GDPR 및 CCPA에 대한 Azure DevOps Services 데이터 주체 요청

유럽 연합 GDPR(일반 데이터 보호 규정)은 사용자(규정에 데이터 주체 로 알려짐)에게 데이터 통제자 가 수집한 개인 데이터를 관리할 수 있는 권한을 부여합니다. 데이터 통제자 또는 단순히 통제자 는 고용주 또는 다른 유형의 대리점 및 조직(데이터 통제자 또는 단순히 통제자로 지칭)이 수집한 개인 데이터를 관리할 수 있는 권한을 부여합니다. 개인 데이터는 GDPR에서는 보다 광범위하게 식별되었거나 식별 가능한 자연인과 관련된 모든 데이터로 정의됩니다. GDPR은 데이터 주체에게 개인 데이터에 대한 특정 권한을 부여합니다. 이러한 권한에는 개인 데이터 복사본 획득, 수정 요청, 처리 제한, 삭제 또는 다른 통제자에게 이동될 수 있도록 전자 형식으로 수신하는 권한이 포함됩니다. 데이터 주체가 통제자에게 개인 데이터에 대해 조치를 취할 것을 요구하는 공식적인 요청을 데이터 주체 요청 또는 DSR이라고 합니다.

마찬가지로 캘리포니아 소비자 개인 정보 보호법(CCPA)은 캘리포니아 소비자에게 GDPR의 데이터 주체 권리와 유사한 권리를 포함하여, 소비자의 개인 정보 삭제, 액세스 및 수신(이식성)과 같은 개인 정보 보호 권리 및 의무를 제공합니다. 또한 CCPA는 특정 공개, 실행 권리 행사 시 차별 대우로부터 보호, “판매"로 분류되는 특정 데이터 전송에 대한 "옵트아웃(opt-out)/옵트인(opt-in)" 요구도 허용합니다. 판매는 가치 있는 대가관계를 위하여 데이터 공유를 포함하도록 광범위하게 정의됩니다. CCPA에 대한 자세한 내용은 캘리포니아 소비자 개인 정보 보호법캘리포니아 소비자 개인 정보 보호법 FAQ를 참조하세요.

GDPR 대한 일반적인 내용은 Service Trust Portal의 GDPR 섹션을 참조하세요.

이 가이드에서는 Microsoft 도구를 사용하여 인증(로그인)된 Azure DevOps Services(이전에는 Visual Studio Team Services로 알려짐) 세션 동안 수집된 개인 데이터를 내보내거나 삭제하는 방법을 설명합니다.

추가 개인 정보 보호 정보

Microsoft 개인정보 취급방침, OST(온라인 서비스 약관)Microsoft의 GDPR 약속 문서에 데이터 처리 방법이 설명되어 있습니다.

수집한 개인 데이터

Microsoft는 Azure DevOps Services를 작동하고 개선하기 위해 사용자의 데이터를 수집합니다. Azure DevOps Services는 두 가지 범주의 데이터, 즉, 고객 데이터 및 시스템 생성 로그를 수집합니다. 고객 데이터에는 Azure DevOps Services가 서비스를 운영하는 데 필요한 사용자를 식별할 수 있는 트랜잭션의 및 상호 작용 데이터가 포함되어 있습니다. 시스템 생성 로그에는 각 제품 영역 및 기능에 대해 집계된 서비스 사용 현황 데이터가 포함됩니다.

Azure DevOps 데이터 삭제

연결된 Azure DevOps Services 고객 데이터를 삭제하고 시스템 생성 로그에서 찾은 개인 식별이 가능한 데이터를 익명화하는 첫 번째 단계는 AAD(Azure Active Directory) ID 계정 또는 MSA(Microsoft 계정)을 닫는 것입니다. VSTS는 엄격한 무결성, 추적 가능성 및 감사 규칙을 제공하는 레코드 시스템으로서 활용됩니다. 이러한 기존 의무는 GDPR에 대한 삭제 및 보존 의무에 영향을 미칩니다. ID 계정을 닫아도 Azure DevOps Services 조직의 개별 ID와 연결된 아티팩트 및 레코드는 수정되거나, 제거되거나, 변경되지 않습니다. 전체 Azure DevOps Services 조직이 삭제되면 해당 조직에서 발견된 개인 식별이 가능한 모든 관련된 데이터 및 시스템 생성 로그가 시스템에서 제거됩니다(필수 Azure DevOps Services 조직의 30일 일시 삭제 기간 후).

Azure DevOps 데이터 내보내기

통제자는 Azure DevOps 서비스에 로그인하는 데 사용한 ID 공급자(MSA 또는 AAD)에 따라, 두 가지 방법 중 하나로 데이터 주체에서 수집된 고객 데이터 및 시스템 생성 로그를 내보낼 수 있습니다.

  • Azure 테넌트가 지원하는 계정(예를 들어, Azure 구독과 관련된 AAD 계정 또는 MSA 계정)을 사용하여 인증을 받는 사용자는 GDPR에 대한 Azure 데이터 주체 요청의 지침을 따를 수 있습니다.

  • MSA ID를 사용하여 인증을 받는 사용자는 이 개인 정보 요청 사이트를 사용하여 여러 Microsoft 서비스에서 MSA ID에 연결된 작업 데이터를 볼 수 있습니다. 이 시나리오에서는 사용자가 자신의 개인 데이터에 대한 통제자가 됩니다.

내보내기 또는 삭제 문제

AAD ID의 경우, Azure Portal에서 데이터를 내보내거나 삭제하는 동안 문제가 발생하면 Azure Portal 도움말 + 지원 블레이드로 이동하여 등록 관리 > 개인 정보 보호 및 구독에 대한 준수 요청 > 개인 정보 보호 블레이드 및 GDPR 요청 에서 새 티켓을 제출합니다.

MSA ID의 경우 개인 정보 요청 사이트에서 데이터를 내보낼 때 문제가 발생할 경우 개인 정보 요청 사이트에 로그인한 후 요청 웹 양식을 통해 Microsoft 개인 정보 보호 지원 팀에 대한 지원 요청을 제출합니다.

자세한 정보

Microsoft는 예외없이, Azure DevOps Services 데이터를 안전하고 비공개로 유지할 것을 약속드립니다. Azure DevOps Services 데이터 보호 개요 백서를 참조하여 Microsoft가 사용자의 Azure DevOps Services 데이터를 보호하는 방법을 자세히 알아보세요.

참고 항목