` ` `준계약조항:미래의국가간데이터흐름지원

오늘유럽위원회는국제3으로의개인데이터전송을위한새로운표준계약조항(SCC)의최종버전을발표했습니다。새로운scc는지난해유럽사법재판소(cjeu)의Schrems II판결이후유럽외부로개데이터를전송하는회사에꼭필한명확한기준을제시합니다。工作日고객에게가장중요한점은,새로운SCC에따라기업들이데이터전송시추가보호조치의필요여부를결정하는과정에서관련요소로공공기관으로부터의데이터에대한과거요청여부를고려할수있다는것입니다。이접근방식은유럽일반개인정보보호법(GDPR)의규정준수에대한위험기반접근방식및CJEU의Schrems II판결요건모두에부합합니다。

이블로그에서는새로운SCC에대한간략한설명과Schrems II와관련하여SCC가갖는의미,그리고국경을초월한데이터전송에대한일부예측의견에대해소개합니다。

새로운scc가채택된이유

새로운scc와함께발된보도 자료에서유럽위원회가치및투명성부문부위원장인维拉Jourova는다음과같이설명했습니다。

“유럽에서는보호기능이함께작동한다면개방상태를유지하고데이터흐름을허용하고자합니다。최신@ @준계약조항은이러한목적을달성하는데도움이될것입니다。이계약조항은기업欧盟내이에서의활동및국제적전송,두경우모두데이터보호법을준수할수있도록지원하는유용한도구를제공합니다。이는쉽게데이터전송이이루어지는상호연결된디지털세계에서꼭필한솔루션이죠。”

鳞状细胞癌는2004년(컨트롤러——컨트롤러조항)과2010년(컨트롤러——프로세서조항)에마지막으로업데이트되었습니다。그이후，gdpr은데이터처리계약에포함되어야하는특정건을도입했습니다。새로운SCC에는데이터전송메커니즘에GDPR에서요구하는사항이포함되어있습니다。또한새로운SCC는기업이컨트롤러및프로세서역할을모두수행하는경우가많은,오늘날의비즈니스현실을더잘반영합니다。새로운SCC는모듈식접근방식으로계약프로세스를간소화하며프로세서-컨트롤러전송및프로세서-프로세서전송의,두가지추가전송유형에대해서도규정하고있습니다。

새로운SCC와Schrems

Schrems II판결에따라,미국과같은제3국으로欧盟개인데이터를전송하는회사들은전송되는개인데이터를보호하는데필요한보완조치를파악하기위해사례별평가를수행해야합니다。평가시데이터가전송되는국가의정부감시관행및개의권리를고려해야합니다。새로운scc는이러한구사항을반합니다。그리고질문및이의제기,해당되는경우정부데이터액세스요청에대한요구사항과데이터제공자에게통지등구체적인안전조치도포함하고있습니다。工作日는고객과규제기관이이와관련된보장을원한다는것을알고있으며,고객서비스및무결성이라는핵심가치에부합하게고객을위한공식투명성리포트와정부접근원칙을발행합니다。

Scc와새로승된유럽클라우드행동강령

지난5월벨기에데이터보호국은클라우드서비스제공자를위한欧盟데이터보호행동강령(欧盟云CoC)을승인했다고발표했습니다。이강령은gdpr이발효된이후최초의초국가적eu행동강령입니다。欧盟云CoC는GDPR에따른규정준수메커니즘인SCC를보완하지만데이터전송메커니즘으로적용되지는않습니다。2019년8월，Workday는EU Cloud CoC준수를입한최초의기업이되었습니다。

다음 여정

工作日는새로운SCC를철저히검토하고있으며,기존계약에대한필수기간인18개월이내에고객에게이러한계약상의약정을제공할예정입니다。또한工作日는이번달말에유럽개인정보보호이사회가데이터전송에대한보완조치와관련해최종권고안을곧발표할것으로예상하고있습니다。뿐만아니라회사가정부당국으로부터개인데이터에대한공식적인요청을받았는지여부도고려할수있게될것이라기대합니다。과거관행과적극적정부방침을모두참고할때,엔터프라이즈인적자원,재무및분석데이터는정부당국의주요관심분야에해당하지않습니다。

工作日는여전히프라이버시실드의후속프레임워크에대한합의가올해이뤄질것이라낙관하고있습니다。한편,프라이버시실드원칙에따라개인데이터처리에대한FTC및고객과의약속을지키기위해기존의프라이버시실드인증을갱신했습니다。

欧盟工作日무엇보다는미국과정부가국가간데이터전송을위해지속적으로협력할것이라확신합니다。두정부의지속적인노력과함께업데이트된표준계약조항이국가간안전한데이터흐름을지원할것입니다。