데이터 보호 영향 평가: Microsoft 전문 서비스를 사용하는 데이터 컨트롤러의 참고 자료

Microsoft 전문 서비스 소개

Microsoft 전문 서비스에는 다양한 그룹의 기술 아키텍트, 엔지니어, 컨설턴트가 포함되어 고객이 더 많은 작업을 수행하고 더 많은 성과를 이룰 수 있게 고객 경험을 강화하고자 하는 Microsoft의 사명을 다하기 위해 최선을 다하는 전문가들을 지원합니다. Microsoft 전문 서비스 신뢰 페이지를 방문하여 Microsoft 전문 서비스에 대해 자세히 알아보세요.

Microsoft 전문 서비스는 GDPR(일반 데이터 보호 규정) 하의 의무를 신중하게 이행합니다. 이 문서의 정보는 GDPR 하에 DPIA(데이터 보호 영양 평가)를 준비할 때 고객이 사용할 수 있는 Microsoft의 지원 및 컨설팅 서비스 방법에 대한 정보를 제공하도록 작성되었습니다.

DPIA 소개

일반 데이터 보호 규정(GDPR)에 따라 데이터 컨트롤러는 ‘자연인의 권리와 자유에 대한 높은 위험을 초래할 수 있는’ 작업 처리를 위해 DPIA를 준비해야 합니다. Microsoft 전문 서비스에는 내재되지 않았으므로 DPIA를 사용하는 데이터 컨트롤러에서 DPIA 만들기가 필요합니다. 더 정확히 말하자면, DPIA가 필요한지 여부는 서비스 유형 그리고 데이터 컨트롤러가 전문 서비스를 사용하는 방법의 세부 정보와 컨텍스트에 따라 달라집니다.

이 문서의 목적은 전문 서비스에 대한 정보와 데이터 컨트롤러를 제공하여 DPIA 필요 여부, 필요한 경우 포함할 세부 사항을 결정할 수 있도록 지원하는 것입니다.

1부 – DPIA가 필요한지 여부를 판단

GDPR 제 35조에 따라 데이터 컨트롤러는 ‘특히 신기술을 사용하고 처리의 특성, 범위, 컨텍스트 및 목적을 처리하는 유형이 자연인의 권리와 자유에 대한 높은 위험을 초래할 수 있는 경우’ 데이터 보호 영향 평가를 만들어야 합니다. 또한 다음 테이블에서 언급될 이러한 높은 위험을 나타내는 특정 요인을 다룹니다. DPIA의 필요 여부를 결정할 때 데이터 컨트롤러는 전문 서비스의 데이터 컨트롤러 특정 구현 및 활용에 따라 이러한 관련 요소를 고려해야 합니다.

위험 요인 전문 서비스에 대한 관련 정보
프로파일링을 포함한 자동화된 처리의 기반이 되고 자연인에 관한 법적 영향을 행사하거나 유사하게 자연인에게 중대한 영향을 주는 의사 결정의 기반이 되는 자연인과 관련된 개인 측면의 체계적이고 광범위한 평가. 전문 서비스는 고장/수리 지원(예: 고객 컴퓨터가 고장났을 경우 고객 지원), 계정 마이그레이션 및 시스템 취약성 분석과 같은 데이터의 자동화된 처리 또는 특정 루틴을 수행합니다. 이 표에서 나중에 다루는 고객 개발을 제외한 전문 서비스 솔루션은 법적 또는 개인에게 유사하게 중요한 영향을 주는 어떤 결정이 기반이 되었는지에 따라 처리가 수행되도록 의도되지 않았습니다.
특정 범주의 대규모1 데이터(인종 또는 민족 태생, 정치적 견해, 종교적 또는 철학적 신념, 노동 조합 회원 및 유전자 데이터, 자연인의 고유한 식별을 목적으로 하는 생체 데이터, 건강 또는 자연인의 성생활이나 성적 취향에 관한 데이터의 처리) 처리 또는 범죄 유죄 판결 및 범죄와 관련된 개인 데이터 처리; 전문 서비스는 이 표의 후반부에 있는 참고 사항에서 다루는 고객 개발을 제외한 개인 데이터의 특별 카테고리에 대한 처리가 요구되는 작업에 활용될 의도를 가지고 있지 않습니다.

하지만 데이터 컨트롤러는 열거된 특별 데이터 범주를 처리하는 데 전문 서비스 컨설팅 솔루션을 사용할 수 있습니다. 예를 들어 전문 서비스는 데이터 컨트롤러에서 건강 상태와 관련된 개인 데이터를 처리하는 데 사용할 수 있는 의료 산업 데이터베이스 개발을 제공합니다. 해당할 경우 이 사용에 대해 평가하고 제한 또는 문서화하는 것은 컨트롤러의 책임입니다.
공개적으로 액세스할 수 있는 영역을 대규모로 체계적으로 모니터링 전문 서비스는 이 표의 후반부에 있는 참고 사항에서 다루는 고객 개발을 제외하고 그러한 모니터링이 요구되거나 촉진되는 작업에 활용될 의도를 가지고 있지 않습니다.

데이터 컨트롤러가 이 유형의 시스템을 개발하는 데 전문 서비스를 사용하거나 그러한 모니터링을 통해 수집된 데이터를 처리하는 데 IT 시스템을 했을 경우 이 표의 후반부에 설명한 대로 이는 데이터 컨트롤러의 책임이 될 수 있습니다.

참고

1 처리가 “대규모”가 되는 기준에 대해 GDPR의 비고 91에서는 다음을 명확하게 제시합니다. “처리 작업에서 개인 담당 의사, 다른 의료 전문가 또는 법률가가 환자 또는 클라이언트의 개인 데이터를 우려할 경우 개인 데이터 처리는 대규모로 간주되지 않습니다. 그러한 경우 데이터 보호 영향 평가는 필수 사항이 아닙니다.”

[사용자 지정 개발 참고 사항] 전문 서버는 여러 가지 다양한 컨설팅 솔루션을 제공합니다. 데이터 컨트롤러는 위 기준에 따라 고위험 솔루션일 수 있는 솔루션을 잠재적으로 요청할 수 있습니다. 예를 들어 데이터 컨트롤러는 전문 서비스에서 고용 결정 또는 신용 확인서에 대한 비즈니스 인텔리전스 엔진 또는 AI(인공 지능)/분석, 또는 개인 데이터의 특별 카테고리 처리 사용에 특수화된 사용자 추적과 관련된 솔루션 개발하기 위해 솔루션을 만들도록 요청할 수 있습니다.

서비스를 시작할 때 전문 서비스는 작업 진행이 요구될 수 있는 고위험 솔루션을 평가하고 해결하기 위한 프로세스를 구축하고 있습니다. 이에 대한 일환으로 전문 서비스는 GDRP 하의 데이터 프로세서가 요구한 대로 GDPR 규정 준수(예: 계약 조항), DPIA 개발 계획, 또는 기타 기준(예: 합의된 운영 지침)에 대해 데이터 컨트롤러의 지원을 요구할 수 있습니다. 하지만 Microsoft의 조치와 관계없이 고객 데이터 프로세서에서 적용될 수 있는 입력이 있는 DPIA를 개발하는 것은 데이터 컨트롤러의 책입입니다.

2부 - DPIA의 내용

제 35(7)조는 데이터 보호 영향 평가가 처리의 목적과 계획된 처리의 체계적 설명을 명시하도록 규정하고 있습니다. 포괄적인 DPIA의 체계적 설명에는 처리된 데이터 유형, 데이터 보존 기간, 데이터 위치 및 전송 위치, 데이터에 액세스할 수 있는 제3자 등의 요인이 포함될 수 있습니다. 또한 DPIA에는 다음이 포함되어야 합니다.

  • 목적과 관련한 처리 작업의 필요성 및 비례의 원칙 평가;
  • 자연인의 권리와 자유에 대한 위험 평가;
  • 위험을 해결하기 위한 세이프가드, 보안 조치 등의 계획된 조치, 개인 데이터의 보호를 보장하고 데이터 주체 및 기타 관련자의 권리와 합법적 이익을 고려하여 이 규정을 준수함을 입증하기 위한 메커니즘.

다음의 테이블에는 각 요소와 관련된 전문 서비스에 대한 정보가 포함됩니다. 1부에서와 같이 데이터 컨트롤러는 전문 서비스의 구체적 구현 및 사용의 맥락에서 기타 관련 요인과 함께 아래에 제공된 세부 정보를 고려해야 합니다.

DPIA의 요소 전문 서비스에 대한 관련 정보
처리 목적 전문 서비스를 사용하여 데이터를 처리하는 목적은 컨트롤러를 구현, 구성 및 사용하는 방식에 따라 결정됩니다.

Microsoft 전문 서비스 데이터 보호 부록(MPSDPA)에 명시된 바와 같이, Microsoft는 데이터 프로세서로서 요청된 서비스를 고객과 데이터 컨트롤러에게 제공하기 위해 지원 및 컨설팅 데이터를 처리합니다. Microsoft는 광고 또는 유사한 상업적 목적으로 지원 및 컨설팅 데이터 또는 파생된 정보를 사용하지 않습니다.
전문 서비스를 사용하여 데이터를 처리하는 목적은 컨트롤러를 구현, 구성 및 사용하는 방식에 따라 결정됩니다. Microsoft 전문 서비스 데이터 보호 부록(MPSDPA)에 명시된 바와 같이, Microsoft는 데이터 프로세서로서 요청된 서비스를 고객과 데이터 컨트롤러에게 제공하기 위해 지원 및 컨설팅 데이터를 처리합니다. Microsoft는 광고 또는 유사한 상업적 목적으로 지원 및 컨설팅 데이터 또는 파생된 정보를 사용하지 않습니다.
처리된 개인 데이터의 범주 지원 및 컨설팅 데이터는 Microsoft 서비스를 통해 전문 서비스 또는 지원을 받기 위해 고객이 Microsoft에 또는 Microsoft 대리자에게 제공되는(고객이 Microsoft가 온라인 서비스에서 가져오도록 인증하는) 모든 텍스트, 사운드, 비디오, 이미지 파일 또는 소프트웨어를 포함한 모든 데이터를 의미합니다. 여기에는 전화, 채팅, 이메일 또는 웹 양식에서 수집된 정보가 포함됩니다. 자동화된 문제 해결사 또는 고객 허락 하에 원격으로 고객 시스템에 액세스하여 지원 문제를 해결하도록 Microsoft에 전송된 문제 설명, 파일도 포함될 수 있습니다.

고객 데이터 및 지원 데이터에는 Microsoft가 자체 용량에 데이터 컨트롤러로 수집하고 처리하며 이 문서 범위 외에 있는 구독 정보, 결제 데이터와 같은 고객 연락처 또는 청구 데이터를 포함하지 않습니다.
데이터 보존 Microsoft는 고객 서비스 기간 및 필요에 따라 서비스 품질 및 연속성을 보장하기 위한 보존 기간 동안 지원 및 컨설팅 데이터를 보존합니다. 예를 들어 지원 사례가 마무리된 후 데이터가 일반적으로 문제가 다시 발생하고 해당 사례가 다시 진행될 경우 참고할 수 있도록 일정 기간 동안 보존됩니다.

전문 서비스가 지원을 제공할 경우 서비스 기간은 지원 사례가 마무리되면 정의됩니다. 전문 서비스가 컨설팅 서비스를 제공할 경우 서비스 기간은 작업 주문에 따라 정의되는 경우가 많습니다. 다른 경우는 서비스 기간이 비즈니스 관계 유지에 따라 정의됩니다. 모든 경우 지원 및 컨설팅 데이터는 전문 서비스 데이터 주체 권한 가이드에 설명된 기능을 사용하여 고객의 지시 또는 필요에 따라 지체 없이 삭제 또는 반환됩니다.
개인 데이터의 위치 및 전송 전문 서비스의 특성으로 인해, 연중무휴 지원을 제공해야 하는 경우를 포함하여 데이터는 전 세계로 전송될 수 있습니다. Microsoft 운영 위치 목록이 필요에 따라 제공됩니다. 컨설팅 서비스의 경우 작업 주문 내에서 합의된 경우 데이터는 국내에서만 보유할 수 있습니다.

유럽 경제 지역과 스위스 및 영국의 개인 데이터의 경우 Microsoft는 개인 정보의 제3자 혹은 국제 기관 이전 시 적절한 보호 조치를 받도록 GDPR 46조에 의거하여 이를 준수합니다. Microsoft는 프로세서 및 기타 모델 계약에 대한 표준 계약 조항에 따른 Microsoft의 약속과 더불어 Privacy Shield 프레임워크 조건을 계속 준수하지만 이를 더 이상 EU/EEA에서 미국으로 개인 데이터를 전송하는 기준으로 사용하지 않습니다.
타사와 데이터 공유 Microsoft는 고객 및 기술 지원, 서비스 유지 관리, 기타 작업과 같은 기능을 지원하기 위해 하위 프로세서 역할을 하는 타사와 데이터를 공유합니다. Microsoft가 지원 및 컨설팅 데이터를 전송하는 하도급업자는 MPSDPA의 데이터 보호 약관보다 덜 안전하지만 Microsoft와 서면 계약을 체결하게 됩니다. MPSDPA 하에 지원 및 컨설팅 데이터가 공유되는 모든 타사 하위 프로세서는 Microsoft 상업적 지원 하도급업자 목록에 포함됩니다.

Microsoft는 법이 요구하지 않는 한 지원 데이터 및 컨설팅 데이터를 사법 기관에 공개하지 않습니다. 사법 기관이 Microsoft에 지원 데이터 및 컨설팅 데이터에 대한 요구를 문의하면 Microsoft는 사법 기관이 해당 데이터를 고객에게 직접 요청하도록 리디렉션을 시도합니다. 사법 기관에게 지원 데이터 및 컨설팅 데이터를 공개해야 하는 경우 Microsoft는 고객에게 신속히 알리고 법적으로 금지되지 않는 선에서 요청 복사본을 제공합니다.

지원 데이터 및 컨설팅 데이터에 대한 타사의 요청을 받으면 Microsoft는 법에 법적으로 금지되지 않는 선에서 고객에게 신속히 알립니다. Microsoft는 법이 요구하지 않는 한 요청을 거절합니다. 요청이 유효한 경우 Microsoft는 타사가 해당 데이터를 고객에게 직접 요청하도록 리디렉션을 시도합니다.
데이터 주체 권리 프로세서로 작동할 때 Microsoft는 고객(데이터 컨트롤러)이 데이터 주체의 개인 데이터를 사용할 수 있도록 하고 고객이 GDPR에 따라 권리를 행사할 때 데이터 주체 요청을 수행할 수 있는 기능을 제공합니다. 제품의 기능과 프로세서로의 역할에 있어 일관된 방식으로 진행합니다. 고객의 데이터 주체로부터 GDPR에 따라 권리 중 하나를 행사하도록 요청을 받으면 Microsoft는 데이터 주체가 데이터 컨트롤러에게 직접 요청하도록 리디렉션을 시도합니다.

전문 서비스 데이터 주체 요청 GDPR 설명서는 고객이 전문 서비스에서 데이터 주체 권리 의무를 이행할 수 있는 방법에 대한 설명을 제공합니다.
목적과 관련한 처리 작업의 필요성 및 비례의 원칙 평가 이러한 평가는 컨트롤러의 요구와 처리 목적에 따라 달라집니다.

Microsoft에서 수행하는 처리와 관련하여 이러한 처리는 데이터 컨트롤러에 서비스를 제공하기 위한 목적에 필수적이며 비례합니다. Microsoft는 MPSDPA에서 이를 준수합니다.
데이터 주체의 권리와 자유에 대한 위험 평가 전문 서비스 사용으로 인한 데이터 주체의 권리와 자유에 대한 주요 위험은 데이터 컨트롤러가 전문 서비스 및 전문 서비스에서 제공한 모든 솔루션을 구현, 구성, 사용하는 방법과 상황의 기능입니다.

그러나 다른 서비스와 마찬가지로 서비스에서 보관하는 개인 정보는 승인되지 않은 액세스나 부주의한 공개의 위험이 있습니다. 이러한 위험을 해결하기 위해 Microsoft에서 취하는 조치는 이 문서의 후반부에서 설명됩니다.
위험을 해결하기 위한 세이프가드, 보안 조치 등의 계획된 조치, 개인 데이터의 보호를 보장하고 데이터 주체 및 기타 관련자의 권리와 합법적 이익을 고려하여 GDPR을 준수함을 입증하기 위한 메커니즘입니다. Microsoft는 고객의 정보 보안을 보호하기 위해 노력합니다. GDPR 제 32조의 조항을 준수하여 우발적인, 권한이 없거나 불법적인 액세스, 공개, 변조, 손실, 소멸로부터 지원 데이터 및 컨설팅 데이터를 보호할 수 있는 적절한 기술 및 조직적 조치를 구현해 왔으며 지속해서 유지 관리하고 따를 것입니다.

또한 Microsoft는 데이터 보호 영향 평가 및 기록 유지를 포함하지만 국한되지 않는 데이터 프로세스에 적용되는 모든 기타 GDPR 의무를 준수합니다.

자세한 정보