GDPR 살펴보기
유럽 연합(EU) 일반 데이터 보호 규정(GDPR이라고도 함)는 2016년 4월에 발표했습니다. 이 규정은 유럽 전체에서 데이터 개인 정보 보호법을 조정하도록 설계되었습니다. EU에 거주하는 사람의 개인 데이터를 처리하는 데이터 컨트롤러(주로 소비자 서비스) 및 데이터 프로세서(엔터프라이즈 서비스)에 모두 적용됩니다.
Microsoft 온라인 서비스 데이터 프로세서는 다음과 같습니다.
- Microsoft는 데이터 주체에게 데이터 컨트롤러의 개인정보처리방침을 제공합니다.
- Microsoft는 데이터 주체 권한에 따라 기존 서비스 기능 및 새로운 기능에 대한 변경 내용을 디자인합니다.
- Microsoft는 위반이 "개인의 권리 또는 자유에 대한 위험을 초래할" 가능성이 있는 경우 데이터 위반이 있는 경우 알림을 제공합니다. Microsoft는 데이터 위반이 선언된 후 72시간 이내에 적절한 당사자에게 알릴 것을 약속합니다.
Microsoft는 적절하고 효과적인 기술 및 조직적 조치 구현을 위한 GDPR 프로비저닝에 맞춰 ISO 27001 및 ISO 27018 제어 요구 사항에 부합하며 서비스 전반에서 ISO 27701에 대한 조정을 요구하고 있습니다.
DSR(데이터 주체 요청)
GDPR은 잘못된 데이터를 수정하고, 데이터를 지우거나 처리를 제한하고, 데이터를 수신하고, 다른 관리자에 대한 데이터 전송 요청을 이행할 권리를 포함하여 개인 데이터의 처리와 관련된 특정 권리를 개인(또는 데이터 주체)에게 부여합니다. 컨트롤러는 시기 적절한 GDPR 일치 응답을 제공해야 합니다. Microsoft(데이터 프로세서)는 DSR에 대한 규정 준수 및 응답을 용이하게 하고 활성화하는 기능을 제공하여 고객(컨트롤러)을 지원합니다.
Microsoft는 DSR에 대응하여 개인 데이터를 찾고 조치를 취하는 데 도움이 되는 관리 도구를 고객에게 제공합니다.
- 검색: 검색 및 검색 도구를 사용하여 DSR의 대상이 될 수 있는 고객 데이터를 찾습니다.
- 액세스: Microsoft 서비스에 상주하는 개인 데이터를 검색하고 요청된 경우 데이터 주체가 사용할 수 있는 복사본을 만듭니다.
- 수정: 개인 데이터에 대해 변경하거나 기타 요청된 작업을 구현합니다(해당하는 경우).
- 제한: 다양한 Microsoft 서비스에 대한 라이선스를 제거하거나 가능한 경우 원하는 서비스를 해제하여 개인 데이터 처리를 제한합니다. 고객은 Microsoft 클라우드에서 데이터를 제거하고 온-프레미스 또는 다른 위치에 유지할 수도 있습니다.
- 삭제: Microsoft 서비스에 상주하는 개인 데이터를 영구적으로 제거합니다.
- 내보내기/받기(이식성): 개인 데이터 또는 개인 정보의 전자 복사본(컴퓨터에서 읽을 수 있는 형식)을 데이터 주체에 제공합니다.
데이터 보호 영향 평가
GDPR은 컨트롤러가 "자연인의 권리와 자유에 대한 높은 위험을 초래할 가능성이 있는" 운영을 위해 DPIA(데이터 보호 영향 평가)를 준비하도록 요구합니다. DPIA를 만들 필요가 있는 Microsoft 제품 및 서비스에 내재된 것은 없습니다. 그러나 Microsoft 제품 및 서비스는 사용자 지정이 가능하기 때문에 고객의 상황에 대한 세부 정보에 따라 DPIA가 필요할 수 있습니다. Microsoft는 이러한 정보를 제어할 수 없으며 정보를 거의 또는 전혀 파악할 수 없습니다. 데이터 컨트롤러는 해당 데이터의 적절한 사용을 결정해야 합니다. 그러나 Microsoft는 DPIA를 수행하는 데 필요한 상당한 노력을 인식하고 있으므로 고객이 GDPR에 대한 DPIA의 의무를 충족하는 데 도움이 되는 몇 가지 리소스를 제공했습니다.