데이터 주체 요청과 GDPR 및 CCPA

GDPR(일반 데이터 보호 규제)는 EU(유럽 연합) 회원국 국민에게 제품과 서비스를 제공하거나 귀하 또는 귀사가 어디에 있는지 관계없이 EU 거주자의 데이터를 수집하고 분석하는 조직에 새로운 규칙을 도입합니다. 자세한 내용은 GDPR 요약 문서에서 확인할 수 있습니다.

마찬가지로, 캘리포니아 소비자 개인 정보 보호법 (CCPA)은 캘리포니아 소비자에게 개인 정보 보호 권리와 의무를 제공합니다. 이러한 권한에는 개인 정보를 삭제, 액세스 및 수신(이식성)할 수 있는 권리와 같은 GDPR의 데이터 주체 권리와 유사한 권리가 포함됩니다. 또한 CCPA는 특정 공개, 실행 권리 행사 시 차별 대우로부터 보호, “판매"로 분류되는 특정 데이터 전송에 대한 "옵트아웃(opt-out)/옵트인(opt-in)" 요구도 허용합니다. 이 문서에서는 Microsoft 제품 및 서비스를 사용 하 여 GDPR 및 CCPA 하에서 DSRs(데이터 주제 요청)를 완료하는 방법에 대한 정보를 안내합니다.

• Azure DevOps Services
• Azure
• Dynamics 365
• Intune
• Microsoft 지원 및 전문 서비스
• Office 365
• Visual Studio 제품군
• Windows 365
• Windows

GDPR 용어 정의는 일반 데이터 보호 규정을 참조하세요. 데이터 프로세서로서의 Microsoft 역할에 대한 자세한 내용은 Microsoft를 데이터 프로세서로 참조하세요.

DSR이란 무엇인가요?

GDPR(일반 데이터 보호 규정)은 고용주 또는 다른 유형의 기관 또는 organization(데이터 컨트롤러 또는 단지 컨트롤러라고도 함)가 수집하는 개인 데이터를 관리할 수 있는 권한을 사용자에게 부여합니다(데이터 주체로 규정에서 알려짐). GDPR은 데이터 주체에게 개인 데이터에 대한 특정 권한을 부여합니다. 이러한 권한에는 개인 데이터의 복사본 가져오기, 변경 요청, 처리 제한, 삭제 또는 전자 형식으로 수신하여 다른 컨트롤러로 이동할 수 있습니다.

컨트롤러는 요청된 작업을 수행하거나 컨트롤러가 DSR을 수용할 수 없는 이유에 대한 설명을 제공하여 각 DSR을 즉시 고려하고 실질적인 응답을 제공해야 합니다. 지정된 DSR의 적절한 처리와 관련하여 사용자 고유의 법률 또는 규정 준수 고문에게 문의하세요.

organization GDPR 준수 규칙에 따라 DSR을 완료하는 데 여러 프로세스가 포함될 수 있습니다.

• 발견: 검색 및 검색 도구를 사용하여 DSR의 대상이 될 수 있는 고객 데이터를 보다 쉽게 찾을 수 있습니다. 응답 가능한 문서를 수집한 후에는 다음 단계에 설명된 하나 이상의 DSR 작업을 수행하여 요청에 응답할 수 있습니다. 또는 요청이 DSR에 응답하기 위한 organization 지침을 충족하지 않는지 확인할 수 있습니다.
• 액세스: Microsoft 클라우드에 있는 개인 데이터를 검색하고 요청된 경우 데이터 주체가 액세스할 수 있는 복사본을 만듭니다.
• 수정: 해당되는 경우 개인 데이터를 변경하거나 요청된 다른 작업을 구현합니다.
• 제한 다양한 Azure 서비스에 대한 라이선스를 제거하거나 가능한 경우 원하는 서비스를 꺼서 개인 데이터의 처리를 제한합니다. Microsoft 클라우드에서 데이터를 제거하고 온-프레미스 또는 다른 위치에 보존할 수도 있습니다.
• 삭제: Microsoft 클라우드에 있는 개인 데이터를 영구적으로 제거합니다.
• 내보내기/수신(이식성): 개인 데이터 또는 개인 정보의 전자 사본(컴퓨터가 읽을 수 있는 형식)을 데이터 주체에게 제공합니다.

제품별 가이드의 각 섹션에서는 데이터 컨트롤러 organization Microsoft 클라우드의 개인 데이터에 대한 DSR에 응답하는 데 사용할 수 있는 기술 절차를 간략하게 설명합니다.

제품별 가이드를 사용하는 방법

각 제품별 가이드는 다음 두 부분으로 구성됩니다.

• 1부: 고객 데이터에 대한 데이터 주체 요청에 응답: 1부에서는 데이터를 작성한 애플리케이션에서 데이터에 액세스, 수정, 제한, 삭제 및 내보내는 방법을 설명합니다. 이 섹션에서는 고객 콘텐츠와 사용자의 식별 가능한 정보에 대해 DSR을 실행하는 방법을 자세히 설명합니다.
• 2부: 시스템 생성 로그에 대한 데이터 주 체 요청에 응답: Microsoft의 엔터프라이즈 서비스를 사용할 경우, Microsoft는 서비스를 제공하기 위해 시스템 생성 로그라고 알려진 정보를 생성합니다. 2부에서는 이러한 정보에 액세스, 삭제 및 내보내는 방법을 설명합니다.

Microsoft Entra ID 및 Microsoft 서비스 계정에 대한 DSR 이해

EDDT(확장 디렉터리 직접 토큰)를 사용하면 테넌트 내의 게스트 사용자가 여러 테넌트에서 DSR을 시작할 수 있습니다. 사용자가 시작한 모든 DSR은 해당 테넌트 관리자가 사용자에게 권한을 부여한 모든 테넌트에 대해 실행됩니다.

엔터프라이즈 고객에게 제공되는 서비스의 컨텍스트 내에서 MSA(Microsoft 서비스 계정)에도 동일한 프로세스가 적용됩니다. Microsoft Entra 테넌트와 연결된 MSA 계정에 대해 DSR을 실행하는 것은 테넌트 내의 데이터와만 관련이 있습니다. 또한 테넌트 내에서 MSA 계정을 처리할 때 다음 사항을 이해하는 것이 중요합니다.

• MSA 사용자가 Azure 구독을 만드는 경우 구독은 Microsoft Entra 테넌트인 것처럼 처리됩니다. 따라서 DSR은 위에서 설명한 대로 테넌트 내에서 범위가 지정됩니다.
• MSA 계정을 통해 만든 Azure 구독이 삭제된 경우 실제 MSA 계정에는 영향을 주지 않습니다. 위에서 설명한 대로 Azure 구독 내에서 실행되는 DSR은 테넌트 자체의 scope 제한됩니다.

사용자는 소비자 개인 정보 대시보드를 통해 지정된 테넌트 외부의 MSA 계정 자체에 대해 DSR을 실행합니다.

특정 DSR 고려 사항

Microsoft 제품 또는 서비스에서 생성된 인사이트

Viva Personal Insights 와 같은 서비스에서 인사이트를 생성할 수 있습니다. Office 365 사용하는 사용자 및 조직에 인사이트를 제공하는 온라인 서비스 포함합니다. 이러한 서비스에서 생성된 데이터는 DSR과 관련된 개인 데이터를 생성할 수 있습니다. 서비스별 DSR 프로세스에 대한 자세한 내용은 다음 섹션을 참조하세요.

시스템 생성 로그용 DSRs

Microsoft에서 생성하는 로그 및 관련 데이터에는 GDPR이 개인으로 간주하는 데이터가 포함될 수 있습니다. 시스템 생성 로그에서는 데이터를 제한하거나 수정할 수 없습니다. 시스템 생성 로그의 데이터는 Microsoft 클라우드 및 진단 데이터 내에서 수행되는 사실적인 작업입니다. 수정하면 작업의 기록 기록이 손상되고 사기 및 보안 위험이 증가합니다. Microsoft는 DSR을 완료하는 데 필요할 수 있는 시스템 생성 로그에 액세스, 내보내기 및 삭제하는 기능을 제공합니다. 이러한 데이터의 예는 다음과 같습니다.

• 사용자 활동 로그와 같은 제품 및 서비스 사용 데이터
• 사용자 검색 요청 및 쿼리 데이터
• 사용자 또는 다른 시스템의 시스템 기능 및 상호 작용에서 발생하는 제품 및 서비스에 의해 생성된 데이터입니다.

DSR(데이터 주체 권한) 내보내기에서 시스템 생성 로그에 대한 자세한 내용은 DSR (데이터 주체 요청) 내보내기에서 시스템 생성 로그 개요를 참조하세요.

Viva Engage

사용자의 계정을 삭제해도 Viva Engage 대한 시스템 생성 로그는 제거되지 않습니다. 이러한 응용 프로그램에서 생성된 데이터를 제거하려면 다음 리소스 중 하나를 참조하세요.

• Viva Engage GDPR 데이터 주체 요청 관리

국가별 클라우드

일부 국가 클라우드에서는 전역 IT 관리자가 시스템 생성 로그를 삭제해야 합니다.

Microsoft 서비스

organization 또는 사용자가 Microsoft 제품 및 서비스와 관련된 지원을 받기 위해 Microsoft와 협력하는 경우 이 데이터 중 일부는 개인 데이터를 포함할 수 있습니다. 자세한 내용은 GDPR에 대한 Microsoft 고객 지원 및 전문 서비스 데이터 주체 요청을 참조하세요.

Microsoft 컨트롤러 제품

경우에 따라 organization 사용자가 Microsoft가 데이터 컨트롤러인 Microsoft 제품 또는 서비스에 액세스할 수 있습니다. 그러한 경우 사용자는 자신의 DSR을 Microsoft에 직접 시작해야 하며 Microsoft는 사용자에게 직접 요청을 수행합니다.

타사 제품

Microsoft 계정 인증을 통해 액세스하는 타사 제품 및 서비스의 경우 데이터 주체 요청을 해당 타사에 전달합니다.

데이터 주체 요청 관리 도구

• Microsoft 포털: Microsoft Purview 포털 또는 애플리케이션 내 기능을 사용하여 사용자가 작성하거나 생성된 데이터를 내보냅니다.
• Microsoft Entra 관리 센터: Microsoft Entra 관리 센터를 사용하여 Microsoft Entra ID 및 관련 서비스에서 데이터 주체를 삭제합니다.
• Microsoft 데이터 로그 내보내기: 테넌트 관리자는 Microsoft 데이터 로그 내보내기를 사용하여 시스템 생성 로그를 내보낼 수 있습니다.

자세히 알아보기

• Microsoft 보안 센터