데이터 보호 영향 평가: Microsoft Office 365를 사용하는 데이터 컨트롤러의 참고 자료
GDPR(일반 데이터 보호 규정)에 따라 데이터 컨트롤러는 '자연인의 권리와 자유에 대한 높은 위험을 초래할 수 있는' 처리 작업을 위해 DPIA(데이터 보호 영향 평가)를 준비해야 합니다. Microsoft Office 365에는 데이터 컨트롤러에서 DPIA를 반드시 생성해야 하는 것은 없습니다. 대신 DPIA가 필요한지 여부는 데이터 컨트롤러로서 Office 365를 배포, 구성 및 사용하는 방법의 세부 정보와 컨텍스트에 따라 달라집니다.
이 문서의 1부에서는 데이터 컨트롤러가 DPIA가 필요한 지 여부를 결정하는 데 도움이 되는 Office 365에 대한 정보를 제공합니다. 대답이 '예'인 경우, 이 문서의 2부 및 3부에서 초안 작성에 도움이 되는 Microsoft의 주요 정보를 제공합니다. 특히 2부에서는 DPIA의 각 필수 요소에 대한 모든 Office 365 서비스에 적용할 수 있는 답변을 제공합니다. 3부에서는 자체 DPIA 초안 작성에 필요한 고객의 가장 많은 관련 정보에 대한 추가 제품별 정보를 제공합니다. 3부에서는 DPIA를 더 쉽게 작성하기 위해 다운로드하고 수정할 수 있는 DPIA 설명 문서도 포함되어 있습니다.
Office 365 애플리케이션 및 서비스는 Exchange Online, SharePoint, 회사 및 학교용 OneDrive, Viva Engage 및 Microsoft Teams를 포함하지만 이에 국한되지 않습니다. Office 365를 통해 사용할 수 있는 서비스에 대한 자세한 목록은Office 365 데이터 주체 요청 가이드의 표 1과 2에서 볼 수 있습니다.
1부: DPIA가 필요한지 여부를 판단
GDPR 제35조에는 ‘특히 새로운 기술을 이용하는 처리 유형 및 처리의 특성, 범위, 컨텍스트 및 목적을 고려 시 자연인의 권리와 자유에 대한 고위험으로 이어지기 쉬운 경우’ 데이터 컨트롤러가 데이터 보호 영향 평가를 작성할 것을 요구합니다. 또한 다음과 같은 높은 위험을 나타내는 특정 요인을 자세히 설명합니다. 데이터 보호 영향 평가가 필요한지 여부를 판단할 때 데이터 컨트롤러는 컨트롤러의 Office 365의 특정 구현 및 사용에 비추어 이러한 요인과 기타 관련 요인을 고려해야 합니다.
| 위험 요인 | Office 365에 대한 관련 정보 |
|---|---|
| 프로파일링을 포함한 자동화된 처리의 기반이 되고 자연인에 관한 법적 영향을 행사하거나, 유사하게 자연인에게 중대한 영향을 주는 의사 결정의 기반이 되는 자연인과 관련된 개인 측면의 체계적이고 광범위한 평가입니다 | 데이터 컨트롤러의 구성에 따라 Office 365는 Viva Personal Insights에서 수행한 분석과 같은 특정 자동화된 데이터 처리를 수행할 수 있으며, 이를 통해 데이터 컨트롤러는 사용자의 사서함에서 전자 메일 및 일정 헤더 정보를 기반으로 조직 내에서 사람들이 공동 작업하는 방법에 대한 인사이트를 얻을 수 있습니다. Office 365는 자동 처리를 수행하여 개인에게 합법적으로 또는 유사한 영향을 주는 결정을 내리기 위한 기반으로 설계되지 않았습니다. 그러나 Office 365는 고도로 사용자 지정이 가능한 서비스이기 때문에 데이터 컨트롤러는 이러한 처리를 위해 잠재적으로 이를 사용할 수 있습니다. |
| 특정 범주의 대규모1 데이터(인종 또는 민족 태생, 정치적 견해, 종교적 또는 철학적 신념, 노동 조합 회원 및 유전자 데이터, 자연인의 고유한 식별을 목적으로 하는 생체 데이터, 건강 또는 자연인의 성생활이나 성적 취향에 관한 데이터의 처리) 처리 또는 범죄 유죄 판결 및 범죄와 관련된 개인 데이터 처리; | Office 365는 특수 범주의 개인 데이터를 대규모로 처리하도록 설계되지 않았습니다. 그러나 데이터 컨트롤러는 Office 365를 사용하여 열거된 특수 범주의 데이터를 처리할 수 있습니다. Office 365는 고객이 특수한 범주의 개인 데이터를 비롯하여 모든 유형의 개인 데이터를 추적하거나 처리할 수 있도록하는 고도로 사용자 지정 가능한 서비스입니다. 이러한 사용은 DPIA가 필요한지 여부를 결정하는 컨트롤러와 관련이 있습니다. 그러나 데이터 프로세서로서 Microsoft는 그러한 사용에 대한 통제권이 없으며 일반적으로 그러한 사용에 대한 통찰력이 거의 없거나 아예 없습니다. |
| 공개적으로 액세스할 수 있는 영역을 대규모로 체계적으로 모니터링 | Office 365는 이러한 모니터링을 수행하거나 용이하게 하도록 설계되지 않았습니다. 그러나 데이터 컨트롤러는 이러한 모니터링을 통해 수집된 데이터를 처리할 수는 있습니다. |
참고
1 처리가 “대규모”되는 기준에 대해 GDPR의 비고 91에서는 다음을 명확하게 제시합니다. “처리 작업에서 개인 담당 의사, 다른 의료 전문가 또는 법률가가 환자 또는 클라이언트의 개인 데이터를 우려할 경우 개인 데이터 처리는 대규모로 간주되지 않습니다. 그러한 경우 데이터 보호 영향 평가는 필수 사항이 아닙니다.”
2부: DPIA의 내용
GDPR 문서 35(7)는 데이터 보호 영향 평가가 처리의 목적과 계획된 처리에 대한 체계적인 설명을 명시하도록 규정하고 있습니다. Microsoft의 DPIA에는 이러한 체계적인 설명에는 처리되는 데이터의 유형, 데이터 보관 기간, 데이터 위치 및 전송 위치, 제3자가 데이터에 액세스할 수 있는 요소 등이 포함됩니다. 또한 DPIA에는 다음이 포함되어야 합니다.
- 목적과 관련한 처리 작업의 필요성 및 비례의 원칙 평가;
- 자연인의 권리와 자유에 대한 위험 평가;
- 위험을 해결하기 위한 세이프가드, 보안 조치 등의 계획된 조치, 개인 데이터의 보호를 보장하고 데이터 주체 및 기타 관련자의 권리와 합법적 이익을 고려하여 일반 데이터 보호 규정을 준수함을 입증하기 위한 메커니즘.
다음 표에서는 DPIA 초안에 도움을 줄 수 있는 Microsoft의 주요 정보를 제공합니다. 여기에는 DPIA의 각 필수 요소와 관련된 Office 365에 대한 정보를 포함합니다. 1부에 나와있는 것과 같이, 데이터 컨트롤러는 Office 365의 자체 특정 구현 및 사용에 대한 세부 정보와 함께 아래 제공된 세부 내용을 고려해야합니다.
| 위험 요인 | Office 365에 대한 관련 정보 |
|---|---|
| 처리 목적 | Office 365를 사용하여 데이터를 처리하는 목적은 컨트롤러를 구현, 구성 및 사용하는 방식에 따라 결정됩니다. 제품 약관 및 Microsoft 제품 및 서비스 DPA(데이터 보호 부록)에 지정된 대로 Microsoft는 데이터 프로세서로서 고객 데이터를 처리하여 고객의 문서화된 지침에 따라 고객에게 온라인 서비스를 제공합니다. 표준 제품 약관 및 Microsoft 제품 및 서비스 DPA(데이터 보호 부록)에 자세히 설명된 대로 Microsoft는 개인 데이터를 사용하여 (1) 청구 및 계정 관리로 구성된 제한된 합법적인 비즈니스 운영 집합을 지원합니다. (2) 보상(예: 직원 커미션 및 파트너 인센티브 계산) (3) 내부 보고 및 모델링(예: 예측, 수익, 용량 계획, 제품 전략) (4) 재무 보고 및 법적 의무 준수(제품 약관 및 데이터 보호 부록에 설명된 고객 데이터 공개 제한에 따라 다름). Microsoft는 이러한 특정 합법적인 비즈니스 작업을 지원하기 위해 개인 데이터 처리 컨트롤러의 의무를 수락합니다. Microsoft는 합법적인 비즈니스 작업에 사용하기 전에 개인 데이터를 집계하고, 특정 개인을 식별하는 Microsoft의 기능을 제거하며, 합법적인 비즈니스 작업에 필요한 처리를 지원하는 최소 식별 형식으로 개인 데이터를 사용합니다. Microsoft는 프로파일링, 광고 또는 유사한 상업적 목적으로 고객 데이터 또는 파생된 정보를 사용하지 않습니다. |
| 처리된 개인 데이터의 범주 |
고객 데이터: 이는 고객이 Microsoft에 제공했거나 Microsoft 온라인 서비스를 사용하여 고객 대신 제공된 모든 데이터(텍스트, 소리, 동영상 또는 이미지 파일 포함)입니다. 사용자 지정뿐 아니라 저장 또는 처리를 위해 고객이 업로드하는 데이터가 포함됩니다. Office 365에서 처리된 고객 데이터의 예로는 Exchange Online의 전자 메일 콘텐츠, 회사 및 학교용 SharePoint 또는 OneDrive에 저장된 문서 또는 파일이 있습니다. 서비스 생성 데이터: 사용 또는 성능 데이터와 같은 서비스 운영을 통해 Microsoft에 의해 생성되거나 파생되는 데이터입니다. 대부분의 데이터는 Microsoft에서 생성한 가명처리 ID를 포함합니다. 진단 데이터: 이 데이터는 온라인 서비스와 관련하여 고객이 로컬에 설치한 소프트웨어에서 Microsoft가 수집 또는 획득하며 원격 분석이라고도합니다. 이 데이터는 일반적으로 로컬로 설치된 소프트웨어 또는 해당 소프트웨어를 실행하는 컴퓨터의 특성으로 식별됩니다. 지원 데이터: 온라인 서비스에 대한 기술 지원을 얻기 위해 Microsoft와의 계약을 통해 고객이 Microsoft 또는 고객을 대신하여 Microsoft에서 제공한 데이터(또는 고객이 Microsoft가 온라인 서비스에서 얻도록 허가한 데이터)입니다. 고객 데이터, 시스템 생성 로그 데이터 및 지원 데이터에는 Microsoft가 자체 용량에 데이터 컨트롤러로 수집하고 처리하며 이 문서 범위 외에 있는 고객 관리자 연락처 정보, 구독 정보, 결제 데이터와 같은 관리자 데이터 및 청구 데이터를 포함하지 않습니다. |
| 데이터 보존 |
고객 데이터: 제품 사용 약관 및 데이터 보호 부록의 데이터 보호 약관에 명시된 대로 Microsoft는 서비스를 사용할 수 있는 고객의 권리 기간과 고객의 지침 또는 제품 약관 및 데이터 보호 부록의 조건에 따라 모든 고객 데이터가 삭제되거나 반환될 때까지 고객 데이터를 유지합니다. 고객 구독 기간 동안 항상 고객은 제품 설명서에 설명된 대로 실수로 삭제(예: Exchange 복구된 항목 폴더)의 위험을 완화하기 위한 특정 제품 기능에 따라 서비스에 저장된 고객 데이터에 액세스, 추출 및 삭제할 수 있습니다. 무료 평가판 및 LinkedIn 서비스를 제외하고 Microsoft는 고객이 데이터를 추출할 수 있도록 고객의 구독이 만료 또는 종료된 이후 90일 동안 기능이 제한된 계정에서 온라인 서비스에 저장된 고객 데이터를 보유하게 됩니다. 90일의 보유기간이 지나면 Microsoft는 소비자 계정을 비활성화하고 소비자 정보를 삭제합니다. 서비스 생성 데이터:이 데이터는 서비스 보안 요구되어 보유 기간을 연장해야 할 경우 또는 법적 또는 규정 의무를 준수하기 위해 수집된 이후 최대 180일의 기본 기간 동안 보존됩니다. 고객이 언제든지 서비스에 보관된 개인 데이터를 삭제할 수 있게 하는 서비스 기능에 대한 자세한 내용은 Office 365 데이터 주체 요청 가이드를 참조하십시오. |
| 개인 데이터의 위치 및 전송 | 제품 약관의 첨부 파일 1에 설명된 대로 고객이 오스트레일리아, 캐나다, 유럽 연합, 프랑스, 인도, 일본, 한국, 영국 또는 미국에서 Office 365의 인스턴스를 프로비전하는 경우 Microsoft는 해당 위치 내에서만 다음 고객 데이터를 저장합니다. (1) Exchange Online 사서함 콘텐츠(전자 메일 본문, 일정 항목, 및 전자 메일 첨부 파일의 콘텐츠), (2) SharePoint 사이트 콘텐츠 및 해당 사이트에 저장된 파일, (3) 회사 및 학교용 OneDrive에 업로드된 파일 및 (4) Project Online에 업로드된 프로젝트 콘텐츠. 유럽 경제 지역, 스위스 및 영국에서 전송되는 개인 데이터의 경우 Microsoft는 GDPR 제46조에 설명된 대로 제3국 또는 국제기구로의 개인 데이터 전송에 적절한 보호 조치를 받도록 보장합니다. Microsoft는 프로세서 및 기타 모델 계약에 대한 표준 계약 조항에 따른 Microsoft의 약정 외에도 데이터 개인 정보 프레임워크의 조건을 준수합니다. |
| 타사 하위 프로세서와 데이터 공유 | Microsoft는 고객 및 기술 지원, 서비스 유지 보수 및 기타 운영과 같은 기능을 지원하기 위해 하위 프로세스 역할을 하는 타사와 데이터를 공유합니다. Microsoft가 고객 데이터, 지원 데이터 또는 개인 데이터를 전송하는 모든 하청업체는 제품 약관의 데이터 보호 약관보다 더 적은 보호를 받지 않는 Microsoft와 서면 계약을 체결 하게 됩니다. Microsoft의 핵심 온라인 서비스의 고객 데이터가 공유되는 모든 타사 하위 프로세서는 온라인 서비스 하위 프로세서 공개에 포함됩니다. 지원 데이터 (지원 활동에서 소비자가 선택한 소비자 데이터 포함)에 권한이 있는 모든 타사 하도급 업체는 Microsoft 상업용 지원 계약자 목록에 포함되어 있습니다. |
| 독립 타사와 데이터 공유 | 일부 Office 365 제품에는 컨트롤러 선택 시 독립적인 타사와 데이터를 공유할 수 있는 확장성 옵션이 포함되어 있습니다. 예를 들어 Exchange Online은 타사 추가 기능 또는 커넥터를 Outlook과 통합하고 Outlook 기능 집합을 확장할 수 있는 확장 가능한 플랫폼입니다. 이러한 추가 기능이나 커넥터 공급자는 Microsoft와 독립적으로 작동하며 추가 기능이나 커넥터 계정으로 인증하는 사용자 또는 엔터프라이즈 관리자가 추가 기능이나 커넥터를 사용하도록 설정해야 합니다. Microsoft는 법률에 의해 요구되지 않는 한 법 집행 기관에 고객 데이터 또는 지원 데이터를 공개하지 않습니다. 법 집행 기관이 고객 데이터 또는 지원 데이터에 대한 요구로 Microsoft에 연락하는 경우 Microsoft는 고객으로부터 직접 해당 데이터를 요청하도록 법 집행 기관을 리디렉션하려고 시도합니다. 고객 데이터 또는 지원 데이터를 법 집행 기관에 공개해야 하는 경우 Microsoft는 법적으로 금지되지 않는 한 고객에게 즉시 알리고 요청 사본을 제공합니다. 고객 데이터 또는 지원 데이터에 대한 다른 타사 요청을 받으면 Microsoft는 법률에 의해 금지되지 않는 한 고객에게 즉시 알립니다. Microsoft는 법률에서 준수하도록 요구하지 않는 한 요청을 거부합니다. 요청이 유효한 경우 Microsoft는 고객에게 직접 데이터를 요청하도록 타사 리디렉션을 시도합니다. |
| 데이터 주체 권리 | 프로세서로 운영 중일 때 Microsoft는 데이터 주체에 소비자(데이터 관리자) 개인 정보를 제공하고 GDPR의 권한 행사시 데이터 주체 요청을 처리할 수 있습니다. 상품의 기능과 프로세서로서의 역할에 맞는 방식으로 수행됩니다. 만약 소비자의 데이터 주체로부터 GDPR에 따라 행사하고 권한을 수행할 요청을 받으면 데이터 주체가 데이터 관리자에 직접 요청할 수 있도록 리디렉트 합니다.
Office 365 데이터 주체 요청 가이드는 Office 365의 기능을 사용하여 데이터 주체 권한을 지원하는 방법에 대한 데이터 컨트롤러의 설명을 제공합니다. 합법적인 비즈니스 프로세스를 지원하기 위해 처리된 개인 데이터에 대한 GDPR에 따라 권한을 행사할 수 있는 데이터의 요청은 Microsoft 개인정보처리방침에 명확히 설명된 대로 Microsoft로 전달되어야 합니다. Microsoft는 일반적으로 합법적인 비즈니스 작업에 사용하기 전에 개인을 집계하며 집계에서 특정 개인에 대한 개인 데이터를 식별할 수 있는 위치에 있지 않습니다. 따라서 개인에 대한 개인 정보 위험을 크게 줄일 수 있습니다. Microsoft는 개인을 식별할 수 없기 때문에 데이터 주체의 엑세스, 지우기, 이식가능성 및 프로세스 제한성 및 거절권한을 지원할 수 없습니다. |
| 목적과 관련한 처리 작업의 필요성 및 비례의 원칙 평가 | 이러한 평가는 컨트롤러의 요구 사항 및 처리 목적에 따라 달라집니다. Microsoft에서 수행하는 처리와 관련하여 이러한 처리는 데이터 컨트롤러에 서비스를 제공하기 위한 목적에 필수적이며 비례합니다. |
| 데이터 주체의 권리와 자유에 대한 위험 평가 | Office 365 사용으로 인한 데이터 주체의 권리와 자유에 대한 주요 위험은 데이터 컨트롤러가 이를 구현, 구성, 사용하는 방법과 상황의 기능입니다. Microsoft는 서비스 조항 지원, 서비스 사용 주체의 데이터 처리 위험 등 합법적인 비즈니스 운영 지원을 위해 사용되는 개인 정보 보호의 익명화 및 수집을 위한 적절한 조치를 취하고 있습니다. 그러나 다른 서비스와 마찬가지로 서비스에서 보관하는 개인 정보는 승인되지 않은 무단 액세스나 부주의한 공개의 위험이 있습니다. 이러한 위험을 해결하기 위해 Microsoft에서 취하는 조치는 다음 섹션에서 논의됩니다. |
| 위험을 해결하기 위한 세이프가드, 보안 조치 등의 계획된 조치, 개인 데이터의 보호를 보장하고 데이터 주체 및 기타 관련자의 권리와 합법적 이익을 고려하여 GDPR을 준수함을 입증하기 위한 메커니즘 | Microsoft는 소비자 정보 보안을 보호하기 위해 노력합니다. GDPR 제 32조의 조항을 준수하여 우발적인, 권한이 없거나 불법적인 액세스, 공개, 변조, 손실, 소멸로부터 고객 데이터 및 지원 데이터를 보호할 수 있는 적절한 기술 및 조직적 조치를 구현해 왔으며 지속해서 유지 관리하고 따를 것입니다. 또한 Microsoft는 데이터 보호 영향 평가 및 기록 유지를 포함하지만 국한되지 않는 데이터 프로세스에 적용되는 모든 기타 GDPR 의무를 준수합니다. Microsoft는 합법적인 비즈니스 운영을 위해 개인 데이터를 처리할 때 데이터 관리자에 적용되는 GDPR의 의무를 준수합니다. |
3부: DPIA는 어려운 만큼 도움이 됨
조직에서 DPIA 초안을 작성해야 한다고 판단된 경우, 이 섹션의 정보는 프로세스를 더 쉽게 수행할 수 있도록 설계되었습니다.
이 섹션의 내용:
- Office 365 및 제품별 정보 관련 서비스 요소를 제공하며,
- 다운로드, 수정 및 자체 DPIA 초안 작성에 사용할 수 있는 빈 모델 DPIA 템플릿을 제공합니다.
DPIA 서비스 요소 매트릭스
DPIA 서비스 요소 매트릭스는 DPIA를 문서화하는 프로세스를 시작할 때 유용한 콘텐츠의 구성입니다. 이는 서비스별로 구성되며, 필요한 DPIA 요소에 반응형 답변 초안을 더 쉽게 작성하는 데 도움이 되는 제품별 정보 및 링크를 제공합니다.
사용자 지정 가능한 DPIA 문서
DPIA 초안 작성에는 많은 시간이 걸린다는 것을 알고 있습니다. 각 고객의 DPIA는 각 조직에서 Office 365를 구성하고 사용하는 방식에 따라 다르나, 다음 문서를 통해 시간을 절약할 수 있습니다. 사용자 지정 가능한 DPIA 문서를 수정 가능한 예시 템플릿으로 다운로드하여 신속하게 시작할 수 있습니다. 서비스를 특정 구현에 사용하고 적용하는 것은 무료입니다. 이 문서는 Microsoft 또는 그 계열사에서 제공하는 법적 자문으로 해석되어서는 안됩니다. DPIA 초안 프로세스에 대한 질문이 있는 경우, 변호사와 상담하시기 바랍니다.