유럽 연합 모델 조항

유럽 연합 모델 조항 개요

EU(유럽 연합) 데이터 보호법은 EEA(유럽 경제 지역)(모든 EU 국가와 아이슬란드, 리히텐슈타인 및 노르웨이 포함) 외부 국가로의 EU 고객 개인 데이터 전송을 규제합니다. 실질적인 수준에서 EU 데이터 보호법을 준수하는 것은 대부분의 EU 회원국이 모델 조항을 준수하는 계약을 기반으로 하는 경우 추가 승인이 필요하지 않기 때문에 고객이 EU 외부로 개인 데이터를 전송하기 위해 개별 당국의 승인이 적다는 것을 의미합니다.

Microsoft 및 유럽 통합 모델 조항

EU(유럽 연합) GDPR(일반 데이터 보호 규정)은 EEA(유럽 경제 지역)(모든 EU 국가와 아이슬란드, 리히텐슈타인 및 노르웨이 포함) 외부 국가로의 고객 개인 데이터 전송을 규제합니다. Microsoft는 고객에게 범위 내 서비스에 대한 개인 데이터 전송에 대한 구체적인 보증을 제공하는 EU SCC(표준 계약 조항)을 제공합니다. EU 모델 조항은 서비스 공급자(예: Microsoft)와 고객 간의 계약에 사용되어 EEA에서 외부로 전송되는 모든 개인 데이터가 EU 데이터 보호법을 준수하는 방식으로 전송되고 GDPR을 규정합니다.

2020년 7월 유럽 연합 사법 재판소(CJEU)는 EU에서 미국으로 개인 데이터를 이전하기 위한 유럽연합 미국간 개인 정보 보호 프레임워크의 효력을 무효화했습니다. 그러나 EU 모델 조항은 스위스와 영국뿐만 아니라 EU와 EEA로부터 개인 데이터를 이전하는 데 유효한 메커니즘을 계속 제공합니다. Microsoft는 Microsoft 온라인 서비스 약관(OST) 데이터 보호 기관(DPA)에 설명된 대로 EU 모델 조항을 고객에게 제공합니다.

Microsoft 범위 내 클라우드 플랫폼 및 서비스

• Azure 및 Azure Government
• Azure DevOps Services
• Dynamics 365
• Intune: Office 365용 Intune 추가 기능 제품 및 모바일 장치 관리의 클라우드 서비스 부분
• Microsoft Defender for Cloud Apps
• 다음의 클라우드 서비스 부분에 대한 엔드포인트용 Windows Defender: 끝점 감지 및 대응, 자동 조사 및 조치, 보안 점수
• Microsoft 전문 서비스: Azure, Dynamics 365, Intune, 비즈니스용 Microsoft 365의 중간 규모 비즈니스 및 엔터프라이즈 고객 대상 프리미어 및 온-프레미스
• Office 365
• 독립 실행형 서비스 혹은 Office 365 혹은 Dynamics 365에 브랜딩된 플랜 또는 제품군에 포함된 형태로서의 Power Automate(이전 Microsoft Flow) 클라우드 서비스
• 독립 실행형 서비스 혹은 Office 365 혹은 Dynamics 365에 브랜딩된 플랜 또는 제품군에 포함된 형태로서의 PowerApps 클라우드 서비스
• 독립 실행형 서비스 혹은 Office 365에 브랜딩된 플랜 또는 제품군에 포함된 형태로서의 Power BI 클라우드 서비스

Office 365 및 유럽 연합 모델 조항

Office 365 환경

Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.

이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.

• 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
• Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
• Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
• Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
• Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.

이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부 및 Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.

조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.

Office 365 적용 가능성 및 범위 내 서비스

다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.

감사, 보고서 및 인증서

Microsoft는 EU 표준을 지속적으로 평가하고 필요 시 서비스를 업데이트합니다.

자주하는 질문

모델 조항을 준수하는 것이 중요한 이유는 무엇인가요?

모델 조항을 준수하겠음을 계약상으로 약속하는 서비스 공급자는 개인 데이터가 EU 데이터 보호법에 준하여 전송 및 처리됨을 고객에게 보증하는 것입니다. 모델 조항의 사용은 고객이 EU 외부로의 개인 데이터 전송에 대해 개별 데이터 보호 기관으로부터 거의 승인을 취득할 필요가 없음을 의미합니다.

Microsoft 서비스에 대한 규정 준수 정보는 어디에서 확인할 수 있나요?

규정 준수는 계약상 책무입니다. Microsoft 표준 계약 조항은 온라인 서비스 약관에서 모든 클라우드 고객에게 제공됩니다. 다른 서비스에 대한 자세한 내용은 Microsoft와의 기존 계약을 참조하세요.

'하위 처리자'란 무엇인가요?

하위 처리자는 데이터 제어자의 지시, EU 모델 조항의 조건 및 하도급 계약에 따라 개인 데이터를 처리하는 사람입니다. 특히 ISV(독립 소프트웨어 공급업체)인 Microsoft 고객은 때때로 자체 데이터 프로세서입니다. 그러한 경우에는 Microsoft가 하위 처리자입니다.

우리 회사의 규정 준수 활동은 어디서부터 시작해야 하나요?

온라인 서비스 약관 같은 계약을 체결하거나 기존 계약을 수정하여 표준 계약 조항을 통합하십시오.

리소스

• Azure 규정 준수 문서
• EU 표준 조직
• EU 데이터 보호 지침
• 유럽 데이터 보호 위원회
• Microsoft 온라인 서비스 사용 약관
• Microsoft 보안 센터
• Microsoft 보안 센터에 대한 규정 준수