데이터 보호 영향 평가: Microsoft 전문 서비스를 사용하는 데이터 컨트롤러의 참고 자료
Microsoft 전문 서비스 소개
Microsoft 전문 서비스에는 다양한 그룹의 기술 아키텍트, 엔지니어, 컨설턴트가 포함되어 고객이 더 많은 작업을 수행하고 더 많은 성과를 이룰 수 있게 고객 경험을 강화하고자 하는 Microsoft의 사명을 다하기 위해 최선을 다하는 전문가들을 지원합니다. Microsoft 전문 서비스 신뢰 페이지를 방문하여 Microsoft 전문 서비스에 대해 자세히 알아보세요.
Microsoft 전문 서비스는 GDPR(일반 데이터 보호 규정)에 따라 의무를 다합니다. 이 문서의 정보는 GDPR에 따라 DPIA(데이터 보호 영향 평가)를 준비할 때 고객이 사용할 수 있는 Microsoft의 지원 및 컨설팅 제품에 대한 정보를 제공하도록 설계되었습니다.
DPIA 소개
GDPR(일반 데이터 보호 규정)에 따라 데이터 컨트롤러는 '자연인의 권리와 자유에 대한 높은 위험을 초래할 수 있는' 처리 작업을 위한 DPIA를 준비해야 합니다. Microsoft Professional Services에는 데이터 컨트롤러에서 DPIA를 반드시 생성해야 하는 것은 없습니다. 대신 DPIA가 필요한지 여부는 서비스 유형의 세부 정보 및 컨텍스트와 데이터 컨트롤러가 전문 서비스를 사용하는 방법에 따라 달라집니다.
이 문서의 목적은 전문 서비스에 대한 정보와 데이터 컨트롤러를 제공하여 DPIA 필요 여부, 필요한 경우 포함할 세부 사항을 결정할 수 있도록 지원하는 것입니다.
1부 – DPIA가 필요한지 여부를 판단
GDPR 제35조에는 데이터 컨트롤러가 데이터 보호 영향 평가를 만들어야 합니다. '특히 새로운 기술을 사용하여 처리의 유형을 만들고 처리의 특성, scope, 컨텍스트 및 목적을 고려하여 자연인의 권리와 자유에 대한 위험이 높아질 수 있습니다.' 또한 다음 표에서 설명하는 이러한 높은 위험을 나타내는 특정 요인을 설명합니다. DPIA가 필요한지 여부를 결정할 때 데이터 컨트롤러는 전문 서비스의 데이터 컨트롤러의 특정 구현 및 사용에 비추어 이러한 요인을 다른 관련 요인과 함께 고려해야 합니다.
위험 요인 | 전문 서비스에 대한 관련 정보 |
---|---|
프로파일링을 포함한 자동화된 처리의 기반이 되고 자연인에 관한 법적 영향을 행사하거나 유사하게 자연인에게 중대한 영향을 주는 의사 결정의 기반이 되는 자연인과 관련된 개인 측면의 체계적이고 광범위한 평가. | 전문 서비스는 중단/수정 지원(예: 컴퓨터가 고장났을 때 고객 지원), 계정 마이그레이션 및 시스템 취약성 분석과 같은 데이터의 일정 또는 자동 처리를 수행합니다. 이 표의 뒷부분에 설명된 고객 개발을 제외한 전문 서비스 솔루션은 개인에게 법적 또는 유사하게 중요한 영향을 미치는 의사 결정의 처리를 수행하기 위한 것이 아닙니다. |
특정 범주의 대규모1 데이터(인종 또는 민족 태생, 정치적 견해, 종교적 또는 철학적 신념, 노동 조합 회원 및 유전자 데이터, 자연인의 고유한 식별을 목적으로 하는 생체 데이터, 건강 또는 자연인의 성생활이나 성적 취향에 관한 데이터의 처리) 처리 또는 범죄 유죄 판결 및 범죄와 관련된 개인 데이터 처리; | 전문 서비스는 이 표의 후반부에 있는 참고 사항에서 다루는 고객 개발을 제외한 개인 데이터의 특별 카테고리에 대한 처리가 요구되는 작업에 활용될 의도를 가지고 있지 않습니다. 그러나 데이터 컨트롤러는 전문 서비스 컨설팅 솔루션을 사용하여 열거된 특수 범주의 데이터를 처리할 수 있습니다. instance 경우 Professional Services는 데이터 컨트롤러가 건강 상태와 관련된 개인 데이터를 처리하는 데 사용할 수 있는 의료 산업 데이터베이스 개발을 제공합니다. 이 사용량을 적절하게 평가하고 제한하거나 문서화하는 것은 컨트롤러의 책임입니다. |
공개적으로 액세스할 수 있는 영역을 대규모로 체계적으로 모니터링 | 전문 서비스는 이러한 모니터링을 요구하거나 용이하게 하는 작업에서 활용되지 않으며, 이 표의 뒷부분에 설명된 고객 개발은 제외됩니다. 데이터 컨트롤러가 이 유형의 시스템을 개발하는 데 전문 서비스를 사용하거나 그러한 모니터링을 통해 수집된 데이터를 처리하는 데 IT 시스템을 했을 경우 이 표의 후반부에 설명한 대로 이는 데이터 컨트롤러의 책임이 될 수 있습니다. |
참고
1 처리가 ‘대규모’되는 기준에 대해 GDPR의 비고 91에서는 다음을 명확하게 제시합니다. ‘처리 작업에서 개인 담당 의사, 다른 의료 전문가 또는 법률가가 환자 또는 클라이언트의 개인 데이터를 우려할 경우 개인 데이터 처리는 대규모로 간주되지 않습니다. 그러한 경우 데이터 보호 영향 평가는 필수 사항이 아닙니다.’
[사용자 지정 개발 참고 사항] 전문 서비스는 다양한 컨설팅 솔루션을 제공합니다. 데이터 컨트롤러는 위의 기준에 따라 위험 수준이 높은 솔루션이 될 수 있는 솔루션을 요청할 수 있습니다. instance 경우 데이터 컨트롤러는 Professional Services가 고용 결정 또는 신용 애플리케이션을 위한 비즈니스 인텔리전스 엔진 또는 사용자 추적, AI(인공 지능)/분석의 특수 사용 또는 특수 범주의 개인 데이터 처리와 관련된 솔루션을 개발하기 위한 솔루션을 만들도록 요청할 수 있습니다.
참여가 시작될 때, 전문 서비스에는 고위험 솔루션을 평가하고 처리하기 위한 프로세스가 있습니다. 이를 위해 전문 서비스는 GDP 준수(예: 계약 조건), DPIA 개발 계획 또는 GDPR 하에서 데이터 프로세서에 요구되는 기타 기준(예: 합의된 운영 지침)에 대한 데이터 컨트롤러의 보증을 요구할 수 있습니다. 그러나 Microsoft의 조치에 관계없이 고객의 데이터 프로세서에서 적용할 수 있는 입력을 사용하여 DPIA를 개발하는 것은 데이터 컨트롤러의 책임입니다.
2부: DPIA의 내용
문서 35(7)는 데이터 보호 영향 평가가 처리의 목적과 계획된 처리에 대한 체계적인 설명을 명시하도록 규정하고 있습니다. 포괄적인 DPIA에 대한 체계적인 설명에는 처리되는 데이터의 유형, 데이터 보관 기간, 데이터 위치 및 전송 위치, 제 3자가 데이터에 액세스 할 수있는 요소 등의 요소가 포함될 수 있습니다. 또한 DPIA에는 다음이 포함되어야 합니다.
- 목적과 관련한 처리 작업의 필요성 및 비례의 원칙 평가;
- 자연인의 권리와 자유에 대한 위험 평가;
- 위험을 해결하기 위한 세이프가드, 보안 조치 등의 계획된 조치, 개인 데이터의 보호를 보장하고 데이터 주체 및 기타 관련자의 권리와 합법적 이익을 고려하여 이 규정을 준수함을 입증하기 위한 메커니즘.
다음 표에는 각 요소와 관련된 Professional Services에 대한 정보가 포함되어 있습니다. 1부에서와 같이 데이터 컨트롤러는 컨트롤러의 특정 구현 및 Professional Services 사용의 컨텍스트에서 다른 관련 요소와 함께 테이블에 제공된 세부 정보를 고려해야 합니다.
DPIA의 요소 | 전문 서비스에 대한 관련 정보 |
---|---|
처리 목적 | 전문 서비스를 사용하여 데이터를 처리하는 목적은 컨트롤러를 구현, 구성 및 사용하는 방식에 따라 결정됩니다. MPSDPA( Microsoft Professional Services Data Protection 부록 )에 지정된 대로 Microsoft는 데이터 프로세서로서 지원 및 컨설팅 데이터를 처리하여 요청된 서비스를 고객인 데이터 컨트롤러에게 제공합니다. Microsoft는 광고 또는 유사한 상업적 목적으로 지원 및 컨설팅 데이터 또는 해당 데이터에서 파생된 정보를 사용하지 않습니다. |
전문 서비스를 사용하여 데이터를 처리하는 목적은 컨트롤러를 구현, 구성 및 사용하는 방식에 따라 결정됩니다. | MPSDPA( Microsoft Professional Services Data Protection 부록 )에 지정된 대로 Microsoft는 데이터 프로세서로서 지원 및 컨설팅 데이터를 처리하여 요청된 서비스를 고객인 데이터 컨트롤러에게 제공합니다. Microsoft는 광고 또는 유사한 상업적 목적으로 지원 및 컨설팅 데이터 또는 해당 데이터에서 파생된 정보를 사용하지 않습니다. |
처리된 개인 데이터의 범주 | 지원 및 컨설팅 데이터는 Microsoft와의 계약을 통해 고객(또는 고객이 Microsoft가 온라인 서비스에서 얻을 수 있는 권한을 부여함)을 통해 Microsoft에 제공된 모든 텍스트, 소리, 비디오, 이미지 파일 또는 소프트웨어를 포함한 모든 데이터를 의미합니다. 여기에는 전화, 채팅, 전자 메일 또는 웹 양식을 통해 수집된 정보가 포함될 수 있습니다. 여기에는 문제, 지원 문제를 resolve 위해 Microsoft로 전송된 파일, 자동화된 문제 해결사 또는 고객 권한으로 원격으로 고객 시스템에 액세스하는 것에 대한 설명이 포함될 수 있습니다. 고객 데이터 및 지원 데이터에는 고객 연락처 또는 청구 데이터(예: 구독 정보, Microsoft가 데이터 컨트롤러로서의 용량에서 수집 및 처리하고 이 문서의 scope 외부에 있는 결제 데이터)가 포함되지 않습니다. |
데이터 보존 | Microsoft는 고객 참여 기간 동안 서비스의 품질과 연속성을 보장하기 위해 필요에 따라 계약 종료 후 보존 기간을 더한 지원 및 컨설팅 데이터를 보유합니다. 예를 들어, 지원 사례가 종결된 후, 문제가 다시 발생하고 사례가 다시 열릴 경우 데이터를 참조할 수 있는 기간 동안 데이터가 일반적으로 보존됩니다. Professional Services에서 지원을 제공하는 경우 지원 사례가 종료되면 참여 길이가 정의됩니다. Professional Services에서 컨설팅 서비스를 제공하는 경우 계약 기간은 종종 작업 순서에 따라 정의됩니다. 다른 경우에는 계약 길이가 비즈니스 관계 유지 관리에 의해 정의됩니다. 모든 경우에 전문 서비스 데이터 주체 권한 가이드에 설명된 기능을 사용하여 과도한 지연 없이 요청 시 또는 고객의 지침에 따라 지원 및 컨설팅 데이터가 삭제되거나 반환됩니다. |
개인 데이터의 위치 및 전송 | 연중 내내 지원을 제공해야 하는 등 전문 서비스의 특성으로 인해 전 세계적으로 데이터가 전송될 수 있습니다. 요청 시 Microsoft가 운영하는 위치 목록을 사용할 수 있습니다. 컨설팅 서비스의 경우 작업 주문 내에서 동의하는 경우 데이터가 국내에 보관될 수 있습니다. 유럽 경제 지역, 스위스 및 영국의 개인 데이터의 경우 Microsoft는 GDPR 제46조에 설명된 대로 제3국 또는 국제 organization 개인 데이터를 전송하는 데 적절한 보호 조치를 받도록 보장합니다. Microsoft는 프로세서 및 기타 모델 계약에 대한 표준 계약 조항에 따른 Microsoft의 약속과 더불어 Privacy Shield 프레임워크 조건을 계속 준수하지만 이를 더 이상 EU/EEA에서 미국으로 개인 데이터를 전송하는 기준으로 사용하지 않습니다. |
타사와 데이터 공유 | Microsoft는 고객 및 기술 지원, 서비스 유지 보수 및 기타 운영과 같은 기능을 지원하기 위해 하위 프로세스 역할을 하는 타사와 데이터를 공유합니다. Microsoft가 지원 및 컨설팅 데이터를 이전하는 모든 하청업체는 MPSDPA의 데이터 보호 조건보다 더 적은 보호를 받지 않는 Microsoft와 서면 계약을 체결하게 됩니다.
MPSDPA에 따라 지원 및 컨설팅 데이터가 공유되는 모든 타사 하위 프로세서는 Microsoft 상업 지원 계약자 목록에 포함됩니다. Microsoft는 법률에 의해 요구되지 않는 한 지원 및 컨설팅 데이터를 법 집행 기관에 공개하지 않습니다. 법 집행 기관이 지원 및 컨설팅 데이터에 대한 요구로 Microsoft에 연락하는 경우 Microsoft는 고객으로부터 직접 데이터를 요청하도록 법 집행 기관을 리디렉션하려고 시도합니다. 지원 및 컨설팅 데이터를 법 집행 기관에 공개해야 하는 경우 Microsoft는 법적으로 금지되지 않는 한 고객에게 즉시 알리고 요청 사본을 제공합니다. 지원 및 컨설팅 데이터에 대한 다른 타사 요청을 받으면 Microsoft는 법으로 금지되지 않는 한 고객에게 즉시 알립니다. Microsoft는 법률에서 준수해야 하는 경우가 아니면 요청을 거부합니다. 요청이 유효한 경우 Microsoft는 고객에게 직접 데이터를 요청하도록 타사 리디렉션을 시도합니다. |
데이터 주체 권리 | 프로세서로 작동할 때 Microsoft는 고객(데이터 컨트롤러)에게 데이터 주체의 개인 데이터와 GDPR에 따라 권한을 행사할 때 데이터 주체 요청을 이행할 수 있는 기능을 제공합니다. 상품의 기능과 프로세서로서의 역할에 맞는 방식으로 수행됩니다. GDPR에 따라 하나 이상의 권한을 행사할 수 있는 고객의 데이터로부터 요청을 받으면 데이터 주체를 데이터 컨트롤러에 직접 요청하도록 리디렉션합니다. 전문 서비스 데이터 주체 요청 GDPR 설명서는 고객이 전문 서비스에서 데이터 주체 권리 의무를 이행할 수 있는 방법에 대한 설명을 제공합니다. |
목적과 관련한 처리 작업의 필요성 및 비례의 원칙 평가 | 이러한 평가는 컨트롤러의 요구 사항 및 처리 목적에 따라 달라집니다. Microsoft에서 수행하는 처리와 관련하여 이러한 처리는 데이터 컨트롤러에 서비스를 제공하기 위한 목적에 필수적이며 비례합니다. Microsoft는 MPSDPA에서 이를 커밋합니다. |
데이터 주체의 권리와 자유에 대한 위험 평가 | 전문 서비스 사용으로 인한 데이터 주체의 권리와 자유에 대한 주요 위험은 데이터 컨트롤러가 전문 서비스 및 전문 서비스에서 제공하는 솔루션을 구현, 구성 및 사용하는 방법과 컨텍스트의 함수입니다. 그러나 다른 서비스와 마찬가지로 서비스에서 보관하는 개인 정보는 승인되지 않은 무단 액세스나 부주의한 공개의 위험이 있습니다. 이러한 위험을 해결하기 위해 Microsoft가 취하는 조치는 이 문서의 뒷부분에서 설명합니다. |
위험을 해결하기 위한 세이프가드, 보안 조치 등의 계획된 조치, 개인 데이터의 보호를 보장하고 데이터 주체 및 기타 관련자의 권리와 합법적 이익을 고려하여 GDPR을 준수함을 입증하기 위한 메커니즘입니다. | Microsoft는 고객의 정보 보안을 보호하기 위해 노력합니다. GDPR 제 32조의 조항을 준수하여 우발적인, 권한이 없거나 불법적인 액세스, 공개, 변조, 손실, 소멸로부터 데이터지원 및 컨설팅 기능을 보호할 수 있는 적절한 기술 및 조직적 조치를 구현해 왔으며 지속해서 유지 관리하고 따를 것입니다. 또한 Microsoft는 데이터 보호 영향 평가 및 기록 유지를 포함하지만 국한되지 않는 데이터 프로세스에 적용되는 모든 기타 GDPR 의무를 준수합니다. |