데이터 보호 영향 평가: Microsoft Office 365를 사용하는 데이터 컨트롤러의 참고 자료
GDPR(일반 데이터 보호 규정)에 따라 데이터 컨트롤러는 ‘자연인의 권리와 자유에 대한 높은 위험을 초래할 수 있는’ 작업 처리를 위해 DPIA(데이터 보호 영향 평가)를 준비해야 합니다. Microsoft Office 365에는 데이터 컨트롤러를 사용하여 DPIA를 만드는 데 꼭 필요한 고유한 항목이 없습니다. 더 정확히 말하자면, DPIA가 필요한지 여부는 데이터 컨트롤러가 Office 365를 배포, 구성, 사용하는 방법의 세부 정보와 컨텍스트에 따라 달라집니다.
이 문서의 1부에서는 데이터 컨트롤러가 DPIA가 필요한 지 여부를 결정하는 데 도움이 되는 Office 365에 대한 정보를 제공합니다. 대답이 '예'인 경우, 이 문서의 2부 및 3부에서 초안 작성에 도움이 되는 Microsoft의 주요 정보를 제공합니다. 특히 2부에서는 DPIA의 각 필수 요소에 대한 모든 Office 365 서비스에 적용할 수 있는 답변을 제공합니다. 3부에서는 자체 DPIA 초안 작성에 필요한 고객의 가장 많은 관련 정보에 대한 추가 제품별 정보를 제공합니다. 3부에서는 DPIA를 더 쉽게 작성하기 위해 다운로드하고 수정할 수 있는 DPIA 설명 문서도 포함되어 있습니다.
Office 365 응용 프로그램 및 서비스에는 Exchange Online, SharePoint Online, 비즈니스용 OneDrive, Yammer 및 Microsoft Teams가 포함되어 있지만 이에 국한되지는 않습니다. Office 365를 통해 사용할 수 있는 서비스에 대한 자세한 목록은Office 365 데이터 주체 요청 가이드의 표 1과 2에서 볼 수 있습니다.
1부: DPIA가 필요한지 여부를 판단
GDPR 제 35조에 따라 데이터 컨트롤러는 “특히 신기술을 사용하고 처리의 특성, 범위, 컨텍스트 및 목적을 처리하는 유형이 자연인의 권리와 자유에 대한 높은 위험을 초래할 수 있는” 데이터 보호 영향 평가를 만들어야 합니다. 또한 다음 테이블에서 언급될 이러한 높은 위험을 나타내는 특정 요인을 다룹니다. DPIA의 필요 여부를 결정할 때 데이터 컨트롤러는 Office 365의 컨트롤러 특정 구현 및 사용에 따라 이러한 관련 요소를 고려해야 합니다.
| 위험 요인 | Office 365에 대한 관련 정보 |
|---|---|
| 프로파일링을 포함한 자동화된 처리의 기반이 되고 자연인에 관한 법적 영향을 행사하거나, 유사하게 자연인에게 중대한 영향을 주는 의사 결정의 기반이 되는 자연인과 관련된 개인 측면의 체계적이고 광범위한 평가입니다 | 데이터 컨트롤러의 구성에 따라 Office 365에서 데이터 컨트롤러가 사용자 사서함의 이메일 및 일정 헤더 정보를 기반으로 조직 내에서 사람들이 협력하는 방법에 대한 인사이트를 파생할 수 있는 Workplace Analytics에서 수행된 분석과 같은 특정 자동화된 데이터 처리를 수행할 수 있습니다. Office 365는 법적 또는 그와 비슷하게 개인에게 중요한 영향을 주는 결정을 위한 기반으로서 자동화된 처리를 수행하도록 디자인되지 않았습니다. 하지만 Office 365는 고도로 사용자 지정 가능한 서비스이기 때문에 데이터 컨트롤러가 잠재적으로 그러한 처리를 위해 사용될 수 있습니다. |
| 특정 범주의 대규모1 데이터(인종 또는 민족 태생, 정치적 견해, 종교적 또는 철학적 신념, 노동 조합 회원 및 유전자 데이터, 자연인의 고유한 식별을 목적으로 하는 생체 데이터, 건강 또는 자연인의 성생활이나 성적 취향에 관한 데이터의 처리) 처리 또는 범죄 유죄 판결 및 범죄와 관련된 개인 데이터 처리; | Office 365는 특수 범주의 개인 데이터를 처리하도록 설계되지 않았습니다. 그러나 데이터 컨트롤러는 Office 365를 사용하여 열거된 특정 범주의 데이터를 처리할 수 있습니다. Office 365는 고도로 사용자 지정 가능한 서비스이므로 고객이 특정 범주의 개인 데이터와 같은 모든 유형의 개인 데이터를 추적하거나 처리할 수 있습니다. 그러한 모든 사용은 컨트롤러의 DPIA 필요 여부 결정과 관련이 있습니다. 그러나 데이터 프로세서로 Microsoft는 그러한 사용을 제어할 수 없으며 일반적으로 그러한 사용에 대한 정보를 거의 또는 전혀 가지고 있지 않을 수 있습니다. |
| 공개적으로 액세스할 수 있는 영역을 대규모로 체계적으로 모니터링 | Office 365는 이러한 모니터링을 수행하거나 용이하게 하도록 설계되지 않았습니다. 그러나 데이터 컨트롤러는 이러한 모니터링을 통해 수집된 데이터를 처리할 수는 있습니다. |
참고
1 처리가 “대규모”되는 기준에 대해 GDPR의 비고 91에서는 다음을 명확하게 제시합니다. “처리 작업에서 개인 담당 의사, 다른 의료 전문가 또는 법률가가 환자 또는 클라이언트의 개인 데이터를 우려할 경우 개인 데이터 처리는 대규모로 간주되지 않습니다. 그러한 경우 데이터 보호 영향 평가는 필수 사항이 아닙니다.”
2부: DPIA의 내용
GDPR 제 35(7)조는 데이터 보호 영향 평가가 처리의 목적과 계획된 처리의 체계적 설명을 명시하도록 규정하고 있습니다. Microsoft의 DPIA, 그러한 체계적 설명에는 처리된 데이터 유형, 데이터 보존 기간, 데이터 위치 및 전송 위치, 제3자가 데이터에 액세스할 수 있는 방법과 같은 요인이 포함될 수 있습니다. 또한 DPIA에는 다음이 포함되어야 합니다.
- 목적과 관련한 처리 작업의 필요성 및 비례의 원칙 평가;
- 자연인의 권리와 자유에 대한 위험 평가;
- 위험을 해결하기 위한 세이프가드, 보안 조치 등의 계획된 조치, 개인 데이터의 보호를 보장하고 데이터 주체 및 기타 관련자의 권리와 합법적 이익을 고려하여 일반 데이터 보호 규정을 준수함을 입증하기 위한 메커니즘.
아래 표에는 DPIA 초안에 도움이 될 수 있는 Microsoft의 주요 정보가 나와 있습니다. 여기에는 DPIA의 필수 요소 각각과 관련된 Office 365에 대한 정보가 포함되어 있습니다. 1부에서 나와 있는 것과 같이 데이터 컨트롤러는 아래 제공된 세부 정보를 Office 365의 특정 실행 및 사용 자체에 대한 세부 정보와 함께 고려해야 합니다.
| 위험 요인 | Office 365에 대한 관련 정보 |
|---|---|
| 처리 목적 | Office 365를 사용하여 데이터를 처리하는 목적은 컨트롤러를 구현, 구성 및 사용하는 방식에 따라 결정됩니다. 온라인 서비스 약관 및 데이터 보호 부록에 명시된 바와 같이, Microsoft는 데이터 프로세서로서 고객의 문서화된 지침에 따라 온라인 서비스를 제공하고자 고객 데이터를 처리합니다. 표준 온라인 서비스 약관 및 데이터 보호 부록에 자세히 설명된 바와 같이, Microsoft는 다음과 같은 합법적인 비즈니스 운영 지원을 위하여 개인 데이터를 사용합니다. (1) 청구 및 계정 관리. (2) 보상 (예: 사원 수수료과 파트너의 성과급 계산). (3) 내부 보고 및 모델링 (예: 예측, 수익, 용량 계획, 제품 전략); (4) Microsoft 또는 Microsoft 제품에 영향을 줄 수 있는 사기, 사이버 범죄 또는 사이버-공격 방어. (5) 접근성, 개인 정보 보호 또는 에너지 효율성의 핵심 기능 개선. (6) 법률적인 의무를 통한 재무 보고 및 준수 (온라인 서비스 약관에 요약 된 고객 데이터 노출에 대 한 제한 사항 준수). Microsoft는 다음과 같은 합법적인 비즈니스 운영 지원을 위해 개인 정보 처리 관리를 합니다. 일반적으로 Microsoft는 개인 정보를 합법 적인 비즈니스 운영에 사용하기 전 개인 정보를 수집하여 Microsoft가 특정 개인을 식별하지 못할 뿐만 아니라 합법적 비즈니스 운영 지원을 위해 개인 정보 사용시 개인 식별 가능성을 최소화 합니다. Microsoft는 프로파일링, 광고 또는 유사한 상업적 목적으로 고객 데이터 또는 파생된 정보를 사용하지 않습니다. |
| 처리된 개인 데이터의 범주 | 고객 데이터: 이는 고객이 Microsoft에 제공했거나 Microsoft 온라인 서비스를 사용하여 고객 대신 제공된 모든 데이터(텍스트, 소리, 동영상 또는 이미지 파일 포함)입니다. 사용자 지정뿐 아니라 저장 또는 처리를 위해 고객이 업로드하는 데이터가 포함됩니다. Office 365에서 처리 되는 고객 데이터의 예로는 Exchange Online의 전자 메일 콘텐츠, SharePoint Online 또는 비즈니스용 OneDrive에 저장된 문서 또는 파일이 포함됩니다. 서비스 생성 데이터: 사용 또는 성능 데이터와 같은 서비스 운영을 통해 Microsoft에 의해 생성되거나 파생되는 데이터입니다. 대부분의 데이터는 Microsoft에서 생성한 가명처리 ID를 포함합니다. 진단 데이터: 이 데이터는 온라인 서비스와 관련하여 고객이 로컬에 설치한 소프트웨어에서 Microsoft가 수집 또는 획득하며 원격 분석이라고도합니다. 이 데이터는 일반적으로 로컬로 설치된 소프트웨어 또는 해당 소프트웨어를 실행하는 컴퓨터의 특성으로 식별됩니다. 지원 데이터: 온라인 서비스에 대한 기술 지원을 얻기 위해 Microsoft와의 계약을 통해 고객이 Microsoft 또는 고객을 대신하여 Microsoft에서 제공한 데이터(또는 고객이 Microsoft가 온라인 서비스에서 얻도록 허가한 데이터)입니다. 고객 데이터, 시스템 생성 로그 데이터 및 지원 데이터에는 Microsoft가 자체 용량에 데이터 컨트롤러로 수집하고 처리하며 이 문서 범위 외에 있는 고객 관리자 연락처 정보, 구독 정보, 결제 데이터와 같은 관리자 데이터 및 청구 데이터를 포함하지 않습니다. |
| 데이터 보존 | 고객 데이터: 온라인 서비스 약관의 데이터 보호 약관에 설정된 대로 Microsoft는 고객이 서비스를 사용하는 기간 동안 모든 고객 데이터가 고객의 지시 또는 온라인 서비스 약관에 따라 삭제되거나 반환될 때까지 고객 데이터를 보유합니다. 고객의 구독 기간 내내 고객은 일부 경우 서비스에 저장된 고객 데이터에 액세스하고 이를 추출하고 삭제할 수 있습니다. 의도치 않게 삭제될 위험을 완화하기 위한 특정 제품 기능의 경우(예: Exchange가 항목 폴더를 복구했음) 자세한 설명은 제품 설명서에 나와 있습니다. 무료 평가판 및 LinkedIn 서비스를 제외하고 Microsoft는 고객이 데이터를 추출할 수 있도록 고객의 구독이 만료 또는 종료된 이후 90일 동안 기능이 제한된 계정에서 온라인 서비스에 저장된 고객 데이터를 보유하게 됩니다. 90일의 보유 기간이 종료되면 Microsoft는 고객의 계정을 비활성화하고 고객 데이터를 삭제합니다. 서비스 생성 데이터: 이 데이터는 서비스 보안 요구되어 보유 기간을 연장해야 할 경우 또는 법적 또는 규정 의무를 준수하기 위해 수집된 이후 최대 180일의 기본 기간 동안 보존됩니다. 고객이 언제든지 서비스에 보관된 개인 데이터를 삭제할 수 있게 하는 서비스 기능에 대한 자세한 내용은 Office 365 데이터 주체 요청 가이드를 참조하십시오. |
| 개인 데이터의 위치 및 전송 | 온라인 서비스 약관의 첨부 1에 설명된 대로 고객이 Office 365의 인스턴스를 오스트레일리아, 캐나다, 유럽 연합, 프랑스, 인도, 일본, 대한민국, 영국 또는 미국에서 공급할 경우 Microsoft는 해당 지역 내에서만 안정적으로 다음 고객 데이터를 저장합니다. (1) Exchange Online 사서함 콘텐츠(이메일 본문, 일정 항목, 이메일 첨부 파일 콘텐츠), (2) SharePoint Online 사이트 콘텐츠 및 사이트 내에 저장된 파일, (3) 비즈니스용 OneDrive에 업로드된 파일, (4) Project Online에 업로드된 프로젝트 콘텐츠. 유럽 경제 지역과 스위스 및 영국의 개인 데이터의 경우 Microsoft는 개인 정보의 제3자 혹은 국제 기관 이전 시 적절한 보호 조치를 받도록 GDPR 46조에 의거하여 이를 준수합니다. Microsoft는 프로세서 및 기타 모델 계약에 대한 표준 계약 조항에 따른 Microsoft의 약속과 더불어 Privacy Shield 프레임워크 조건을 계속 준수하지만 이를 더 이상 EU/EEA에서 미국으로 개인 데이터를 전송하는 기준으로 사용하지 않습니다. |
| 타사 하위 프로세서와 데이터 공유 | Microsoft는 고객 및 기술 지원, 서비스 유지 관리, 기타 작업과 같은 기능을 지원하기 위해 하위 프로세서 역할을 하는 타사와 데이터를 공유합니다. Microsoft가 고객 데이터, 지원 데이터 또는 개인 데이터를 전송하는 하도급업자는 온라인 서비스 약관의 데이터 보호 약관보다 덜 안전하지만 Microsoft와 서면 계약을 체결하게 됩니다. Microsoft Core Online Servic의 고객 데이터가 공유되는 모든 타사 하위 프로세서는 온라인 서비스 하도급업자 목록에 포함됩니다. 지원 데이터(고객이 지원 상호 작용 동안 공유하도록 선택한 고객 데이터 포함)에 액세스할 수 있는 모든 타사 하위 프로세서는 Microsoft 상업적 지원 하도급자 목록에 포함됩니다. |
| 독립 타사와 데이터 공유 | 일부 Office 365 제품에는 컨트롤러의 선택에 따라 독립 타사와 데이터를 공유할 수 있도록 하는 확장성 옵션이 포함됩니다. 예를 들어 Exchange Online는 타사 추가 기능 또는 커넥터가 Outlook과 통합되고 Outlook의 기능 세트를 확장할 수 있는 확장 가능 플랫폼입니다. 이러한 추가 기능 또는 커넥터의 타사 공급자는 Microsoft와는 별개로 독립적으로 운영하며, 해당 추가 기능 또는 커넥터는 이 추가 기능 또는 커넥터 계정으로 인증된 사용자 또는 엔터프라이즈 관리자가 활성화해야 합니다. Microsoft는 법이 요구하지 않는 한 고객 데이터 또는 지원 데이터를 사법 기관에 공개하지 않습니다. 사법 기관이 Microsoft에 고객 데이터 또는 지원 데이터에 대한 요구를 문의하면 Microsoft는 사법 기관이 해당 데이터를 고객에게 직접 요청하도록 리디렉션을 시도합니다. 사법 기관에게 고객 데이터 또는 지원 데이터를 공개해야 하는 경우 Microsoft는 고객에게 신속히 알리고 법적으로 금지되지 않는 선에서 요청 복사본을 제공합니다. 고객 데이터 또는 지원 데이터에 대한 타사의 요청을 받으면 Microsoft는 법에 법적으로 금지되지 않는 선에서 고객에게 신속히 알립니다. Microsoft는 법이 요구하지 않는 한 요청을 거절합니다. 요청이 유효한 경우 Microsoft는 타사가 해당 데이터를 고객에게 직접 요청하도록 리디렉션을 시도합니다. |
| 데이터 주체 권리 | 프로세서로 작동할 때 Microsoft는 고객(데이터 컨트롤러)이 데이터 주체의 개인 데이터를 사용할 수 있도록 하고 고객이 GDPR에 따라 권리를 행사할 때 데이터 주체 요청을 수행할 수 있는 기능을 제공합니다. 제품의 기능과 프로세서로의 역할에 있어 일관된 방식으로 진행합니다. 고객의 데이터 주체로부터 GDPR에 따라 권리 중 하나를 행사하도록 요청을 받으면 Microsoft는 데이터 주체가 데이터 컨트롤러에게 직접 요청하도록 리디렉션을 시도합니다. Office 365 데이터 주체 요청 가이드는 Office 365의 기능을 사용하여 데이터 주체 권한을 지원하는 방법에 대한 데이터 컨트롤러의 설명을 제공합니다. 개인 데이터의 GDPR 권한에 따라 합법적인 비즈니스 처리를 위한 데이터 주체의 데이터 처리 요청은 Microsoft 개인정보처리방침에 따라 Microsoft에 전달 되어야 합니다. Microsoft는 일반적으로 합법적인 비즈니스 운영 이전에 개인정보를 수집하며 수집된 정보는 특정 개인을 식별하지 못하도록 되어있습니다. 따라서 개인에 대한 개인 정보 위험을 크게 줄일 수 있습니다. Microsoft는 개인을 식별할 수 없기 때문에 데이터 주체의 엑세스, 지우기, 이식가능성 및 프로세스 제한성 및 거절권한을 지원할 수 없습니다. |
| 목적과 관련한 처리 작업의 필요성 및 비례의 원칙 평가 | 이러한 평가는 컨트롤러의 요구와 처리 목적에 따라 달라집니다. Microsoft에서 수행하는 처리와 관련하여 이러한 처리는 데이터 컨트롤러에 서비스를 제공하기 위한 목적에 필수적이며 비례합니다. |
| 데이터 주체의 권리와 자유에 대한 위험 평가 | Office 365 사용으로 인한 데이터 주체의 권리와 자유에 대한 주요 위험은 데이터 컨트롤러가 이를 구현, 구성, 사용하는 방법과 상황의 기능입니다. Microsoft는 서비스 조항 지원, 서비스 사용 주체의 데이터 처리 위험 등 합법적인 비즈니스 운영 지원을 위해 사용되는 개인 정보 보호의 익명화 및 수집을 위한 적절한 조치를 취하고 있습니다. 그러나 다른 서비스와 마찬가지로 서비스에서 보관하는 개인 정보는 승인되지 않은 액세스나 부주의한 공개의 위험이 있습니다. 이러한 위험을 해결하기 위해 Microsoft에서 취하는 조치는 다음 섹션에서 설명됩니다. |
| 위험을 해결하기 위한 세이프가드, 보안 조치 등의 계획된 조치, 개인 데이터의 보호를 보장하고 데이터 주체 및 기타 관련자의 권리와 합법적 이익을 고려하여 GDPR을 준수함을 입증하기 위한 메커니즘 | Microsoft는 고객의 정보 보안을 보호하기 위해 노력합니다. GDPR 제 32조의 조항을 준수하여 우발적인, 권한이 없거나 불법적인 액세스, 공개, 변조, 손실, 소멸로부터 고객 데이터 및 지원 데이터를 보호할 수 있는 적절한 기술 및 조직적 조치를 구현해 왔으며 지속해서 유지 관리하고 따를 것입니다. 또한 Microsoft는 데이터 보호 영향 평가 및 기록 유지를 포함하지만 국한되지 않는 데이터 프로세스에 적용되는 모든 기타 GDPR 의무를 준수합니다. Microsoft는 합법적인 비즈니스 운영을 위해 개인 데이터를 처리할 때 데이터 관리자에 적용되는 GDPR의 의무를 준수합니다. |
3부: DPIA는 어려운 만큼 도움이 됨
조직에서 DPIA 초안을 작성해야 한다고 판단된 경우, 이 섹션의 정보는 프로세스를 더 쉽게 수행할 수 있도록 설계되었습니다.
이 섹션의 내용:
- Office 365 및 제품별 정보 관련 서비스 요소를 제공하며,
- 다운로드, 수정 및 자체 DPIA 초안 작성에 사용할 수 있는 빈 모델 DPIA 템플릿을 제공합니다.
DPIA 서비스 요소 매트릭스
DPIA 서비스 요소 매트릭스는 DPIA를 문서화하는 프로세스를 시작할 때 유용한 콘텐츠의 구성입니다. 이는 서비스별로 구성되며, 필요한 DPIA 요소에 반응형 답변 초안을 더 쉽게 작성하는 데 도움이 되는 제품별 정보 및 링크를 제공합니다.
사용자 지정 가능한 DPIA 문서
DPIA 초안 작성에는 많은 시간이 걸린다는 것을 알고 있습니다. 각 고객의 DPIA는 각 조직에서 Office 365를 구성하고 사용하는 방식에 따라 다르나, 다음 문서를 통해 시간을 절약할 수 있습니다. 사용자 지정 가능한 DPIA 문서를 수정 가능한 예시 템플릿으로 다운로드하여 신속하게 시작할 수 있습니다. 서비스를 특정 구현에 사용하고 적용하는 것은 무료입니다. 이 문서는 Microsoft 또는 그 계열사에서 제공하는 법적 자문으로 해석되어서는 안됩니다. DPIA 초안 프로세스에 대한 질문이 있는 경우, 변호사와 상담하시기 바랍니다.