GDPR 및 CCPA에 대한 Azure DevOps Services 데이터 주체 요청
유럽 연합 GDPR(일반 데이터 보호 규정) 은 규제에서 데이터 주체로 알려진 사람들에게 데이터 컨트롤러가 수집한 개인 데이터를 관리할 수 있는 권한을 부여합니다. 데이터 컨트롤러 또는 컨트롤러는 고용주 또는 다른 유형의 기관 또는 organization. GDPR에서 개인 데이터는 식별되거나 식별 가능한 자연인에 관련된 모든 데이터로 광범위하게 정의됩니다. GDPR은 데이터 주체에게 개인 데이터에 대한 특정 권한을 부여합니다. 이러한 권한에는 개인 데이터의 복사본을 가져오거나, 수정을 요청하거나, 처리를 제한하거나, 삭제하거나, 전자 형식으로 수신하여 다른 컨트롤러로 이동할 수 있습니다. 컨트롤러가 개인 데이터에 대한 작업을 수행하도록 데이터 주체의 공식 요청을 데이터 주체 요청 또는 DSR이라고 합니다.
마찬가지로 캘리포니아 소비자 개인 정보 보호법(CCPA)은 캘리포니아 소비자에게 GDPR의 데이터 주체 권리와 유사한 권리를 포함하여, 소비자의 개인 정보 삭제, 액세스 및 수신(이식성)과 같은 개인 정보 보호 권리 및 의무를 제공합니다. 또한 CCPA는 특정 공개, 실행 권리 행사 시 차별 대우로부터 보호, “판매"로 분류되는 특정 데이터 전송에 대한 "옵트아웃(opt-out)/옵트인(opt-in)" 요구도 허용합니다. 판매는 가치 있는 대가관계를 위하여 데이터 공유를 포함하도록 광범위하게 정의됩니다. CCPA에 대한 자세한 내용은 캘리포니아 소비자 개인 정보 보호법 및 캘리포니아 소비자 개인 정보 보호법 FAQ를 참조하세요.
GDPR 대한 일반적인 내용은 Service Trust Portal의 GDPR 섹션을 참조하세요.
이 가이드에서는 Microsoft 도구를 사용하여 인증(로그인)된 Azure DevOps Services(이전에는 Visual Studio Team Services로 알려짐) 세션 동안 수집된 개인 데이터를 내보내거나 삭제하는 방법을 설명합니다.
추가 개인 정보 보호 정보
Microsoft 개인정보 취급방침, OST(온라인 서비스 약관) 및 Microsoft의 GDPR 약속 문서에 데이터 처리 방법이 설명되어 있습니다.
수집한 개인 데이터
Microsoft는 Azure DevOps Services를 운영하고 개선하기 위해 사용자로부터 데이터를 수집합니다. Azure DevOps Services는 고객 데이터와 시스템 생성 로그라는 두 가지 범주의 데이터를 수집합니다. 고객 데이터에는 Azure DevOps Services에서 서비스를 운영하는 데 필요한 사용자 식별 가능 트랜잭션 및 상호 작용 데이터가 포함됩니다. 시스템 생성 로그에는 각 제품 영역 및 기능에 대해 집계하는 서비스 사용 데이터가 포함됩니다.
Azure DevOps 데이터 삭제
변경 내용을 관리하기 위한 시스템인 Azure DevOps는 데이터 무결성, 추적 가능성 및 감사에 대한 엄격한 규칙을 준수해야 합니다. 이러한 의무는 GDPR에 따른 데이터 삭제 및 보존에 대한 당사의 책임에 영향을 미치며, 이러한 이유로 익명 또는 삭제에 대한 개별 요청을 이행하지 않습니다. Azure DevOps에서 개인 데이터를 제거하는 유일한 방법은 organization 완전히 삭제하는 것입니다. Microsoft Entra ID 또는 MSA(Microsoft 계정) ID 계정을 종료해도 Azure DevOps organization 내의 개별 ID와 연결된 아티팩트 또는 레코드(예: 끌어오기 요청 또는 작업 항목)가 변경되거나 삭제되지 않습니다. Azure DevOps organization 삭제하면 연결된 모든 개인 데이터가 제거되고 시스템 생성 로그가 강제 30일 일시 삭제 기간 후에 익명화됩니다.
Azure DevOps 데이터 내보내기
컨트롤러는 Azure DevOps 서비스에 로그인하는 데 사용되는 ID 공급자(MSA 또는 Microsoft Entra ID)에 따라 두 가지 방법 중 하나로 데이터 주체에서 수집된 고객 데이터 및 시스템 생성 로그를 내보낼 수 있습니다.
Azure 테넌트가 백업하는 계정을 사용하여 인증하는 사용자(예: azure 구독과 연결된 Microsoft Entra 계정 또는 MSA 계정)는 GDPR에 대한 Azure 데이터 주체 요청의 지침을 따를 수 있습니다.
MSA ID를 사용하여 인증하는 사용자는 이 개인 정보 요청 사이트를 사용하여 여러 Microsoft 서비스에서 MSA ID에 연결된 활동 데이터를 볼 수 있습니다. 이 시나리오에서 사용자는 개인 데이터에 대한 관리자입니다.
내보내기 또는 삭제 문제
Microsoft Entra ID의 경우 Azure Portal 데이터를 내보내거나 삭제하는 동안 문제가 발생하는 경우 Azure Portal 도움말 + 지원 블레이드로 이동하여 구독 관리>개인 정보 보호 및 구독>개인 정보 블레이드 및 GDPR 요청에 대한 규정 준수 요청에 따라 새 티켓을 제출합니다.
MSA ID의 경우 개인 정보 요청 사이트에서 데이터를 내보낼 때 문제가 발생할 경우 개인 정보 요청 사이트에 로그인한 후 요청 웹 양식을 통해 Microsoft 개인 정보 보호 지원 팀에 대한 지원 요청을 제출합니다.
자세한 정보
Microsoft는 Azure DevOps Services 데이터가 예외 없이 안전하고 비공개로 유지되도록 최선을 다하고 있습니다. Azure DevOps Services 데이터 보호 개요 백서를 방문하여 Azure DevOps Services 데이터를 보호하는 방법에 대해 자세히 알아보세요.