針對為歐盟 (EU) 中的人們提供產品及服務或為歐盟居民收集和分析資料的組織,一般資料保護規定 (GDPR) 推出了新的規則,而無論您或您的企業位於何處都必須遵守。 這份文件將引導您在使用 Microsoft 產品和服務時,幫助取得 GDPR 規定下執行權限和完成義務的資訊。 GDPR 的建議動作方案與責任整備檢查清單提供評估及實作GDPR 合規性的其他資源。
術語
本文件中使用的 GDPR 術語的實用定義:
- 資料控制者 (控制者) :一個法人、公共機構、機關或其他團體,單獨或與他人共同決定個人資料處理的目的與方式。
- 個人資料和資料主體:與已識別或可識別的自然人 (資料主體) 相關的任何資訊;可識別的自然人為可直接或間接識別的個人。
- 處理者:代表控制者處理個人資料的自然人或法人、公共機關、機關或其他機構。
- 客戶資料:在公司運作的日常作業中產生並儲存的資料。
GDPR 是什麼?
GDPR賦予人們管理組織蒐集的個人資料的權利。 人員可透過資料主體請求 (DSR) 行使這些權利。 組織必須及時提供有關DSR及資料外洩的資訊,並執行資料保護影響評估 (DPIA) 。
在實施或評估GDPR要求時,請考慮以下幾個重點:
- 開發或評估您 GDPR 合規性資料的隱私權原則。
- 評估貴組織的資料安全性。
- 識別你的資料控制器。
- 判斷您可能需要執行哪些資料安全流程。
GDPR與問責準備度檢查表的建議行動計畫,可能會引發更多思考。
為符合GDPR標準,請完成以下任務。 請跟隨清單中的連結來取得有關實作的詳細資料。
- 資料主體要求 (DSR)。 由資料主體向控制者提出以對其個人資料採取行動 (變更、限制、存取) 的正式要求。
- 外洩通知。 根據GDPR,個人資料外洩是指「安全漏洞導致意外或非法地銷毀、遺失、更改、未經授權揭露或存取傳輸、儲存或以其他方式處理的個人資料」。
- 資料保護影響評估。 根據GDPR,資料管制員必須為「可能導致自然人權利與自由高度風險」的資料操作準備DPIA。
如前所述,GDPR與問責準備檢查清單的建議行動計畫提供了使用Microsoft產品與服務實施或評估GDPR合規性的指引。
使用 Microsoft Purview 合規管理工具來評估您的風險
Microsoft Purview 合規管理員 是 Microsoft Purview 入口網站 中的一項功能,幫助您了解組織的合規態勢並採取措施降低風險。 Compliance Manager 為企業 E5 客戶提供了此規範的預先評估。 可在合規性管理員的 [評估範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。
資料主體要求 (DSR)
GDPR賦予個人 (或資料主體在處理其個人資料時) 某些權利,包括更正不準確資料、刪除或限制資料處理、接收資料,以及履行將資料傳送給其他控制者的請求。 管制員負責提供及時且符合GDPR標準的回覆。 如需技術詳細資訊,請參閱資料主體要求。
DSR 常見問題集
DSR 完成的動作是什麼?
DSR 涉及六種動作:探索、存取、改正、限制、匯出和刪除。
資料來源為何?
組織中很大一部分資料來自 Office 應用程式 ,如 Excel 和 Outlook。 你也可以在 Microsoft 產品與服務產生的 Insights 以及 系統產生的日誌中找到與 DSR 相關的資料。
需要搜尋何種資料?
個人資料可在客戶資料、Microsoft產品與服務產生的洞察,以及系統產生的日誌中找到。
個人資料是如何被搜尋的?
搜尋個人資料的方式在不同 Microsoft 產品與服務間有所不同。 搜尋工具包含內容搜尋,或應用程式內搜尋容量。 管理員可以存取系統產生的 與 使用者活動相關的日誌。
個人資料該以何種格式呈現?
GDPR《資料攜帶權》允許資料主體以「結構化、常用、機器可讀格式」申請個人資料副本,並要求您的組織將這些檔案傳送給另一位資料控制者。
GDPR 的要求內容,以及我身為控制者的責任?
身為控制者,GDPR 會要求您能夠:
- 提供資料主體一份其個人資料副本,並說明所處理的資料類別、處理目的,以及可能揭露資料的第三方類別。
- 協助每位使用者執行其權限以修正錯誤的個人資料、清除資料或限制其處理、以可讀取的格式接收其資料,且如果適用的話,完成將其資料傳送到另一個控制者的要求。
GDPR 的要求內容,以及 Microsoft 身為處理者的責任?
Microsoft 必須實施適當的技術與組織措施,協助您回應資料主體行使權利的請求,如前述所述。
哪裡可以找到內部部署伺服器的 GDPR 相關資訊?
您可以在這裡找到一系列 GDPR 相關文章。 這些文章都是由 Microsoft 提供,其針對 SharePoint Server、Exchange Server、Project Server、Office Web Apps Server、Office Online Server 和內部部署檔案共用的內部部署工作負載提供建議方法。
Microsoft 如何讓您回應資料主體要求?
線上服務以控制者身分提供許多功能,可讓您回應資料主體的要求。 Microsoft 企業線上服務與管理控制項可協助您對於回應資料主體權限要求的個人資料採取動作,讓您能探索、存取、修正、限制、刪除及匯出位於儲存在 Microsoft 雲端中控制者所管理資料內的個人資料。 若您需要,線上服務也會以電腦可讀取的格式提供資料。
資料保護影響評估
根據GDPR,資料管制員必須為處理「可能對自然人權利與自由造成高度風險」的操作, (DPIA) 準備資料 保護影響評估 。 Microsoft 的產品和服務本身並沒有什麼需要建立 DPIA 的內在機制。 這取決於你在 Microsoft 設定的細節。 您可以在 DPIA 目錄中的 Office 一欄找到必須考慮的細節清單。
DPIA 常見問題集
何時必須進行 DPIA?
在處理個人資料安全風險或因資料外洩而導致的事件時,您必須執行 DPIA。 關於辦公室風險因素的具體範例,請參閱「 判斷是否需要DPIA」。
完成 DPIA 的必要項目?
GDPR 強制需要 DPIA 的包含項目:
- 評估與 DPIA 目的相關之資料處理的必要性和相稱性。
- 評估資料主體的權利和自由風險。
- 意圖解決風險的措施、防護措施、安全性措施,和確保個人資料保護並證明遵守 GDPR 的機制。
我身為控制者的責任?
根據GDPR,作為控制者,你必須在處理可能對個人權利與自由造成高度風險的資料處理前進行DPIA,尤其是使用新技術的處理。 GDPR提供了以下非完整清單,列出您必須執行DPIA的案例:
- 為資料分析及類似活動而進行的自動化處理,若具有法律效力或對資料主體有重大影響。
- 大規模處理特殊類別的個人資料——揭示種族或族裔來源、政治觀點等資料——或與刑事定罪與犯罪相關的資料。
- 系統化監視大規模的公開區域。
GDPR也要求您在開始任何處理前,先諮詢資料保護局 (DPA) ,若無法識別足夠的流程以降低對資料主體的高風險。
Microsoft 負責的項目為何?
Microsoft 根據預設會在其工程與商業功能依設計和隱私權實施隱私權。 在這些工作中,Microsoft 會執行關於資料處理作業的完整隱私權檢閱,可能會對資料主題的權限和自由造成影響。 嵌入服務群組的隱私團隊會審查服務的設計與實施,確保個人資料以符合國際法、用戶期望及 Microsoft 明確承諾的方式處理。
這些隱私審查通常是細緻的——某個服務可能會收到數十甚至數百則評論。 Microsoft 會將這些細微的隱私權檢閱累積為資料保護影響評估 (DPIA),涵蓋主要的處理群組,而 Microsoft 歐盟資料保護長 (DPO) 會再加以檢閱。 DPO 會評估與資料處理相關的風險,以確保有足夠的防護功能。 如果DPO發現風險完全無法緩解,他們會建議將變更交回工程團隊。 DPIA會隨著資料保護風險的變化而進行審查與更新。
Microsoft 身為處理者,有責任協助控制者確保 GDPR 配置中展示 DPIA 需求之合規性。 為了要支援我們的客戶,我們提供 Microsoft DPIA 相關章節的摘要,並在未來的更新中透過這個區段提供,目的是讓控制者仰賴 Microsoft 服務來運用摘要,以建立自己的 DPIA。
外洩通知
GDPR規定了當個人資料外洩發生時,資料控制者和處理者必須通報的規定。 作為資料處理商,Microsoft 協助客戶符合 GDPR 的違規通知要求。 資料控制者負責評估資料隱私權的風險,並且決定外洩時是否需要客戶 DPA 的通知。 Microsoft 提供進行該評估所需的資訊。 欲了解更多關於 Microsoft 如何偵測及回應個人資料外洩的資訊,請參閱 GDPR 下的資料外洩通知。
外洩通知常見問題集
GDPR 規定的個人資料是由什麼所構成?
個人資料表示與個人相關的任何資訊,可用來直接或間接識別他們。 個人資料外洩是指「安全漏洞,導致傳送、儲存或以其他方式處理的個人資料意外或非法銷毀、遺失、變更、未經授權揭露或存取」。
您身為控制者的責任?
如果發生可能導致對權限和個人自由造成高風險 (例如辨識、身分遭竊、詐騙、財務損失或對其聲譽造成損毀) 的個人資料外洩,GDPR 會要求您:
- 在得知後72小時內通知適當的資料保護機構 (DPA) ——例如,在Microsoft通知你之後。 如果你在期限內沒有通知DPA,你必須向DPA解釋原因。 即使存在對個人的風險,且風險不大,仍需向DPA發出此通知。
- 通知外洩的資料主題而不過度延遲。
- 記錄外洩事件,包括外洩性質的描述——例如受影響人數、受影響的資料紀錄數量、外洩後果,以及貴組織提出或採取的任何補救措施。
Microsoft 身為處理者的責任?
我們在發現個人資料外洩之後,GDPR 會要求我們向您發出通知而不過度延遲。 在 Microsoft 身為處理者的情況下,我們的義務反映 GDPR 需求和我們的標準、全球合約條款。 我們認為所有已確認的個人資料外洩均在適用範圍內;沒有傷害風險閾值。 我們會通知客戶,無論資料外洩是由 Microsoft 直接遭受,還是我們的子處理商所為。 我們有流程能快速識別並聯繫您組織內識別的安全事件人員。 此外,所有子處理商合約上都有義務向 Microsoft 報告其自身的違規行為,並提供相關保證。
Microsoft 如何偵測資料外洩?
我們所有的服務及人員都遵循內部事件管理程序,以確保我們採取適當的預防措施,以在第一時間避免資料外洩。 不過,此外,線上服務在我們所有的平台上都有特定的適當安全性控制,可偵測在極罕見的事件中發生的資料外洩。
Microsoft 如何回應資料外洩?
為了協助您處理個人資料外洩,Microsoft 已提供:- 受訓於特定程序的資安人員。 - 制定政策、程序與控制措施,確保 Microsoft 維護詳細紀錄。 此回應包括擷取事件論據、其效果和補救措施,以及在我們的事件管理系統中追蹤和儲存資訊的文件。
發生資料外洩時,Microsoft 如何通知我?
Microsoft 具備適當原則和程序可立即通知您。 為符合您向DPA的通知要求,我們提供判斷是否發生個人資料外洩的程序說明、外洩性質說明及我們為減輕資料外洩所採取的措施說明。
符合 GDPR 的責任整備檢查清單
這些 清單 提供了一種方便的方式,讓你透過 Microsoft 產品取得支持GDPR所需的資訊。 您可以使用 Microsoft Purview 合規管理員,在 GDPR 磁貼中的客戶管理控制區塊中,參考控制 ID 與控制標題來管理檢查清單項目。
GDPR 常見問題集
Microsoft 是否就 GDPR 向其客戶作出承諾?
是。 GDPR要求使用Microsoft企業線上服務) 的企業等 (控制者只能使用能提供足夠保證以符合GDPR關鍵要求的處理商 (Microsoft) 。 Microsoft 會主動將這些承諾提供給所有批量授權客戶,作為其協議的一部分。
Microsoft 如何協助我遵守?
Microsoft 提供若干工具和文件來支援您的 GDPR 責任。 這些支援包括資料主體權利、自行進行資料保護影響評估,以及共同解決個人資料外洩問題。
GDPR 條款中有哪些承諾?
Microsoft GDPR 條款反映第 28 條規定處理者應履行的承諾。 第 28 條規定處理者承諾:
- 僅在控制者同意的情況下使用輔助處理者,並為輔助處理者負責。
- 在控制者的指示下處理個人資料,包括涉及資料傳輸之情形。
- 確保處理個人資料的人員承諾保密。
- 實行適當的技術與組織措施,確保個人資料安全層級對該風險是恰當的。
- 協助控制者履行義務,回應資料主體行使 GDPR 權利的要求。
- 符合 GDPR 的違反通知及協助規範。
- 協助控制者執行資料保護影響評估及諮詢監理機關。
- 於提供服務結束時移除或傳回個人資料。
- 支援控制者時具備符合 GDPR 之證明。
Microsoft 在什麼基礎下協助在歐盟以外傳輸個人資料?
Microsoft 長期以來一直使用標準合同條款 (也稱為示範條款) 作為其企業線上服務資料傳輸的基礎。 Standard Contractual 條款是歐盟委員會提供的標準條款,可用來合規地將資料轉移到歐洲經濟區之外。 Microsoft 透過產品條款將 Standard 合約條款納入所有批量授權協議中。 對於來自歐洲經濟區、瑞士及英國的個人資料,Microsoft 確保個人資料轉移至第三國/地區或國際組織時,須依據 GDPR 第 46 條所規定的適當保障措施。 除了 Microsoft 根據 Standard 合約條款對處理器及其他範本合約的承諾外,Microsoft 仍持續遵守隱私盾框架的條款,但不再依賴該框架作為從歐盟/歐洲經濟區轉移至美國個人資料的依據。
有哪些其他 Microsoft 合規性方案?
作為一家在全球擁有幾乎所有國家/地區客戶的全球公司,Microsoft 擁有強大的合規組合以協助客戶。 欲查看其完整的合規產品清單,包括FedRamp、HIPAA/HITECH、ISO 27001、ISO 27002、ISO 27018、NIST 800-171、英國G-Cloud等多項合規服務,請造訪相關 合規服務主題。
GDPR 對我的公司有何影響?
GDPR 會對收集或處理個人資料的組織施加多種要求,包括遵守六個關鍵原則的要求:
- 處理和使用個人資料時透明、公平和合法。 你需要對個人清楚說明你如何使用個人資料,並且需要有「合法依據」來處理這些資料。
- 限制個人資料處理於 特定、 明確且 合法的目的。 你不能為了與最初蒐集資料目的不「相容」的目的重複使用或揭露個人資料。
- 盡量減少個人資料的收集與儲存 ,僅保留對預期目的足夠且相關的資料。
- 確保 個人資料的準確性 ,並使其能夠 被刪除或修正。 您需要採取措施,確保您持有的個人資料準確無誤,並在發生錯誤時能夠更正。
- 限制個人資料的儲存。 您需要確保只保留個人資料,直到達成收集資料的目的為止。
- 確保個人資料 的安全、 完整性與 機密性。 貴組織必須採取步驟,透過技術和組織安全措施保護個人資料的安全。
您需要了解貴組織在GDPR下的具體義務,以及如何履行這些義務。 Microsoft 隨時準備協助你踏上 GDPR 之路。
公司必須依據 GDPR 支援哪些權利?
GDPR 提供歐盟派駐人員,透過一組「資料主體權限」控制個人資料。 此套裝包含以下權利:
- 存取如何使用個人資料的相關資訊。
- 存取組織持有的個人資料。
- 刪除或更正不正確的個人資料。
- 在某些情況下,修正和清除個人資料 (有時候稱為「忘記的權限」)。
- 限制或約束個人資料的自動處理。
- 接收個人資料的複本。
什麼是處理者和控管者?
控制者是自然人或法人、公共機關、機關或其他機構,單獨或與他人共同決定個人資料處理的目的與方式。 處理者是自然人或法人、公家機關、公司,或代表控制者處理個人資料的其他主體。
GDPR 是否適用於處理商和管制員?
是,GDPR 同於適用於控制者和處理者。 控制者只能使用採取措施以符合 GDPR 需求的處理者。 根據GDPR,處理者對於不遵守或違反控制者指示行事,承擔額外義務與責任,與資料保護指令相比。 處理員職責包括但不限於:
- 僅依控制者的指示處理資料。
- 使用適當的技術和組織措施來保護個人資料。
- 協助控制者處理資料主體要求。
- 確保參與的輔助處理者符合這些需求。
如果不符合合規性,公司會被處以多少罰鍰?
公司若未符合特定GDPR要求,最高可被罰款2,000萬歐元,或佔全球年營業額4%(以較高者為準)。 如果您無法遵守 GDPR 需求,額外的個別救濟可能會增加您的風險。
我的公司需要指派資料保護長 (DPO) 嗎?
這取決於法規內識別的幾個因素。 GDPR第37條規定,管制員與處理者必須在以下情況下指定資料保護官: () 公共機關或機構(除法院以司法職權行使外)執行處理; (b) 控制器或處理器的核心活動包含處理操作,這些操作因其性質、範圍或目的,需要定期且系統性地大規模監控資料主體;或 (c) 管制員或處理者的核心活動包括大規模處理依據第9條的特殊類別資料及第10條所述的刑事定罪與犯罪相關的個人資料。
符合 GDPR 合規性需要多少成本?
對大多數組織來說,遵守GDPR會花費時間和金錢,但對於採用良好架構的雲端服務模式並有有效資料治理計畫的組織來說,這可能是較順利的過渡。
如何知道 GDPR 是否涵蓋組織處理的資料?
GDPR 會規範個人資料的收集、儲存、使用和共用。 GDPR將個人資料定義為任何與已識別或可識別自然人相關的資料。
個人資料可以包括但不限於線上識別碼,例如 (IP 位址) 、員工資訊、銷售資料庫、客戶服務資料、顧客回饋表單、位置資料、生物辨識資料、監視器畫面、忠誠計畫紀錄、健康及財務資訊等等。 它甚至可能包含看似非個人的資訊——例如一張沒有人的風景照片——其中帳號或獨特代碼將該資訊與可識別的個人連結。 甚至你用假名化名的個人資料,如果該假名能連結到特定個人,也可能成為個人資料。
處理某些「特殊」類別的個人資料,例如揭示個人種族或族裔來源,或涉及其健康或性取向的資料,所受的規則比處理「一般」個人資料更嚴格。 此個人資料評估高度依賴事實,請聘請專家評估您的具體情況。
我的組織只代表他人處理資料。 它還需要遵守GDPR嗎?
是。 雖然這些規則稍有不同,但 GDPR 適用於基於自己目的收集及處理資料的組織 (「控制者」),以及代表他人處理資料的組織 ('「處理者」)。 這項需求是從現有的資料保護指導方針轉變而來,適用於控制者。
具體來說,會將什麼內容認定為個人資料?
個人資料是任何與已識別或可識別個人相關的資訊。 個人的私人、公開或工作角色之間沒有區別。 個人資料可能包括:
- 姓名
- 住家地址
- 公司地址
- 電話號碼
- 手機號碼
- 電子郵件地址
- 護照號碼
- 國民身分證
- 社會安全號碼 (或等同)
- 駕駛執照
- 物理、生理或遺傳資訊
- 醫療資訊
- 文化身分識別
- 銀行詳細資料/帳號
- 稅號
- 公司地址
- 信用卡/轉帳卡號碼
- 社交媒體文章
- IP 地址 (歐盟地區)
- 位置/GPS 資料
- Cookie
允許我在歐盟外傳輸資料嗎?
是的,但GDPR嚴格規範歐洲居民個人資料轉移至歐洲經濟區外目的地。 您可能需要設立特定的法律機制,例如合約,或遵守認證機制以啟用這些轉帳。 Microsoft 在產品條款中詳細說明了其使用的機制。
我有合規部門的資料保留要求。 這些要求是否凌駕於刪除權之上?
若有合法理由持續處理及資料保留,例如第17 (第3) (b) ) 條 (「遵守法律義務,需依聯邦或成員國法律處理」,GDPR承認組織可能被要求保留資料。 然而,務必聘請您的法律顧問,確保保留理由與資料主體的權利與自由、資料收集時的期望及其他相關因素進行權衡。
GDPR 會處理加密嗎?
GDPR將加密視為一種保護措施,當發生外洩時,個人資料會變得無法理解。 因此,是否使用加密可能會影響個人資料外洩通知的要求。 在某些情況下,GDPR 還會指出加密是一種適當的技術或組織措施,取決於風險。 支付卡行業資料安全標準和部分金融服務行業特定的嚴格合規性指導方針,也需要加密。 Microsoft 產品與服務,如 Azure、Dynamics 365、Enterprise Mobility + Security、Office Microsoft 365、SQL Server/Azure SQL 資料庫、Windows 10 及 Windows 11提供傳輸中資料與靜止資料的強健加密。
GDPR 如何變更組織對個人資料外洩的回應?
GDPR改變了資料保護要求,並對處理者與控制者在個人資料外洩通知方面施加更嚴格的義務。 根據新規定,處理商必須在得知個人資料外洩後,立即通知資料管制員,且不得有任何不當延誤。 一旦注意到個人資料外洩,控制者必須在 72 小時內通知相關資料保護授權單位。 若資料外洩可能導致個人權利與自由面臨高度風險,管制員也需立即通知受影響者。 本主題的其他指引是由歐盟第 29 條工作方所開發的。
Microsoft 產品與服務,如 Azure、Dynamics 365、Enterprise Mobility + Security、Microsoft Office 365 及 Windows 10- 現已提供解決方案,協助您偵測與評估安全威脅與外洩,並符合GDPR的違規通報義務。