데이터 보호 영향 평가: Dynamics 365 및 Power Platform을 사용하는 데이터 컨트롤러에 대한 지침

  • 아티클

GDPR(일반 데이터 보호 규정)에 따르면 데이터 컨트롤러는 ‘자연인의 권리와 자유에 높은 위험을 초래하기 쉬운" 작업을 처리하기 위한 DPIA(데이터 보호 영향 평가)를 준비해야 합니다. Dynamics 365 및 Power Platform에는 데이터 컨트롤러에서 DPIA를 반드시 생성해야 하는 것은 없습니다. 대신 DPIA가 필요한지 여부는 데이터 컨트롤러가 Dynamics 365 또는 Power Platform을 배포, 구성 및 사용하는 방법의 세부 정보 및 컨텍스트에 따라 달라집니다. 어떤 경우든 DPIA는 프로젝트 수명 초기에 시작하여 계획 및 개발 프로세스와 병행하여 실행되어야 합니다.

이 문서의 목적은 데이터 컨트롤러에 DPIA가 필요한지 여부와 포함할 세부 정보를 결정하는 데 도움이 되는 Dynamics 365 및 Power Platform에 대한 정보를 제공하는 것입니다.

참고

Microsoft는 이 문서에 법적 자문을 제공하지 않습니다. 이 문서는 정보 제공의 목적으로만 제공됩니다. 고객은 Microsoft Dynamics 365, Power Platform 또는 기타 Microsoft 온라인 서비스 사용과 관련된 DPIA의 필요성과 내용을 결정하기 위해 개인 정보 보호 책임자(및/또는 지정된 경우 DPO(데이터 보호 책임자) 및/또는 법률 고문 및/또는 고문과 협력하는 것이 좋습니다.

1부: DPIA가 필요한지 여부를 판단

GDPR 제35조에는 데이터 컨트롤러가 데이터 보호 영향 평가를 만들어야 합니다. '특히 새로운 기술을 사용하여 처리의 유형을 만들고 처리의 특성, scope, 컨텍스트 및 목적을 고려하여 자연인의 권리와 자유에 대한 위험이 높아질 수 있습니다.' 또한 다음 표에서 설명하는 높은 위험을 나타내는 특정 요인을 설명합니다. DPIA가 필요한지 여부를 결정할 때 데이터 컨트롤러는 컨트롤러의 특정 구현 및 Dynamics 365 및 Power Platform 사용에 비추어 이러한 요인을 다른 관련 요인과 함께 고려해야 합니다.

위험 요인 Dynamics 365 및 Power Platform에 대한 관련 정보
프로파일링을 포함한 자동화된 처리의 기반이 되고 자연인에 관한 법적 영향을 행사하거나 유사하게 자연인에게 중대한 영향을 주는 의사 결정의 기반이 되는 자연인과 관련된 개인 측면의 체계적이고 광범위한 평가. 일부 Dynamics 365 및 Power Platform 서비스는 잠재 고객 또는 기회 채점과 같은 특정 자동화된 데이터 처리를 수행합니다(예: 판매 가능성 예측). 그러나 Dynamics 365 및 Power Platform 서비스는 개인에게 법적 또는 유사하게 중요한 영향을 미치는 결정을 기반으로 하는 처리를 수행하도록 설계되지 않았습니다.

그러나 Dynamics 365 및 Power Platform은 매우 사용자 지정 가능한 서비스이므로 데이터 컨트롤러가 이러한 처리에 사용하도록 구성할 수 있습니다. 데이터 컨트롤러는 Dynamics 365 및 Power Platform 사용에 따라 이 결정을 내려야 합니다.
대규모 1 가지 특수 범주의 데이터(인종 또는 민족 기원을 드러내는 개인 데이터, 정치적 의견, 종교적 또는 철학적 신념 또는 노동조합 가입, 유전 데이터 처리, 자연인을 고유하게 식별하는 데 사용되는 생체 인식 데이터, 건강에 관한 데이터 또는 자연인의 성생활 또는 성적 지향에 관한 데이터) 처리 또는 형사 유죄 판결 및 범죄와 관련된 개인 데이터 Dynamics 365 및 Power Platform 서비스는 특수 범주의 개인 데이터를 대규모로 처리하도록 설계되지 않았습니다.

그러나 데이터 컨트롤러는 Dynamics 365 및 Power Platform을 사용하여 열거된 특수 범주의 데이터를 처리할 있습니다. 또한 Dynamics 365 및 Power Platform은 고객이 특별한 범주의 개인 데이터를 포함하여 개인 데이터를 추적하거나 처리할 수 있는 고도로 사용자 지정 가능한 서비스입니다. 그러나 데이터 프로세서로서 Microsoft는 그러한 사용에 대한 통제권이 없으며 일반적으로 그러한 사용에 대한 통찰력이 거의 없거나 아예 없습니다.
공개적으로 액세스할 수 있는 영역을 대규모로 체계적으로 모니터링 Dynamics 365 및 Power Platform은 대규모로 이러한 모니터링을 수행하거나 용이하게 하도록 설계되지 않았습니다.

그러나 데이터 컨트롤러는 이러한 모니터링을 통해 수집된 데이터를 처리할 수는 있습니다. Dynamics 365 및 Power Platform은 고객이 모니터링 데이터를 비롯한 모든 유형의 데이터를 추적하거나 처리할 수 있는 고도로 사용자 지정 가능한 서비스입니다. 데이터 프로세서로서 Microsoft는 이러한 사용을 제어할 수 없으며 이러한 사용에 대한 인사이트를 거의 또는 전혀 가지고 있지 않습니다. 데이터 컨트롤러의 데이터를 적절하게 사용하는지 확인하기 위해 데이터 컨트롤러에 포함됩니다.

참고

1 처리가 ‘대규모’되는 기준에 대해 GDPR의 비고 91에서는 다음을 명확하게 제시합니다. ‘처리 작업에서 개인 담당 의사, 다른 의료 전문가 또는 법률가가 환자 또는 클라이언트의 개인 데이터를 우려할 경우 개인 데이터 처리는 대규모로 간주되지 않습니다. 그러한 경우 데이터 보호 영향 평가는 필수 사항이 아닙니다.’

2부: DPIA의 내용

GDPR의 제35조(7)는 데이터 보호 영향 평가가 처리 목적과 구상된 처리에 대한 체계적인 설명을 지정하도록 규정하고 있습니다. 포괄적인 DPIA의 체계적인 설명에는 처리되는 데이터 형식, 데이터가 보존되는 기간, 데이터가 위치하고 전송되는 위치 및 타사에서 데이터에 액세스할 수 있는 요소와 같은 요소가 포함될 수 있습니다. 이상적으로 데이터 흐름 다이어그램은 설명을 지원합니다. 또한 DPIA에는 다음이 포함되어야 합니다.

  • 목적과 관련하여 처리 작업의 필요성과 비례성에 대한 평가;
  • 자연인의 권리와 자유에 대한 위험 평가; 및
  • 개인 데이터의 보호를 보장하고 데이터 주체 및 관련자의 권리와 합법적 이익을 고려하여 GDPR 준수를 입증하기 위한 안전 장치, 보안 조치 및 메커니즘을 포함한 위험을 해결하는 데 사용되는 조치입니다.

아래 표에는 각 요소와 관련된 Dynamics 365 및 Power Platform에 대한 정보가 포함되어 있습니다. 1부에서와 같이 데이터 컨트롤러는 데이터 컨트롤러의 특정 구현 및 Dynamics 365 또는 Power Platform의 사용 컨텍스트에서 아래 제공된 세부 정보와 기타 관련 요소를 고려해야 합니다.

DPIA의 요소 Dynamics 365 및 Power Platform에 대한 관련 정보
처리 목적 Dynamics 365 및 Power Platform을 사용하여 데이터를 처리하는 용도는 구현, 구성 및 사용하는 컨트롤러에 의해 결정됩니다.

제품 약관 및 Microsoft 제품 및 서비스 DPA(데이터 보호 부록)에 지정된 대로 Microsoft는 데이터 프로세서로서 고객 데이터를 처리하여 고객의 문서화된 지침에 따라 고객에게 온라인 서비스를 제공합니다.

제품 약관제품 및 서비스 DPA(데이터 보호 부록)에 자세히 설명된 대로 Microsoft는 개인 데이터를 사용하여 제한된 비즈니스 운영 집합을 지원합니다.

Microsoft는 이러한 특정 비즈니스 작업을 지원하기 위해 개인 데이터 처리를 제어합니다. 일반적으로 Microsoft는 비즈니스 운영에 사용하기 전에 개인 데이터를 집계하여 특정 개인을 식별하는 Microsoft의 기능을 제거합니다. Microsoft는 비즈니스 운영에 필요한 처리를 지원하는 최소 식별 형식의 개인 데이터를 사용합니다.

Microsoft는 프로파일링 또는 광고 또는 유사한 상업적 목적으로 고객 데이터 또는 파생된 정보를 사용하지 않습니다.

Dynamics 365 각각 고유한 처리 목적이 있는 여러 불연속 온라인 서비스 제공하는 처리를 위한 온라인 플랫폼입니다. 여기에서 각 Dynamics 365 서비스 제공 및 Power Platform 서비스 제공에 대한 설명을 찾을 수 있습니다.

Dynamics 365 및 Power Platform은 개인 데이터만 처리하여 고객에게 해당 서비스 제공과 호환되는 목적을 포함하여 온라인 서비스 제공합니다.
처리된 개인 데이터의 범주 고객 데이터: 고객이 Microsoft에 제공하거나 Microsoft 온라인 서비스 사용하여 고객을 대신하여 제공되는 텍스트, 소리, 비디오 또는 이미지 파일 및 소프트웨어를 포함한 모든 데이터입니다. 저장 또는 처리와 사용자 지정을 위해 고객이 업로드하는 데이터가 포함됩니다.

서비스 생성 데이터: 사용 또는 성능 데이터와 같은 서비스를 운영할 때 Microsoft에서 생성하는 데이터입니다. 대부분의 데이터는 Microsoft에서 생성한 가명처리 ID를 포함합니다.

전문 서비스 데이터: 고객(또는 고객이 Microsoft에 제품에서 획득할 수 있는 권한을 부여함) 또는 Microsoft와의 계약을 통해 Microsoft에 의해 또는 대신 Microsoft에 제공된 모든 텍스트, 소리, 비디오, 이미지 파일 또는 소프트웨어를 포함한 모든 데이터 또는 전문 서비스를 획득합니다.

Dynamics 365 및 Power Platform에서 처리되는 데이터에 대한 자세한 내용은 제품 약관Microsoft 제품 및 서비스 데이터 보호 부록을 참조하세요.
데이터 보존 Microsoft는 고객의 지침 또는 제품 약관 및 제품 및 서비스 DPA(데이터 보호 부록)의 조건에 따라 모든 고객 데이터가 삭제되거나 반환될 때까지 서비스를 사용할 수 있는 고객의 권리 기간 동안 고객 데이터를 유지합니다. 고객의 구독 기간 동안 고객은 각 온라인 서비스에 저장된 고객 데이터에 액세스하고 추출할 수 있습니다. Microsoft는 일반적으로 고객이 데이터를 추출할 수 있도록 고객의 구독 만료 또는 종료 후 90일 동안 제한된 기능 계정으로 온라인 서비스에 저장된 고객 데이터를 유지합니다. 90일 보존 기간이 종료되면 Microsoft는 고객 계정을 사용하지 않도록 설정하고 고객 데이터를 삭제합니다.

고객은 Dynamics 365 및 Power Platform 데이터 주체 권한 가이드에 설명된 기능을 사용하여 언제든지 고객 데이터 및 가명 데이터를 삭제할 수 있습니다.
개인 데이터의 위치 및 전송 고객은 제품 및 서비스 DPA(데이터 보호 부록)에 명시된 특정 예외에 따라 지정된 지리적 지역 내에서 미사용 고객 데이터를 프로비전할 수 있습니다. 서비스 배포 및 데이터 보존에 대한 자세한 내용은 Microsoft 보안 센터 및 Dynamics 365 가용성 및 데이터 위치의 데이터 위치 및 가용성 및 Microsoft Power Platform의 국제 가용성에 대한 Dynamics 365 및 Power Platform 문서를 참조하세요.

유럽 경제 지역, 스위스 및 영국에서 전송되는 개인 데이터의 경우 Microsoft는 GDPR 제46조에 설명된 대로 제3국 또는 국제 organization 개인 데이터를 전송하는 데 적절한 보호 조치를 받도록 보장합니다. Microsoft는 프로세서 및 기타 모델 계약에 대한 표준 계약 조항에 따른 Microsoft의 약정 외에도 데이터 개인 정보 프레임워크의 조건을 계속 준수합니다.
목적과 관련한 처리 작업의 필요성 및 비례의 원칙 평가 이러한 평가는 데이터 컨트롤러의 요구와 처리 목적에 따라 달라집니다.

Microsoft는 서비스 프로비저닝을 지원하기 위해 비즈니스 운영을 지원하기 위해 Microsoft에서 사용하는 개인 데이터 집계와 같은 조치를 취하여 서비스를 사용하는 데이터 주체에 대한 이러한 처리의 위험을 최소화합니다.

Microsoft에서 수행하는 처리와 관련하여 이러한 처리는 데이터 컨트롤러에 서비스를 제공하기 위해 필수적이며 비례합니다.
데이터 주체의 권리와 자유에 대한 위험 평가 데이터 주체가 Dynamics 365 또는 Power Platform을 사용할 때 발생하는 권리 및 자유에 대한 주요 위험은 데이터 컨트롤러가 이를 구현, 구성 및 사용하는 방법과 컨텍스트에 따라 달라집니다.

Microsoft는 비즈니스 운영을 지원하는 데 사용되는 경우 개인 데이터 집계와 같은 조치를 취하여 서비스를 사용하는 데이터 주체에 대한 이러한 처리 위험을 줄입니다.

그러나 다른 서비스와 마찬가지로 서비스에서 보관하는 개인 정보는 승인되지 않은 무단 액세스나 부주의한 공개의 위험이 있습니다. 이러한 위험을 해결하기 위해 Microsoft가 취하는 조치는 아래에 설명되어 있습니다.
타사 하위 프로세서와 데이터 공유 Microsoft는 고객 및 기술 지원, 서비스 유지 관리 및 기타 운영과 같은 기능을 지원하기 위해 GDPR에 정의된 대로 하위 프로세서 역할을 하는 제3자와 데이터를 공유합니다. Microsoft가 고객 데이터, 지원 데이터 또는 개인 데이터를 전송하는 모든 하위 프로세서는 제품 약관 및 제품 및 서비스 DPA(데이터 보호 부록)의 조건보다 더 적은 보호를 받지 않는 Microsoft와 서면 계약을 체결하게 됩니다. Microsoft 주요 온라인 서비스에서 소비자 데이터를 공유하는 모든 타사 하도급자는 Online Service 하도급자 목록에 포함되어 있습니다.
데이터 주체 권리 프로세서로 운영 중일 때 Microsoft는 데이터 주체에 소비자(데이터 관리자) 개인 정보를 제공하고 GDPR의 권한 행사시 데이터 주체 요청을 처리할 수 있습니다. Microsoft는 제품의 기능 및 프로세서로서의 역할과 일치하는 방식으로 이를 수행합니다.  Microsoft는 고객의 데이터 주체로부터 GDPR에 따라 하나 이상의 권한을 행사하라는 요청을 수신하는 경우 데이터 주체를 데이터 컨트롤러에 직접 요청하도록 리디렉션합니다.

Dynamics 365 및 Power Platform의 기능을 사용하여 데이터 주체 권한을 지원하는 방법에 대한 데이터 컨트롤러에 대한 정보는 Dynamics 365 및 Power Platform 데이터 주체 요청 가이드를 참조하세요.

Microsoft는 일반적으로 비즈니스 운영에 사용하기 전에 개인 데이터를 집계하며 집계에서 특정 개인에 대한 개인 데이터를 식별할 수 있는 위치에 있지 않습니다. 이렇게 하면 개인에 대한 개인 정보 보호 위험이 줄어듭니다. Microsoft는 개인을 식별할 수 없기 때문에 데이터 주체의 엑세스, 지우기, 이식가능성 및 프로세스 제한성 및 거절권한을 지원할 수 없습니다.
위험을 해결하기 위한 세이프가드, 보안 조치 등의 계획된 조치, 개인 데이터의 보호를 보장하고 데이터 주체 및 기타 관련자의 권리와 합법적 이익을 고려하여 GDPR을 준수함을 입증하기 위한 메커니즘 Microsoft는 고객 데이터의 보안을 보호하기 위해 최선을 다하고 있습니다. Microsoft가 취하는 보안 조치는 제품 약관에 자세히 설명 되어 있습니다.

Microsoft는 엄격한 보안 표준과 업계 최고의 데이터 보호 방법을 준수합니다. Microsoft는 새로운 위협에 대처하기 위해 지속적으로 시스템을 개선하고 있습니다. 클라우드 거버넌스 및 개인 정보 보호 관행에 대한 자세한 내용은 보안 센터의 클라우드 규정 준수 관리 페이지에서 확인할 수 있습니다.

Microsoft는 처리하는 개인 데이터를 보호하기 위해 합리적이고 적절한 기술 및 조직적 조치를 취합니다. 이러한 조치에는 내부 개인 정보 보호 정책 및 관행, 계약 약정, 국제 및 지역 표준 인증이 포함되지만 이에 국한되지 않습니다. 자세한 내용은 보안 센터의 개인 정보 페이지에서 확인할 수 있습니다.

Dynamics 365 및 Power Platform에서 구현한 보안을 위한 Microsoft 관리형 컨트롤(기술 및 비즈니스 프로세스 제어)의 자세한 목록은 서비스 신뢰 포털을 참조하세요. 또한 Microsoft가 데이터 프로세서 역할을 하는 경우 데이터 프로세서에 적용되는 다른 모든 GDPR 의무를 준수합니다.

Microsoft는 비즈니스 운영을 위해 개인 데이터를 처리하는 경우 데이터 컨트롤러에 적용되는 GDPR 의무를 준수합니다.

자세히 알아보기