Microsoft 사업부에 대한 추가 하위 프로세서 요구 사항 이해
Microsoft SSPA 프로그램은 공급업체 기반의 거버넌스 및 관리를 위한 포괄적인 프로그램을 제공하지만 개별 사업부는 공급업체에 대한 추가 요구 사항을 유지할 수 있습니다. 예를 들어 Microsoft 365는 새 하위 프로세서가 승인될 때 고객에게 통지를 제공하고 새 공급업체와 계약할 때 추가 검사를 적용합니다. 추가 사업부 요구 사항은 SSPA 요구 사항을 보완하고 규정 요구 사항 및 계약 의무에 맞게 설계되었습니다.
통지 요건
제품 및 서비스 DPA(데이터 보호 부록)에 따라 Microsoft는 하위 프로세서 추가에 대한 통지 기간에 대해 추가 약정을 합니다. 통지 기간은 하위 프로세서가 Microsoft를 대신하여 처리할 데이터 유형에 따라 다릅니다.
DPA에 명시된 내용을 요약하기 위해 Microsoft는 고객 데이터를 처리할 새 하위 프로세서에 앞서 최소 6개월 전에 고객에게 알림을 제공할 것을 약속합니다. 다른 개인 데이터의 경우 Microsoft는 최소 30일의 공지를 제공합니다.
신규 공급업체에 대한 추가 조달 확인
고객 및 개인 데이터에 액세스할 수 있는 하위 처리기 수를 제한하고 SSPA 요구 사항을 초과하는 고객에게 알림을 제공하기 위한 당사의 약속으로 인해 엔터프라이즈 개인 데이터에 액세스해야 하는 공급업체를 구매할 때 추가 공급업체 검사를 도입했습니다. 하위 프로세서가 승인될 때까지 공급자에게 고객 또는 개인 데이터에 대한 액세스 권한이 부여되지 않습니다. 여기에는 다음과 같은 요구 사항이 포함됩니다.
- 추가 계약 요구 사항
- 추가 감사 요구 사항
- 고객에게 적절한 알림