針對為歐盟 (EU) 中的人們提供產品及服務或為歐盟居民收集和分析資料的組織,一般資料保護規定 (GDPR) 推出了新的規則,而無論您或您的企業位於何處都必須遵守。 更多細節可參考 GDPR摘要文章。 這份文件將引導您在使用 Microsoft 產品和服務時,取得 GDPR 規定下之資料保護影響評估 (DPIAS) 的相關資訊。
關於GDPR術語定義,請參見 《一般資料保護條例》。
注意事項
Microsoft 在本文件中未提供任何法律建議。 本文件僅供參考。 鼓勵客戶與其隱私專員及法律顧問合作,確認與使用 Microsoft 產品與服務相關的任何 DPIA 的必要性及內容。
什麼是 DPIA?
GDPR 需要控制者為「可能導致自然人之權利和自由高風險」的作業準備資料保護影響評估 (DPIA)。 Microsoft 的產品和服務本身並沒有什麼需要建立 DPIA 的東西。 不過由於 Microsoft 產品和服務的高度可自訂性,根據您的 Microsoft 設定之詳細資料可能因此會需要 DPIA。 Microsoft 無法控制,並對這些資訊沒有任何了解。 身為資料控制者的您必須決定資料的正確使用。
DPIA 實際運作方式
DPIA 指引適用於 Office 365、Microsoft Azure、Microsoft Dynamics 365 以及 Microsoft 支援服務與專業服務。 指導方針包含考量:
何時需要 DPIA?
GDPR第35條要求資料管制者建立資料保護影響評估,「此處特別涉及使用新技術的處理方式,並考量處理的性質、範圍、情境及目的,可能導致對自然人的權利與自由造成高度風險。」文章進一步列出了指出如此高風險的特定因素。 考慮是否要完成 DPIA 時,應設法解決以下風險因素。 其他潛在因素及細節請參閱各產品專屬指引的第一部分。
- 基於自動化處理之資料的系統化和廣泛評估。
- 處理大規模的特殊類別資料 (顯示唯一識別自然人資訊的資料) 或與刑事定罪和犯罪相關的個人資料。
- 系統化監視大規模的公開區域。
GDPR明確指出:「若個人醫師、其他醫療專業人員或律師涉及患者或客戶的個人資料處理,則不應被視為大規模處理。 在這種情況下,資料保護影響評估不應成為強制性。」
完成 DPIA 的必要項目?
GDPR 第 35 條 (第 7) 規定,資料保護影響評估必須明確處理的目的,並系統性描述預期的處理過程。 完整的 DPIA 系統描述可能包含像是處理的資料類型、資料會保留多久、資料位置和傳輸目的地,以及哪些第三方可以存取資料。 此外,DPIA 也必須包含:
- 評估處理作業的必要性與相對於目的的比例性。
- 對自然人權利與自由風險的評估。
- 旨在解決風險的措施,包括保障措施、安全措施和機制,以確保保護個人資料,並在考慮到資料主體和其他有關人員的權利和合法利益的情況下證明符合 GDPR。
第二部分的產品專屬指引也涵蓋以下處理要素:
- 處理目的
- 處理的個人資料類別
- 資料保留
- 個人資料的位置和傳輸
- 與第三方子處理者共用資料
- 與獨立第三方共用資料
- 資料主體權利
其他考量
以下是可能與您的 Microsoft 實作的特定詳細資料。
- Office 365:本文件適用於 Office 365 應用程式與服務,包括但不限於 Exchange Online、SharePoint、Viva Engage、商務用 Skype 及 Power BI。 如需詳細資訊,請參閱表 1 與 2。
- Azure:我們鼓勵客戶與其隱私權主管和法律顧問合作,以確定與使用 Microsoft Azure相關之任何 DPIA 的必要性和內容。
- Dynamics 365:DPIA 的內容會依你使用的 Dynamics 365 工具而有所不同。 如需特定詳細資料,請參閱第 2 部分:DPIA 的內容。
- Windows:此文件適用於 Windows 診斷資料處理者設定。 我們鼓勵客戶與其隱私權主管和法律顧問合作,以確定與使用 Windows 資料處理者設定相關之任何 DPIA 的必要性和內容。
- Microsoft 支援服務與專業服務:專業服務不執行特定例行或自動化資料處理,也不打算處理特定類別或執行促進或需要監控公開資料的任務。 如需詳細資料,請參閱第 1 部分 – 判斷是否需要 DPIA。 在控制者的特定實作與專業服務的使用情況下,控制者必須考慮上述的 DPIA 元素以及其他相關因素。 如需專業服務的詳細資訊,請參閱第 2 部分:DPIA 的內容。