การประเมินผลกระทบของการป้องกันข้อมูล (DPIA)

Microsoft ช่วยให้ผู้ควบคุมดำเนินการประเมินผลกระทบของการป้องกันข้อมูลของ GDPR ได้อย่างไร

คู่มือสนับสนุนการประเมินผลกระทบของการป้องกันข้อมูล


คำถามที่ถามบ่อยเกี่ยวกับการประเมินผลกระทบของการป้องกันข้อมูล

ด้านล่างนี้คือคำถามและคำตอบที่สำคัญเกี่ยวกับสิ่งที่ GDPR ต้องการ

|

ภายใต้ GDPR ในฐานะผู้ควบคุม คุณจะต้องดำเนินการ DPIA ก่อนการประมวลผลข้อมูลที่มีแนวโน้มว่าอาจทำให้เกิดความเสี่ยงสูงต่อสิทธิ์และเสรีภาพของตัวบุคคล โดยเฉพาะอย่างยิ่งการประมวลผลโดยใช้เทคโนโลยีใหม่ GDPR มีรายการบริการโดยคร่าวต่อไปนี้ซึ่ง DPIA ต้องดำเนินการ:

  • การประมวลผลอัตโนมัติเพื่อวัตถุประสงค์ในการทำแฟ้มประวัติและกิจกรรมที่คล้ายคลึงกันซึ่งมีผลทางกฎหมายหรือมีผลกระทบอย่างมีนัยสำคัญในทำนองเดียวกันกับเจ้าของข้อมูล
  • การประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษขนาดใหญ่ เช่น ข้อมูลที่เปิดเผยเชื้อชาติหรือชาติพันธุ์ ความคิดเห็นทางการเมือง และข้อมูลที่คล้ายกัน หรือข้อมูลที่เกี่ยวข้องกับการตัดสินโทษและความผิดอาญา
  • การตรวจสอบอย่างเป็นระบบของพื้นที่ที่สามารถเข้าถึงได้แบบสาธารณะขนาดใหญ่

GDPR ยังต้องการให้คุณต้องปรึกษากับหน่วยงานป้องกันข้อมูล (DPA) ของคุณก่อนที่คุณจะเริ่มการประมวลผลใดๆ ถ้าคุณไม่สามารถระบุการบรรเทาปัญหาที่เพียงพอเพื่อลดความเสี่ยงสูงให้กับเจ้าของข้อมูลได้

Microsoft ดำเนินการออกแบบโดยคำนึงถึงความเป็นส่วนตัวในงานวิศวกรรมและธุรกิจมาตั้งแต่ต้น Microsoft ดำเนินการตรวจสอบความเป็นส่วนตัวอย่างครอบคลุมเกี่ยวกับการดำเนินการประมวลผลข้อมูลที่อาจก่อให้เกิดผลกระทบต่อสิทธิ์และเสรีภาพของเจ้าของข้อมูลในฐานะส่วนหนึ่งของความพยายามเหล่านี้ ทีมความเป็นส่วนตัวที่ฝังอยู่ในกลุ่มบริการจะตรวจสอบการออกแบบและการนำบริการไปใช้เพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลได้รับการประมวลผลโดยเคารพตามกฎหมายระหว่างประเทศ ความคาดหวังของผู้ใช้ และข้อผูกมัดที่ชัดเจนของเรา รีวิวเกี่ยวกับความเป็นส่วนตัวเหล่านี้มีแนวโน้มที่จะละเอียดมาก โดยบริการบางอย่างอาจได้รับการรีวิวนับสิบหรือหลายร้อยรายการ Microsoft จะรวบรวมรีวิวความเป็นส่วนตัวอย่างละเอียดเหล่านี้ลงในการประเมินผลกระทบของการป้องกันข้อมูล (DPIA) ที่ครอบคลุมกลุ่มการประมวลผลที่สำคัญซึ่งเจ้าหน้าที่ป้องกันข้อมูล (DPO) ในสหภาพยุโรปของ Microsoft ได้ตรวจสอบแล้ว DPO จะประเมินความเสี่ยงที่เกี่ยวข้องกับการประมวลผลข้อมูลเพื่อให้แน่ใจว่ามีการบรรเทาปัญหาอย่างเพียงพอ ถ้า DPO พบความเสี่ยงที่ไม่ได้รับการบรรเทา เจ้าหน้าที่คนดังกล่าวจะแนะนำให้เปลี่ยนกลับไปเป็นกลุ่มวิศวกรรม จะมีการตรวจสอบและอัปเดต DPIA เมื่อความเสี่ยงในการป้องกันข้อมูลเปลี่ยนแปลง

Microsoft ในฐานะผู้ประมวลผลมีหน้าที่ช่วยเหลือผู้ควบคุมในการตรวจสอบให้แน่ใจว่าสอดคล้องกับข้อกำหนด DPIA ที่กำหนดไว้ใน GDPR

 

เพื่อสนับสนุนลูกค้าของเรา ส่วนที่เกี่ยวข้องของ DPIA ของ Microsoft จะได้รับการสรุปและจะมีให้ในส่วนนี้ในการอัปเดตในอนาคต โดยมีเจตนาให้ผู้ควบคุมที่ใช้งานบริการของ Microsoft ได้ใช้ประโยชน์จากบทคัดย่อเพื่อสร้าง DPIA ของตนเอง