데이터 보호 영향 평가(DPIA)

GDPR은 개인의 권리와 자유에 심각한 위험을 초래할 수 있는 데이터 처리, 구체적으로 새로운 기술을 사용하는 처리를 수행하기 전에 데이터 컨트롤러가 DPIA를 실시해야 한다고 규정하고 있습니다. GDPR은 DPIA를 실시해야 하는 예로 다음과 같은 경우를 들고 있으며, 여기에 나와 있지 않은 경우가 있을 수 있습니다.

• 프로파일링을 위한 자동화된 처리 및, 법적 영향이 있거나 이와 비슷하게 데이터 주체에 중대한 영향을 미치는 유사 활동
• 개인 데이터의 특수 범주(인종 또는 – 인종 또는 민족, 정치적 견해 등을 드러내는 개인 정보) 또는 형사상 판결 및 위법 행위와 관련 있는 개인 정보의 대규모 처리
• 공개적으로 액세스 가능한 영역의 대규모 시스템적 모니터링

GDPR은 또한 데이터 주체에게 초래될 심각한 위험을 최소화할 충분한 대응책을 찾지 못한 경우 처리를 시작하기 전에 먼저 데이터 보호 당국(DPA)과 상의해야 한다고 규정하고 있습니다.

Microsoft는 자사의 엔지니어링 및 비즈니스 기능에서 기본적으로, 그리고 설계상으로 개인 정보 보호를 실천하고 있습니다. 이러한 노력의 일환으로, Microsoft는 데이터 주체의 권리와 자유에 영향을 줄 가능성이 있는 데이터 처리 작업을 대상으로 포괄적인 개인 정보 보호 검토를 실시하고 있습니다. 서비스 그룹에 포함된 개인 정보 보호 팀들은 개인 정보가 국제법, 사용자 기대치 및 Microsoft의 명시적인 약정에 따라 데이터 주체를 존중하는 방식으로 처리될 수 있도록 서비스의 설계 및 구현을 검토합니다. 이와 같은 개인 정보 보호 검토는 세분화되어 실시됩니다. 하나의 서비스를 대상으로 수십 또는 수백 건의 검토가 실시됩니다. Microsoft는 이처럼 세분화된 개인 정보 보호 검토를 처리의 주요 그룹들을 다루는 데이터 보호 영향 평가(DPIA)로 구성하며, DPIA는 Microsoft EU 데이터 보호 책임자(DPO)의 검토를 받습니다. DPO는 데이터 처리와 관련된 위험을 평가하여 충분한 완화책이 확립되어 있는지 확인합니다. 완화되지 않은 위험이 발견된 경우, DPO는 엔지니어링 그룹에 변경을 권고합니다. 데이터 보호 위험이 변경되면 DPIA도 검토 및 업데이트됩니다.

데이터 프로세서인 Microsoft는 데이터 컨트롤러가 GDPR에 명시된 DPIA 요구 사항을 준수할 수 있도록 지원할 책임이 있습니다.

Microsoft는 고객을 지원하기 위해, Microsoft 서비스에 의존하는 데이터 컨트롤러가 초록을 활용하여 DPIA를 생성할 수 있도록 Microsoft DPIA의 관련 섹션을 초록으로 만들어서 본 섹션의 추후 업데이트를 통해 제공할 예정입니다.