資料保護影響評估:適用於使用 Microsoft 專業服務之資料控制者的指引
Microsoft 專業服務簡介
Microsoft 專業服務包括多元的技術架構設計人員、工程師、顧問及支援專業人員的群組,這些人員致力於達成 Microsoft 讓客戶達成更多目標的使命。 如需深入了解 Microsoft 專業服務,請瀏覽 Microsoft 專業服務信任頁面。
Microsoft 專業服務很認真看待其在一般資料保護規定 (GDPR) 下所需承擔的責任。 本文件中的資訊旨在提供客戶在 GDPR 下準備資料保護影響評估 (DPI) 時,可如何使用 Microsoft 支援和諮詢供應專案的相關信息。
DPIA 簡介
根據GDPR (一般數據保護規定) ,數據控制者必須準備 DPIA 以進行處理作業,這些作業「可能會對自然人的權利和自由造成高風險」。 Microsoft 專業服務中沒有任何固有的功能需要數據控制者使用它來建立 DPIA。 相反地,是否需要 DPIA 取決於服務類型的詳細數據和內容,以及數據控制器如何使用專業服務。
本文件旨在提供資料控制者有關專業服務的資訊,協助他們判斷是否需要 DPIA,以及若需要,應包含哪些詳細資料。
第 1 部分:判斷是否需要 DPIA
GDPR 第 35 條要求數據控制者建立數據保護影響評估 『[w]這裡特別使用新技術的處理類型,並考慮到處理的本質、範圍、內容和目的,可能會對自然人的權利和自由造成高風險。 它會進一步設定指出這類高風險的特定因素,如下表所討論:在判斷是否需要 DPIA 時,數據控制器應根據數據控制器的特定實作 () 並使用 (的專業服務) 來考慮這些因素以及其他相關因素。
| 風險因素 | 專業服務的相關資訊 |
|---|---|
| 基於自動化處理對自然人的個人方面進行系統和廣泛的評估,包括概況分析,以及對自然人產生法律效果的決定或對自然人產生同樣重大影響的決定; | 專業服務會執行某些例行或自動化的資料處理,例如中斷/修正支援 (例如在客戶的電腦中斷時協助客戶)、帳戶遷移及系統弱點分析。 專業服務解決方案,不包括本表稍後附註所涵蓋的客戶開發,並不是要針對哪些決策對個人產生法律或類似的重大影響來執行處理。 |
| 大規模處理 1 特殊類別的資料 (揭露種族或民族血統、政治傾向、宗教或哲學信仰或貿易同盟會員資格的個人資料,用於唯一識別自然人的基因資料、計量生物學資料,有關健康的資料或有關自然人性生活或性向的資料),或與刑事定罪和犯罪行為有關的個人資料; | 專業服務不適用於在需要處理個人資料特殊類別的工作中利用,排除本表格後續附註涵蓋的客戶開發。 不過,數據控制者可以使用專業服務諮詢解決方案來處理列舉的特殊數據類別。 例如,專業服務提供醫療保健產業資料庫開發,可供數據控制者用來處理與健康情況相關聯的個人資料。 控制者必須負責評估並視需要限制或記錄此使用量。 |
| 大規模有系統地監視可公開進入的地區 | 專業服務不適合用於需要或協助這類監視的工作,但不包括本表稍後附註所涵蓋的客戶開發。 如果資料控制者使用專業服務來開發此類型系統,或使用 IT 系統來處理透過此類監視所收集到的資料,則資料控制者的責任如本表格後續所述。 |
注意事項
1 關於「大規模」處理的準則,GDPR 第 91 條闡明:「如果處理是有關於個別醫生、其他醫療保健專業人員或律師之病患或客戶的個人資料,則處理個人資料不應視為大規模。 在此類情況下,資料保護影響評估不應強制」。
[自定義開發附注]專業服務提供各種不同的諮詢解決方案。 數據控制器可能會要求解決方案,根據上述準則,該解決方案會是高風險的解決方案。 例如,數據控制者可能會要求專業服務建立解決方案來開發商業智慧引擎,以進行僱用決策或信用應用程式,或是涉及使用者追蹤、人工智慧 (AI) /Analytics 的特殊用途,或處理特殊類別的個人資料的解決方案。
在參與初始,專業服務有評估和解決它被要求執行之高風險解決方案的處理程序。 在此程序中,專業服務可能需要來自資料控制者對於 GDPR 合規性 (例如合約條款) 的保證、開發 DPIA 的計劃,或其他準則 (例如同意作業指導方針),如資料處理者依據 GDPR 所要求。 不過,無論 Microsoft 的動作為何,數據控制者都有責任在客戶數據處理者適用的情況下,使用輸入來開發 DPIA。
第 2 部分:DPIA 的內容
第 35(7) 條要求資料保護影響評估需指出處理的目的,以及構想處理程序之有系統的描述。 完整的 DPIA 系統描述可能包含像是處理的資料類型、資料會保留多久、資料位置和傳輸目的地,以及哪些第三方可以存取資料。 此外,DPIA 也必須包含:
- 評估與目的有關的處理操作的必要性和比例性;
- 評估自然人的權利和自由風險;和
- 旨在解決風險的措施,包括保障措施、安全措施和機制,以確保保護個人資料,並在考慮到資料主體和其他有關人員的權利和合法利益的情況下證明符合本條例。
下表包含與這些元素相關之專業服務的相關信息。 如同第 1 部分,數據控制器必須在控制器特定實作 () 的內容中考慮數據表中提供的詳細數據,以及任何其他相關因素,並使用 (的專業服務) 。
| DPIA 的要素 | 專業服務的相關資訊 |
|---|---|
| 處理的目的 | 使用專業服務進行處理的目的取決於實作、設定及使用專業服務的控制者。 如 Microsoft 專業服務數據保護增補 (MPSDPA) 所指定,Microsoft 作為數據處理者,只會處理支援和諮詢數據,以便將要求的服務提供給客戶數據控制者。 Microsoft 不會將支援和諮詢數據或衍生自它的資訊用於任何廣告或類似的商業用途。 |
| 使用專業服務進行處理的目的取決於實作、設定及使用專業服務的控制者。 | 如 Microsoft 專業服務數據保護增補 (MPSDPA) 所指定,Microsoft 作為數據處理者,只會處理支援和諮詢數據,以便將要求的服務提供給客戶數據控制者。 Microsoft 不會將支援和諮詢數據或衍生自它的資訊用於任何廣告或類似的商業用途。 |
| 處理的個人資料類別 | 支援與諮詢數據表示所有數據,包括由客戶 (或客戶授權 Microsoft 從在線服務) 取得的所有文字、音效、視訊、圖像檔或軟體,以取得專業服務或支援。 這可能包括透過電話、聊天、電子郵件或 Web 窗體收集的資訊。 其中可能包含問題的描述、傳輸至 Microsoft 以解決支援問題的檔案、自動化疑難解答員,或使用客戶許可權從遠端存取客戶系統。 客戶數據與支持數據不包含客戶聯繫人或帳單數據,例如訂用帳戶資訊和付款數據,Microsoft 會以數據控制者身分收集並處理其容量,且不在本檔範圍內。 |
| 資料保留 | Microsoft 將會在客戶參與期間保留支援和諮詢資料,以及在參與結束之後視需要保留一段時間,以確保服務的品質和持續性。 舉例來說,在支援案例關閉之後,資料通常會保留一段時間,以確保若問題重新出現與案例重新開啟時能夠參考資料。 當專業服務提供支援時,會在支援案例關閉時定義參與時間長度。 當專業服務提供諮詢服務時,參與時間長度通常是由工作順序所定義。 在其他情況下,業務關係的維護會定義預定長度。 在所有情況下,支持和諮詢數據都會在要求時刪除或傳回,或根據客戶的指示,使用專業服務 數據主體權利指南中所述的功能,而不會造成不必要的延遲。 |
| 個人資料的位置和傳輸 | 由於專業服務的本質,包括需要提供全天候支持,數據可能會傳送到全球。 Microsoft 在 中作業的位置清單可在要求時取得。 針對諮詢服務,如果在工作順序內同意,數據可能會保留在國家/地區。 針對來自歐洲經濟區域、瑞士和英國的個人資料,Microsoft 可確保將個人資料傳輸到第三個國家或國際組織,受限於 GDPR 第 46 條中所述的適當保護措施。 除了 Microsoft 承諾 (在處理程式和其他模型協定的標準契約條款下),Microsoft 持續遵守 隱私盾架構 的條款,但是將不會再從歐盟/EEA 將個人資料傳輸到美國。 |
| 與第三方共用資料 | Microsoft 與作為本公司次處理者的第三方共用資料,以支援諸如客戶和技術支援、服務維護及其他作業等功能。 Microsoft 將支援與諮詢數據轉移至的任何轉包商,都會與 Microsoft 簽訂書面協定,其保護範圍不小於 MPSDPA 的數據保護條款。 在 MPSDPA 下共用支援與諮詢數據的所有第三方轉包處理者,都包含在 Microsoft 商業支援承包商清單中。 除非法律要求,否則 Microsoft 不會向執法機關揭露支持和諮詢數據。 如果執法機關連絡 Microsoft,要求支援和諮詢數據,Microsoft 會嘗試將執法機關重新導向,以直接向客戶要求數據。 如果強制向執法機關揭露支援和諮詢數據,Microsoft 會立即通知客戶,並提供要求的複本,除非法律禁止這樣做。 收到任何其他支援與諮詢數據的第三方要求時,Microsoft 會立即通知客戶,除非法律禁止。 除非法律要求遵守,否則 Microsoft 會拒絕要求。 如果要求有效,Microsoft 會嘗試將第三方重新導向,以直接向客戶要求數據。 |
| 資料主體權利 | 以處理者身分操作時,Microsoft 會向客戶提供 (數據控制者,) 其數據主體的個人資料,以及在客戶根據GDPR執行其權利時履行數據主體要求的能力。 我們執行此作業的方式與產品功能一致,且角色如同是處理者。 如果我們收到來自客戶數據的要求,但須遵守 GDPR 的一或多個許可權,我們會將數據主體重新導向,直接向數據控制者提出要求。 「專業服務資料主體要求 GDPR 文件」提供客戶可以如何在專業服務中宣稱其資料主體權限義務的描述。 |
| 評估與目的有關的處理操作的必要性和比例性 | 這類評量取決於控制器的需求和處理目的。 關於 Microsoft 進行的處理,這種處理對於向資料控制者提供服務的目的是必要的且符合比例原則。 Microsoft 會在 MPSDPA 中對此進行認可。 |
| 評估資料主體的權利和自由風險 | 數據主體使用專業服務之權利和自由的主要風險,是數據控制者如何以及在何種內容中實作、設定及使用專業服務和專業服務所提供之任何解決方案的功能。 但是,與任何服務一樣,服務中保存的個人資料可能存在未經授權的存取或無意揭露的風險。 本文稍後會討論 Microsoft 為解決這類風險所採取的量值。 |
| 旨在解決風險的措施,包括保障措施、安全措施和機制,以確保保護個人資料,並在考慮到資料主體和其他有關人員的權利和合法利益的情況下證明符合 GDPR。 | Microsoft 致力於協助保護客戶資訊的安全性。 根據 GDPR 第 32 條的規定,Microsoft 已經並將保持並遵循適當的技術和組織措施,旨在保護支援和諮詢資料,避免遭受意外、未經授權或非法的存取、洩漏、更改、遺失或銷毀。 此外,Microsoft 遵守適用於資料處理者的所有其他 GDPR 義務,包括但不限於提供資料保護影響評估和記錄保存。 |
深入了解
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應