power Platform, Doanh nghiệp khách hàng BSD nên:
- Xác định khi nào cần DPIA:
- Kiểm tra dữ liệu trong Dynamics 365/Power Platform để xác định có yếu tố rủi ro cao (lập hồ sơ tự động, dữ liệu đặc biệt, giám sát công khai).
- Phối hợp với DPO nội bộ hoặc cố vấn pháp lý để đánh giá yêu cầu DPIA.
- Thu thập thông tin cho DPIA:
- Mô tả loại dữ liệu, mục đích xử lý, thời gian lưu trữ, và vị trí dữ liệu (dựa trên EU Data Boundary).
- Xác định bên xử lý phụ (subprocessors) từ Danh sách Nhà thầu phụ Dịch vụ Trực tuyến.
- Yêu cầu Microsoft cung cấp đoạn trích DPIA qua tài khoản quản lý.
- Xây dựng DPIA:
- Sử dụng Microsoft Purview Compliance Manager để đánh giá rủi ro GDPR và đề xuất biện pháp giảm thiểu.
- Bao gồm sơ đồ luồng dữ liệu, đánh giá tính cần thiết/tỷ lệ, rủi ro, và biện pháp bảo mật (mã hóa, MFA, kiểm soát truy cập).
- Tham khảo Điều khoản Sản phẩm và Phụ lục Bảo vệ Dữ liệu (DPA) để mô tả vai trò của Microsoft.
- Tham vấn DPA nếu cần:
- Nếu DPIA cho thấy rủi ro cao không thể giảm, liên hệ Cơ quan Bảo vệ Dữ liệu (DPA) tại quốc gia tenant (như DPC ở Ireland).
- Phối hợp với DPO của Microsoft tại EU để hỗ trợ tham vấn DPA.
- Tăng cường bảo mật và tuân thủ:
- Kích hoạt mã hóa, MFA, và kiểm soát truy cập trong Dynamics 365/Power Platform.
- Cập nhật chính sách quyền riêng tư để phản ánh DPIA và EU Data Boundary.
- Đào tạo nhân viên về GDPR, DPIA, và xử lý DSR.
- Tư vấn từ BSD:
- Liên hệ BSD để hỗ trợ kiểm tra dữ liệu, xây dựng DPIA, tham vấn DPA, và cấu hình bảo mật.
Ví dụ: Doanh nghiệp khách hàng BSD thực hiện DPIA cho Dynamics 365 Customer Voice, xác định dữ liệu khảo sát y tế, sử dụng Purview Compliance Manager để đề xuất mã hóa, và tham vấn DPA qua hỗ trợ của DPO Microsoft.
Hành động đề xuất:
- Liên hệ BSD để hỗ trợ xây dựng DPIA và tích hợp với Dynamics 365.
- Truy cập Microsoft Trust Center để cập nhật tài liệu DPIA và tuân thủ.
- Lưu DPIA trong ROPA để kiểm toán GDPR.
6. Câu hỏi thường gặp (FAQ) #
Dựa trên nội dung tài liệu gốc và các yếu tố bổ sung, dưới đây là các FAQ để giải đáp thắc mắc phổ biến về DPIA với Dynamics 365 và Power Platform:
| Câu hỏi | Trả lời |
|---|---|
| Khi nào Doanh nghiệp khách hàng BSD cần DPIA? | DPIA cần khi xử lý dữ liệu có rủi ro cao, như lập hồ sơ tự động, dữ liệu đặc biệt quy mô lớn, hoặc giám sát công khai. Doanh nghiệp cần đánh giá cách sử dụng Dynamics 365/Power Platform. |
| Microsoft có cung cấp DPIA sẵn có không? | Microsoft không cung cấp DPIA hoàn chỉnh, nhưng cung cấp đoạn trích DPIA để hỗ trợ doanh nghiệp xây dựng DPIA riêng, dựa trên cách triển khai. |
| Doanh nghiệp có cần chỉ định DPO để thực hiện DPIA không? | Nếu xử lý dữ liệu đặc biệt quy mô lớn, cần chỉ định DPO nội bộ hoặc thuê ngoài theo Điều 37 GDPR. DPO của Microsoft chỉ hỗ trợ tư vấn, không thay thế DPO của doanh nghiệp. |
| Làm thế nào để tham vấn DPA? | Nếu DPIA cho thấy rủi ro cao không thể giảm, liên hệ DPA tại quốc gia tenant (như DPC ở Ireland). DPO của Microsoft có thể hỗ trợ tư vấn và phối hợp. |
| EU Data Boundary ảnh hưởng thế nào đến DPIA? | EU Data Boundary đảm bảo dữ liệu lưu trữ trong EU/EFTA, giảm rủi ro chuyển giao ra ngoài, cần ghi rõ trong DPIA (vị trí dữ liệu, SCC cho chuyển giao hạn chế). |
| Microsoft xử lý dữ liệu cá nhân như thế nào trong DPIA? | Microsoft tổng hợp dữ liệu để giảm khả năng nhận dạng, không sử dụng dữ liệu khách hàng cho lập hồ sơ hoặc quảng cáo. Doanh nghiệp chịu trách nhiệm đánh giá dữ liệu tùy chỉnh. |
| Làm thế nào để giảm rủi ro trong DPIA? | Sử dụng mã hóa, MFA, kiểm soát truy cập, và tích hợp Purview Compliance Manager. Cập nhật chính sách quyền riêng tư và đào tạo nhân viên về GDPR. |
7. Tài nguyên bổ sung #
- Trung tâm Minh bạch EU Data Boundary: Thông tin về lưu trữ và chuyển giao dữ liệu.
- Trung tâm Tài nguyên GDPR của Microsoft: Hướng dẫn chi tiết về GDPR.
- Microsoft Trust Center: Tài liệu tuân thủ và bảo mật cho Dynamics 365/Power Platform.
- Danh sách Nhà thầu phụ Dịch vụ Trực tuyến: Danh sách bên xử lý phụ của Microsoft.
- Service Trust Portal: Danh sách kiểm soát bảo mật của Dynamics 365/Power Platform.
- Liên hệ BSD: Đội ngũ hỗ trợ triển khai DPIA qua [email hoặc form liên hệ trên trang web BSD].
Lưu ý: Tài liệu này được tổng hợp từ nguồn Microsoft Learn để hỗ trợ khách hàng BSD. Để được tư vấn chi tiết, vui lòng liên hệ đội ngũ của chúng tôi!
