資料保護影響評估 (DPIA)

Microsoft 如何協助控制者完成 GDPR 資料保護影響評估。

資料保護影響評估支援文件

Office 365

Dynamics 365

Microsoft 專業服務


資料保護影響評估常見問題集

以下為 GDPR 要求項目的相關重要問答。

|

根據 GDPR,在進行可能對個人權利與自由造成高度風險的資料處理過程前 (特別是使用新技術進行處理時),身為控制者的您必須先進行 DPIA。GDPR 提供下列必須進行 DPIA 之非詳盡的案例清單:

  • 針對分析用途和具有法律效力或對於資料主體有類似顯著影響的類似活動進行自動化處理;
  • 針對特殊類別的個人資料 (揭露種族血統、政治觀點與類似議題的資料) 或是與判罪和犯罪相關的資料進行大規模處理;
  • 對公眾場所進行的大規模系統性監控。

GDPR 同時也要求,在您開始進行任何處理之前,如果無法找出充分的風險降低措施來大幅降低對資料主體的高度風險,則您必須諮詢您的資料保護機構 (DPA)。

Microsoft 在其工程與商務功能中,透過設計和預設方式來實踐隱私權。在投注心力的期間,Microsoft 針對可能影響資料主體權利與自由的資料處理作業,執行全方位的隱私權檢閱。納入服務群組的隱私權小組會檢閱服務的設計與實作,以確保用尊重的方式處理個人資料,且符合國際法規、使用者期待和我們表達的承諾。這些隱私權檢閱過程往往非常精細,特定服務可能會收到數十或數百則檢閱。Microsoft 將這些仔細的隱私權檢閱彙總至涵蓋處理過程主要分組的資料保護影響評估 (DPIA) 中,Microsoft 歐盟資料保護長 (DPO) 隨後會進行檢閱。DPO 會評定與資料處理相關的風險,以確保已備妥充足的風險降低措施。如果 DPO 發現了未降低的風險,會建議將變更歸還給工程團隊。DPIA 會在資料保護風險變更時再進行檢閱和更新。

Microsoft 身為處理者,有責任協助控制者,以確保符合 GDPR 中所列的 DPIA 要求。

 

為了支援我們的客戶,我們摘要了 Microsoft DPIA 相關的節,而未來的更新將透過本節提供,其用意是讓仰賴 Microsoft 服務的控制者,利用這些摘要來建立自己的 DPIA。