Power Automate에 대한 GDPR 데이터 주체 요청에 응답Responding to GDPR Data Subject Requests for Power Automate

이 문서를 통해 본인과 조직이 유럽 연합의 GDPR(일반 데이터 보호 규정)에 대비할 수 있습니다.This article prepares you and your organization for the European Union's General Data Protection Regulation (GDPR). 이 문서에서는 GDPR에 대비하기 위해 Microsoft에서 수행 중인 작업을 설명하고, Power Apps, Power Automate 및 Common Data Service를 사용할 때 GDPR 준수를 지원하기 위해 지금 Microsoft와 함께 수행할 수 있는 단계의 예제를 공유합니다.This article not only describes what Microsoft is doing to prepare for the GDPR but also shares examples of steps you can take today to support GDPR compliance when using Power Apps, Power Automate, and Common Data Service.

필수 구성 요소Prerequisites

사용자 및 관리자는 이 문서에 설명된 작업을 수행할 수 있습니다.Users and administrators can perform the actions outlined in this article.

사용자 Users

사용자는 Power Automate 라이선스가 있는 활성 Azure Active Directory 계정이 필요합니다.A user needs to have an active Azure Active Directory account with a Power Automate license. 이 요구 사항을 충족하지 않는 사용자는 관리자에게 이러한 작업을 수행하도록 요청해야 합니다.Users who do not meet this requirement need to ask an administrator to perform these actions.

관리자Administrators

다음 권한이 둘 다 포함된 계정으로 Power Platform 관리 센터 또는 Power Apps 관리자 PowerShell에 로그인할 경우 이 문서에 설명된 관리 권한이 필요한 작업을 수행할 수 있습니다.You can perform the operations that require admin privileges, outlined in this article if you sign into the Power Platform admin center or Power Apps Admin PowerShell with an account that has both of these permissions:

관리되지 않는 테넌트Unmanaged Tenants

관리되지 않는 테넌트의 멤버인 경우 Azure AD 테넌트에 전역 관리자가 없습니다. 그러면 고유한 개인 데이터를 내보내고 제거하기 위해 이 아티클에 설명된 단계를 수행할 수 있습니다.If you are a member of an unmanaged tenant, meaning that your Azure AD tenant does not have global administrator, then you will still be able to follow the steps outlined in this article to export and remove your own personal data.

Power Automate 고객 데이터에 대한 DSR에 응답 Responding to DSRs for Power Automate customer data

GDPR은 사람들(GDPR에서 데이터 주체)에게 고용주 또는 다른 유형의 기관이나 조직(데이터 컨트롤러 또는 간단하게 컨트롤러)에 의해 수집된 개인 데이터를 관리할 권한을 제공합니다.The GDPR gives rights to people (known in the GDPR as data subjects) to manage the personal data that has been collected by an employer or other type of agency or organization (known as the data controller or just controller). 개인 데이터는 GDPR에 따라 식별되거나 식별 가능한 자연인과 관련된 모든 데이터로 정의됩니다.Personal data is defined very broadly under the GDPR as any data that relates to an identified or identifiable natural person. GDPR은 데이터 주체에게 개인 데이터에 대한 특정 권한을 제공합니다. 이러한 권한에는 개인 데이터의 복사본을 얻거나, 개인 데이터에 대한 수정을 요청하거나, 개인 데이터의 처리를 제한하거나, 개인 데이터를 삭제하거나, 다른 관리자에게 이동할 수 있도록 전자 형식으로 개인 데이터를 수신할 권한이 포함됩니다.The GDPR gives data subjects specific rights to their personal data; these rights include obtaining copies of personal data, requesting corrections to it, restricting the processing of it, deleting it, or receiving it in an electronic format so it can be moved to another controller. 데이터 주체가 개인 데이터에 대한 작업을 수행하도록 컨트롤러에게 공식적으로 요청하는 것을 DSR(데이터 주체 권한) 요청이라고 합니다.A formal request by a data subject to a controller to take an action on their personal data is called a Data Subject Rights (DSR) Request.

이 문서에서는 Microsoft 제품, 서비스 및 관리 도구를 사용하여 컨트롤러가 DSR에 응답할 때 개인 데이터를 찾고 이에 대한 조치를 취하도록 돕는 방법을 설명합니다.This article discusses how to use Microsoft's products, services and administrative tools to help controllers find and act on personal data when responding to DSRs. 특히 이 문서에는 Microsoft 클라우드에 있는 개인 데이터를 찾고, 액세스하고, 조치를 취하는 방법이 포함됩니다.Specifically, this article includes how to find, access, and act on personal data that reside in Microsoft's cloud. 이 가이드에 설명된 프로세스에 대한 간략한 개요는 다음과 같습니다.Here’s a quick overview of the processes outlined in this guide:

  1. 검색: 검색 및 검색 도구를 사용하여 DSR의 대상이 될 수 있는 고객 데이터를 더 쉽게 찾을 수 있습니다.Discover: Use search and discovery tools to more easily find customer data that may be the subject of a DSR. 잠재적으로 반응형 문서가 수집되면 다음 단계에 설명된 하나 이상의 DSR 작업을 수행하여 요청에 응답할 수 있습니다.Once potentially responsive documents are collected, you can perform one or more of the DSR actions described in the following steps to respond to the request. 또는 요청이 DSR에 응답하기 위한 조직의 지침을 충족하지 않는다고 판단할 수 있습니다.Alternatively, you may determine that the request doesn't meet your organization’s guidelines for responding to DSRs. Power Automate DSR 검색 설명서Power Automate DSR Discovery documentation

  2. 액세스: Microsoft 클라우드에 있는 개인 데이터를 검색하고 요청된 경우 데이터 주체에게 제공할 수 있는 복사본을 만듭니다.Access: Retrieve personal data that resides in the Microsoft cloud and, if requested, make a copy of it that can be available to the data subject.

  3. 수정: 해당되는 경우 개인 데이터를 변경하거나 요청된 다른 작업을 구현합니다.Rectify: Make changes or implement other requested actions on the personal data, where applicable.

    데이터 주체가 조직에 있는 개인 데이터를 수정하도록 요청하는 경우 본인과 조직은 요청을 수용하는 것이 적절한지 결정해야 합니다.If a data subject asks you to rectify their personal data that resides in your organization, you and your organization must determine if it’s appropriate to honor the request. 데이터 수정에는 개인 데이터를 편집, 수정 또는 제거하는 등의 작업 수행이 포함될 수 있습니다.Rectifying the data may include taking actions such as editing, redacting, or removing personal data.

    Azure Active Directory를 사용하여 Power Automate 사용자 ID를 관리할 수 있습니다.You can use Azure Active Directory to manage Power Automate users' identities. 엔터프라이즈 고객은 제공된 Microsoft 서비스의 특성에 따른 제한된 편집 기능을 포함하여 DSR 수정 요청을 관리할 수 있습니다.Enterprise customers can manage DSR rectify requests, including limited editing features, per the nature of a given Microsoft service. 데이터 프로세서로서 Microsoft는 시스템 생성 로그를 수정하는 기능을 제공하지 않습니다. 이러한 로그는 사실적 활동을 반영하고 Microsoft 서비스 내의 이벤트 기록을 구성하기 때문입니다.As a data processor, Microsoft doesn't offer the ability to correct system-generated logs because these logs reflect factual activities and constitute a historical record of events within Microsoft services. DSR에 대해 자세히 알아보십시오.Learn more about DSR.

  4. 제한: 다양한 온라인 서비스에 대한 라이선스를 제거하거나 가능한 경우 원하는 서비스를 해제하여 개인 데이터 처리를 제한합니다.Restrict: Restrict the processing of personal data, either by removing licenses for various online services or turning off the desired services where possible. Microsoft 클라우드에서 데이터를 제거하고 온-프레미스 또는 다른 위치에 보관할 수도 있습니다.You can also remove data from the Microsoft cloud and retain it on-premises or at another location.

    데이터 주체는 개인 데이터 처리를 제한하도록 요청할 수 있습니다.Data subjects may request that you restrict processing of their personal data. Microsoft는 이 목적으로 API(응용 프로그래밍 인터페이스)와 UI(사용자 인터페이스)를 제공합니다.Microsoft provides application programming interfaces (APIs) and user interfaces (UIs) for this purpose. 이러한 인터페이스를 사용하여 엔터프라이즈 고객의 테넌트 관리자는 데이터 내보내기 및 데이터 삭제의 조합을 통해 DSR을 관리할 수 있습니다.These interfaces allow the enterprise customer’s tenant administrator to manage such DSRs through a combination of data export and data deletion. 고객은 (1) 계정, 시스템 생성 로그 및 연결된 로그를 포함한 사용자 개인 데이터의 전자 복사본을 내보낸 다음, (2) Microsoft 시스템 내에 있는 계정 및 연결된 데이터를 삭제할 수 있습니다.A customer may (1) export an electronic copy of the personal data of the user, including account(s), system-generated logs, and associated logs, followed with (2) deletion of the account and associated data residing within Microsoft systems.

  5. 삭제: Microsoft 클라우드에 있는 개인 데이터를 영구적으로 제거합니다.Delete: Permanently remove personal data that resides in Microsoft's cloud. 개인 데이터 삭제에 대해 자세히 알아보세요.Learn more about deleting personal data.

  6. 내보내기: 개인 정보의 전자 사본(컴퓨터 판독 가능 형식)을 데이터 주체에게 제공합니다.Export: Provide an electronic copy (in a machine-readable format) of personal data to the data subject. 이 문서의 각 섹션에서는 데이터 컨트롤러 조직이 Microsoft 클라우드의 개인 데이터에 대한 DSR 요청에 응답하기 위해 수행할 수 있는 기술적인 절차를 설명합니다.Each section in this article outlines the technical procedures that a data controller organization can take to respond to a DSR for personal data in Microsoft's cloud. 개인 데이터 내보내기에 대해 자세히 알아보세요.Learn more about exporting personal data.

시스템 생성 로그System-generated logs

Power Automate의 시스템 생성 로그에 대한 자세한 내용은 이 가이드를 참조하세요.Refer to this guide for more information on system-generated logs for Power Automate.