데이터 보호 영향 평가: Dynamics 365를 사용하는 데이터 컨트롤러의 참고 자료

GDPR(일반 데이터 보호 규정)에 따르면 데이터 컨트롤러는 ‘자연인의 권리와 자유에 높은 위험을 초래하기 쉬운" 작업을 처리하기 위한 DPIA(데이터 보호 영향 평가)를 준비해야 합니다. Dynamics 365에는 데이터 컨트롤러를 사용하여 DPIA를 생성해야 하는 고유한 기능이 없습니다. 대신 DPIA가 필요한지 여부는 데이터 컨트롤러가 Dynamics 365를 배포, 구성 및 사용하는 방법 에 대한 세부 정보와 컨텍스트에 따라 달라집니다. 어떤 경우든 DPIA는 프로젝트 수명 초기에 시작하여 계획 및 개발 프로세스와 병행하여 실행되어야 합니다.

이 문서의 목적은 Dynamics 365에 대한 정보와 데이터 컨트롤러를 제공하여 DPIA 필요 여부, 필요한 경우 포함할 세부 사항을 결정할 수 있도록 지원하는 것입니다.

참고

Microsoft는 이 문서에 법적 자문을 제공하지 않습니다. 이 문서는 정보 제공의 목적으로만 제공됩니다. 고객은 개인 정보 책임자와 관리 담당자(및/또는 지정된 데이터 보호 책임자(DPO)) 및/또는 법적 자문 및/또는 법률 고문과 함께 Microsoft Azure 또는 기타 Microsoft 온라인 서비스 사용과 관련된 DPIA의 필요 여부 및 콘텐츠를 결정하는 것이 좋습니다.

1부 – DPIA가 필요한지 여부를 판단

GDPR 제 35조에 따라 데이터 관리자는 ‘특히 신기술을 사용하고 처리의 특성, 범위, 컨텍스트 및 목적을 처리하는 유형이 자연인의 권리와 자유에 대한 높은 위험을 초래할 수 있는’ 데이터 보호 영향 평가를 만들어야 합니다. 또한 다음 테이블에서 언급될 이러한 높은 위험을 나타내는 특정 요인을 다룹니다. DPIA 필요 여부를 결정할 때 데이터 관리자는 Dynamics 365의 컨트롤러 특정 구현 및 사용에 따라 이러한 관련 요소를 고려해야 합니다.

위험 요인 Dynamics 365에 대한 관련 정보
프로파일링을 포함한 자동화된 처리의 기반이 되고 자연인에 관한 법적 영향을 행사하거나 유사하게 자연인에게 중대한 영향을 주는 의사 결정의 기반이 되는 자연인과 관련된 개인 측면의 체계적이고 광범위한 평가. Dynamics 365는 잠재 고객 또는 기회 점수(예: 판매 가능성 예측)와 같은 특정 데이터의 자동화된 처리를 수행합니다. 그러나 Dynamics 365는 법적 효력 또는 유사하게 개인에게 중대한 영향을 주는 의사 결정의 기반이 되는 처리를 수행하도록 설계되지 않았습니다.

하지만 Dynamics 365는 고도로 사용자 지정 가능한 서비스이므로 데이터 컨트롤러는 고용 결정이나 신용 확인서에 대한 점수와 같은 처리에 사용하도록 구성할 수 있습니다.
특정 범주의 대규모1 데이터(인종 또는 민족 태생, 정치적 견해, 종교적 또는 철학적 신념, 노동 조합 회원 및 유전자 데이터, 자연인의 고유한 식별을 목적으로 하는 생체 데이터, 건강 또는 자연인의 성생활이나 성적 취향에 관한 데이터의 처리) 처리 또는 범죄 유죄 판결 및 범죄와 관련된 개인 데이터 처리; Dynamics 365는 특수 범주의 개인 데이터를 처리하도록 설계되지 않았습니다.

그러나 데이터 컨트롤러는 Dynamics 365를 사용하여 열거된 특수 데이터 범주를 처리할 수 있었습니다. 예를 들어, Dynamics 365는 건강 상태와 관련된 개인 데이터를 처리하는 데 사용할 수있는 의료 산업 템플릿을 제공합니다. 또한, Dynamics 365는 고객이 특수한 범주의 개인 데이터를 비롯하여 모든 유형의 개인 데이터를 추적하거나 처리할 수 있도록하는 고도로 사용자 지정 가능한 서비스입니다. 그러나 데이터 프로세서로서 Microsoft는 그러한 사용에 대한 통제권이 없으며 일반적으로 그러한 사용에 대한 통찰력이 거의 없거나 아예 없습니다.
공개적으로 액세스할 수 있는 영역을 대규모로 체계적으로 모니터링 Dynamics 365는 이러한 모니터링을 수행하거나 용이하게 하도록 설계되지 않았습니다.

그러나 데이터 컨트롤러는 이러한 모니터링을 통해 수집된 데이터를 처리할 수는 있습니다.

참고

1 처리가 ‘대규모’가 되는 기준에 대해 GDPR의 비고 91에서는 다음을 명확하게 제시합니다. ‘처리 작업에서 개인 담당 의사, 다른 의료 전문가 또는 법률가가 환자 또는 클라이언트의 개인 데이터를 우려할 경우 개인 데이터 처리는 대규모로 간주되지 않습니다. 그러한 경우 데이터 보호 영향 평가는 필수 사항이 아닙니다’.

2부 - DPIA의 내용

제 35(7)조는 데이터 보호 영향 평가가 처리의 목적과 계획된 처리의 체계적 설명을 명시하도록 규정하고 있습니다. 포괄적인 DPIA의 체계적 설명에는 처리된 데이터 유형, 데이터 보존 기간, 데이터 위치 및 전송 위치, 데이터에 액세스할 수 있는 제3자 등의 요인이 포함될 수 있습니다. 또한 DPIA에는 다음이 포함되어야 합니다.

  • 목적과 관련한 처리 작업의 필요성 및 비례의 원칙 평가;
  • 자연인의 권리와 자유에 대한 위험 평가;
  • 위험을 해결하기 위한 세이프가드, 보안 조치 등의 계획된 조치, 개인 데이터의 보호를 보장하고 데이터 주체 및 기타 관련자의 권리와 합법적 이익을 고려하여 이 규정을 준수함을 입증하기 위한 메커니즘.

아래 테이블에는 각 요소와 관련된 Dynamics 365에 대한 정보가 포함됩니다. 1부에서와 같이 데이터 컨트롤러는 Dynamics 365의 특정 구현 및 사용의 컨텍스트에서 기타 관련 요인과 함께 아래에 제공된 세부 정보를 고려해야 합니다.

DPIA의 요소 Dynamics 365에 대한 관련 정보
처리 목적 Dynamics 365를 사용하여 데이터를 처리하는 목적은 컨트롤러를 구현, 구성 및 사용하는 방식에 따라 결정됩니다.

Dynamics 365는 여러 독립형 온라인 서비스로 구성된 처리를 위한 온라인 플랫폼이며, 각 서비스에는 고유한 처리 목적이 있습니다. 아래는 Dynamics 365가 제공하는 서비스 유형입니다.

고객 관계 는 본질적으로 고객 관계 관리 서비스입니다. 고객 관계에는 다음 온라인 서비스가 포함됩니다. Dynamics 365 for Sales, Dynamics 365 for Marketing, Dynamics 365 for Customer Service, Dynamics 365 for Project Service, Dynamics 365 for Field Service.

Dynamics 365 for Finance and Operations, Enterprise Edition(D365FOEE)은 주로 판매, 서비스, 금융 및 운영, 제조 및 인적 자원의 엔터프라이즈 고객 관리에 사용되는 SaaS(Software as a Service)로 제공되는 엔터프라이즈 리소스 계획 제품군입니다.

Dynamics 365 for Retail(D365FR)은 엔터프라이즈 판매점 및 배포자를 위해 통합된 온-프레미스 POS(Point-Of-Sale) 솔루션과 함께 SaaS(Software as a Service)로 제공됩니다.

Dynamics 365 Lifecycle Services(LCS) 는 보조 온라인 서비스이며 주로 엔터프라이즈 고객이 고객의 D365FOEE, D365FR 구현 배포, 관리, 유지 관리에 사용합니다.

Dynamics 365 for Business Central 은 Microsoft에서 SaaS(Software as a Service)로 중소기업에 제공한 엔터프라이즈 리소스 계획 제공 사항입니다. 서비스는 개인 데이터를 처리하여 금융, 제조, 고객 관계 관리, 공급망, 분석 및 전자 상거래를 지원합니다.

Dynamics 365 for Talent 는 SaaS(Software as a Service)로, 고객에게 인사 관리 기능을 제공하며 다음과 같은 서비스로 구성되어 있습니다.

Core HR - 레코드 보관 작업을 간소화하고 조직 인력 관리 프로세스를 자동화하는 서비스입니다. 이러한 프로세스에는 직원 보유, 혜택 관리, 보상, 교육, 성과 검토 및 변화 관리 등이 포함됩니다.

확보- 인재를 찾아 인터뷰를 진행하고 고용하는 서비스입니다.
온보딩 - 신규 채용을 업무에 온보딩하도록 도와주는 서비스입니다 *.

Microsoft Social Engagement(MSE)는 엔터프라이즈 고객에게 제공되는 Dynamics 365에 대한 보조 서비스입니다. MSE를 통해 (i) 콘텐츠를 특정 소셜 미디어 판로(수신 대기)에 게시하는 등 제한된 수의 소셜 미디어 판로에 데이터 주체가 게시한 개인 데이터 및 공개 소셜 미디어 포스트의 처리를 가능하게 하여 관심 있는 주제(예: 추세)를 분석하고 식별하도록 지원하며, 이러한 가상 공간(예: 팬 페이지)에서 회사 또는 기관의 존재를 관리할 수 있으며 (ii) 소셜 미디어(연결)의 개인 커뮤니케이션을 통해 데이터 주체와 직접 연결할 수 있습니다.

위에서 열거한 서비스를 운영하는 프로세서 용량에서 Dynamics 365는 개인화, 보안, 사기 및 맬웨어 방지, 문제 해결, 개선 사항과 같은 서비스 제공과 호환되는 목적을 포함하여 설명된 대로 오직 고객에게 온라인 서비스를 제공하기 위해 개인 데이터를 처리합니다.

온라인 서비스 약관데이터 보호 부록에 명시된 바와 같이, Microsoft는 데이터 프로세서로서 고객의 문서화된 지침에 따라 온라인 서비스를 제공하고자 고객 데이터를 처리합니다.

표준 온라인 서비스 약관데이터 보호 부록에 자세히 설명된 바와 같이, Microsoft는 다음과 같은 합법적인 비즈니스 운영 지원을 위하여 개인 데이터를 사용합니다. (1) 청구 및 계정 관리. (2) 보상 (예: 사원 수수료과 파트너의 성과급 계산). (3) 내부 보고 및 모델링 (예: 예측, 수익, 용량 계획, 제품 전략); (4) Microsoft 또는 Microsoft 제품에 영향을 줄 수 있는 사기, 사이버 범죄 또는 사이버-공격 방어. (5) 접근성, 개인 정보 보호 또는 에너지 효율성의 핵심 기능 개선. (6) 법률적인 의무를 통한 재무 보고 및 준수 (온라인 서비스 약관에 요약 된 고객 데이터 노출에 대 한 제한 사항 준수).

Microsoft는 다음과 같은 합법적인 비즈니스 운영 지원을 위해 개인 정보 처리 관리를 합니다. 일반적으로 Microsoft는 개인 정보를 합법 적인 비즈니스 운영에 사용하기 전 개인 정보를 수집하여 Microsoft가 특정 개인을 식별하지 못할 뿐만 아니라 합법적 비즈니스 운영 지원을 위해 개인 정보 사용시 개인 식별 가능성을 최소화 합니다.

Microsoft는 프로파일링, 광고 또는 유사한 상업적 목적으로 고객 데이터 또는 파생된 정보를 사용하지 않습니다.
처리된 개인 데이터의 범주 고객 데이터: 이는 고객이 Microsoft에 제공했거나 Microsoft 온라인 서비스를 사용하여 고객 대신 제공된 모든 데이터(텍스트, 소리, 동영상 또는 이미지 파일 포함)입니다. 저장 또는 처리와 사용자 지정을 위해 고객이 업로드하는 데이터가 포함됩니다. Office 365에서 처리 되는 고객 데이터의 예로는 Exchange Online의 전자 메일 콘텐츠, SharePoint Online 또는 비즈니스용 OneDrive에 저장된 문서 또는 파일이 포함됩니다.

서비스로 생성 되는 데이터: 사용 또는 성능 데이터와 같은 서비스 운영을 통해 Microsoft에 의해 생성 되거나 파생 되는 데이터입니다. 대부분의 데이터는 Microsoft에서 생성한 가명처리 ID를 포함합니다.

지원 데이터: 온라인 서비스에 대한 기술 지원을 얻기 위해 Microsoft와의 계약을 통해 고객이 Microsoft 또는 고객을 대신하여 Microsoft에서 제공한 데이터(또는 고객이 Microsoft가 온라인 서비스에서 얻도록 허가한 데이터)입니다.

고객 데이터, 시스템 생성 로그 데이터 및 지원 데이터에는 Microsoft가 자체 용량에 데이터 컨트롤러로 수집하고 처리하며 이 문서 범위 외에 있는 고객 관리자 연락처 정보, 구독 정보, 결제 데이터와 같은 관리자 데이터 및 청구 데이터를 포함하지 않습니다.
데이터 보존 Microsoft는 고객의 서비스 사용 기간 동안 및 고객의 지시나 온라인 서비스 약관의 약관에 따라 모든 고객 데이터가 삭제되거나 반환될 때까지 고객 데이터를 보존합니다. 고객의 등록 기간 동안 항상 고객은 서비스에 저장된 고객 데이터에 액세스하고 추출할 수 있습니다. Microsoft는 고객 등록의 만료 또는 해지 후 90일 동안 제한된 기능 계정의 온라인 서비스에 저장된 고객 데이터를 보존하여 고객이 데이터를 추출할 수 있도록 합니다. 90일의 보존 기간 후 Microsoft는 고객의 계정을 사용 중지하고 고객 데이터를 삭제합니다.

소비자는 소비자 Dynamics 데이터 주체 권리 가이드에 나와있는 기능을 사용하여 데이터 및 익명 데이터를 삭제할 수 있습니다.
개인 데이터의 위치 및 전송 고객이 호주, 캐나다, 유럽 연합, 인도, 일본, 영국 또는 미국에서 Dynamics 365 Core Services의 인스턴스를 프로비전하는 경우, Microsoft는 지정된 지역 내에서 사용하지 않는 고객 데이터를 저장하고 온라인 서비스 약관에 명시된 대로 특정 예외 사항을 적용합니다. 고객 데이터 저장에 대한 자세한 내용은 보안 센터에서 확인할 수 있습니다.

유럽 경제 지역과 스위스 및 영국의 개인 데이터의 경우 Microsoft는 개인 정보의 제3자 혹은 국제 기관 이전 시 적절한 보호 조치를 받도록 GDPR 46조에 의거하여 이를 준수합니다. Microsoft는 프로세서 및 기타 모델 계약에 대한 표준 계약 조항에 따른 Microsoft의 약속과 더불어 Privacy Shield 프레임워크 조건을 계속 준수하지만 이를 더 이상 EU/EEA에서 미국으로 개인 데이터를 전송하는 기준으로 사용하지 않습니다.
목적과 관련한 처리 작업의 필요성 및 비례의 원칙 평가 이러한 평가는 컨트롤러의 요구와 처리 목적에 따라 달라집니다.

프로세서 용량에서 Microsoft는 D365를 제공하여 고객에 대한 개인화, 보안, 사기 및 맬웨어 보호, 문제 해결, 개선 사항과 같은 서비스 제공과 호환되는 목적을 포함하여 오직 고객에게 온라인 서비스를 제공하기 위해 개인 데이터를 처리합니다. Microsoft는 https://microsoft.com/licensing/contracts의 온라인 서비스 약관에 명시된 대로 요청된 서비스를 제공하기 위해 필요한 경우 고객(테넌트)을 대신하여 데이터를 처리합니다.
데이터 주체의 권리와 자유에 대한 위험 평가 Dynamics 365 사용으로 인한 데이터 주체의 권리와 자유에 대한 주요 위험은 데이터 컨트롤러가 Dynamics 365를 구현, 구성, 사용하는 방법과 상황의 기능입니다.

Microsoft는 서비스 조항 지원, 서비스 사용 주체의 데이터 처리 위험 등 합법적인 비즈니스 운영 지원을 위해 사용되는 개인 정보 보호의 익명화 및 수집을 위한 적절한 조치를 취하고 있습니다.

그러나 다른 서비스와 마찬가지로 서비스에서 보관하는 개인 정보는 권한이 없는 액세스나 부주의한 공개의 위험이 있습니다. 이러한 위험을 해결하기 위해 Microsoft에서 취하는 조치는 다음에서 설명됩니다.
타사 하위 프로세서와 데이터 공유 Microsoft는 고객 및 기술 지원, 서비스 유지 관리, 기타 작업과 같은 기능을 지원하기 위해 하위 프로세서 역할을 하는 타사와 데이터를 공유합니다. Microsoft가 고객 데이터, 지원 데이터 또는 개인 데이터를 전송하는 하도급업자는 온라인 서비스 약관의 데이터 보호 약관보다 덜 안전하지만 Microsoft와 서면 계약을 체결하게 됩니다. Microsoft Core Online Servic의 고객 데이터가 공유되는 모든 타사 하위 프로세서는 온라인 서비스 하도급업자 목록에 포함됩니다. 지원 데이터(고객이 지원 상호 작용 동안 공유하도록 선택한 고객 데이터 포함)에 액세스할 수 있는 모든 타사 하위 프로세서는 Microsoft 상업적 지원 하도급자 목록에 포함됩니다.
데이터 주체 권리 프로세서로 작동할 때 Microsoft는 고객(데이터 컨트롤러)이 데이터 주체의 개인 데이터를 사용할 수 있도록 하고 고객이 GDPR에 따라 권리를 행사할 때 데이터 주체 요청을 수행할 수 있는 기능을 제공합니다. 제품의 기능과 프로세서로의 역할에 있어 일관된 방식으로 진행합니다. 고객의 데이터 주체로부터 GDPR에 따라 권리 중 하나를 행사하도록 요청을 받으면 Microsoft는 데이터 주체가 데이터 컨트롤러에게 직접 요청하도록 리디렉션을 시도합니다. GDPR 및 CCPA에 대한 Dynamics 365 데이터 주체 요청은 Dynamics 365의 기능을 사용하여 데이터 주체 권한을 지원하는 방법에 대한 데이터 컨트롤러의 설명을 제공합니다.

개인 데이터의 GDPR 권한에 따라 합법적인 비즈니스 처리를 위한 데이터 주체의 데이터 처리 요청은 Microsoft 개인정보처리방침에 따라 Microsoft에 전달 되어야 합니다.

Microsoft는 일반적으로 합법적인 비즈니스 운영 이전에 개인정보를 수집하며 수집된 정보는 특정 개인을 식별하지 못하도록 되어있습니다. 따라서 개인에 대한 개인 정보 위험을 크게 줄일 수 있습니다. Microsoft는 개인을 식별할 수 없기 때문에 데이터 주체의 엑세스, 지우기, 이식가능성 및 프로세스 제한성 및 거절권한을 지원할 수 없습니다.
위험을 해결하기 위한 세이프가드, 보안 조치 등의 계획된 조치, 개인 데이터의 보호를 보장하고 데이터 주체 및 기타 관련자의 권리와 합법적 이익을 고려하여 GDPR을 준수함을 입증하기 위한 메커니즘 Microsoft는 고객의 정보 보안을 보호하기 위해 노력합니다. GDPR 제 32조의 조항을 준수하여 우발적인, 권한이 없거나 불법적인 액세스, 공개, 변조, 손실, 소멸로부터 고객 데이터 및 지원 데이터를 보호할 수 있는 적절한 기술 및 조직적 조치를 구현해 왔으며 지속해서 유지 관리하고 따를 것입니다.

Dynamics 365에 의해 구현된 보안을위한 Microsoft 관리 컨트롤 (기술 및 비즈니스 프로세스 컨트롤)에 대한 자세한 내용은 서비스 신뢰 포털을 참조하십시오. 또한 Microsoft는 데이터 보호 영향 평가 및 정확한 기록 유지를 포함하지만 이에 국한되지 않고 데이터 프로세스에 적용되는 모든 기타 GDPR 의무를 준수합니다.

Microsoft는 합법적인 비즈니스 운영을 위해 개인 데이터를 처리할 때 데이터 관리자에 적용되는 GDPR의 의무를 준수합니다.

자세히 알아보기