프라이버시 실드 무효화 2020: 알아야 할 사항 및 SCC가 휴식을 제공할 수 있습니까?
게시 됨: 2020-07-17
2020년 7월 16일, 유럽 연합 사법 재판소(CJEU)는 Schrems II 사건(케이스 C-311/18)에 대한 획기적인 판결을 발표했습니다. 판결에서 CJEU는 개인 데이터를 EU 외부에 설립된 데이터 프로세서로 전송하기 위해 유럽 위원회에서 발행한 표준 계약 조항(이하 " SCC ") 이 여전히 유효 하다고 결론지었으며 사례별 조사의 필요성을 강조했습니다. . 예기치 않게 법원 은 EU-미국 프라이버시 실드 프레임워크를 무효화했습니다 (GDPR 제45(2)(a)조의 요구 사항에 위배됨).
| 날짜 | 이벤트 |
| 2013년 6월 | PRISM 프로그램에 관한 스노든 폭로 |
| 2013년 6월 | Snowden의 공개에 대해 Schrems는 아일랜드 DPC re Safe Harbor에 불만을 제기했습니다. |
| 2014년 6월 | 아일랜드 고등법원, Schrems 사건을 CJEU에 회부 |
| 2015년 10월 | CJEU, 세이프 하버 무효화 |
| 2015년 10월–12월 | Schrems는 EU 표준 계약 조항(SCC)에 대해 아일랜드 DPC에 불만을 제기합니다. |
| 2016년 7월 | EU-미국 프라이버시 실드 채택 |
| 2017년 10월 | 아일랜드 고등 법원은 Schrems의 불만을 CJEU에 회부합니다. |
| 2018년 5월 | GDPR 발효 |
| 2019년 7월 | CJEU의 Schrems II 청문회 |
| 2019년 12월 | Schrems II의 CJEU AG 의견 |
| 2020년 7월 16일 | Schrems II의 CJEU 판결 |
타임라인에서 알 수 있듯이 Schrems II는 수년 동안 제작되었으며 매력적인 케이스입니다. 이 경우 유럽에서 사업을 하거나 유럽 고객의 데이터를 처리하는 미국 회사는 EU와 표준 계약 조항(SCC)이라고 하는 새로운 개별 데이터 처리 계약을 협상하거나 유럽 사업에서 데이터 이식을 중단해야 합니다. 미국으로.
판결이 영향을
(a) Privacy Shield 메커니즘에 따라 자체 인증을 받은 미국의 5,000개 이상의 회사, 그리고
(b) 엄격한 EU 데이터 보호법을 준수하기 위해 수신자의 Privacy Shield 자체 인증에 의존한 미국 이외의 정의되지 않은 수의 회사.
감독당국의 대응
EJC Schrems II 결정에 따라 일부 감독 당국은 특히 표준 계약 조항(SCC)의 지속적인 사용과 관련하여 앞으로의 방향에 대한 견해를 표명했습니다. 다음은 주요 메시지와 결과를 요약한 것입니다.
함부르크
함부르크 데이터 보호 당국은 다음과 같이 결론지었습니다 .
프라이버시 실드의 무효화가 주로 미국에서 증가하는 정보 활동으로 인한 것이라면 표준 계약 조항에도 동일하게 적용되어야 합니다. 데이터 내보내기와 가져오기 간의 계약은 국가 액세스로부터 데이터 주체를 보호하는 데에도 마찬가지로 부적합합니다.
그러나 그들은 또한 그것을 본다.
구속력 있는 기업 규칙 및 개별 계약 외에도 제3국으로의 이전을 위한 기반으로 사용할 수 있는 것은 무엇보다도 SCC입니다. 그러나 동시에 이번에는 불확실성이 증가했습니다. ECJ가 공을 유럽 감독 당국에 전달하고 있습니다.
함부르크 DPA의 위원회 책임자인 Johannes Casper는 다음과 같이 말합니다.
오늘의 ECJ 결정 이후, 공은 다시 한 번 감독 당국의 법원에 있게 되었으며, 감독 당국은 이제 표준 계약 조항을 통해 전반적인 데이터 전송에 대해 비판적으로 의문을 제기하는 결정에 직면하게 될 것입니다.
연방 커미셔너
동시에, 연방 데이터 보호 및 정보 자유(BfDI) 커미셔너 인 울리히 켈버(Ulrich Kelber) 교수는 국제 데이터 전송에 대한 유럽 사법 재판소(ECJ)의 오늘 판결을 영향을 받는 사람들의 권리 강화와 연관시킵니다.
ECJ는 국제 데이터 트래픽이 여전히 가능하다는 점을 분명히 합니다. 그러나 유럽 시민의 기본 권리는 존중되어야 합니다. 이제 미국과의 데이터 교환을 위해 특별한 보호 조치를 취해야 합니다. 회사와 당국은 더 이상 ECJ가 무효로 선언한 Privacy Shield를 기반으로 데이터를 전송할 수 없습니다. 물론 전환에 대한 집중적인 조언을 제공할 것입니다.
라인란트-팔츠
Rhineland-Palatinate DPA는 이미 매우 적극적인 접근 방식을 취했습니다. ECJ 결정 후 불과 몇 시간 만에 ECJ 결정에 대한 FAQ 문서가 게시되었습니다 . 이제 데이터 내보내기가 SCC와 관련하여 수행해야 하는 작업과 관련하여 다음과 같은 결론을 내립니다.
데이터 컨트롤러는 데이터를 전송하려는 제3국의 데이터 수입자 및 해당되는 경우 이 비즈니스 관계의 다른 계약 파트너에게 적용되는 법률과 이러한 법률이 표준 계약 조항에서 제공하는 보증에 영향을 미치는지 여부를 확인해야 합니다. . 필요한 경우 특정 데이터 흐름을 분석하여 각각의 경우에 적용되는 제3국의 법률을 결정해야 합니다. 이러한 의무는 미국뿐만 아니라 모든 제3국으로의 데이터 전송에 적용됩니다.
SCC 결정의 유효성이 인정됨
법원이 2010년 SCC 결정의 유효성을 인정했기 때문에 SCC를 기반으로 EU에서 전 세계로 데이터 흐름이 중단 없이 계속될 수 있습니다. 그러나 EEA 외부로 데이터를 내보내기 위해 SCC에 의존하는 회사의 경우에도 이 공간을 면밀히 모니터링하는 것이 현명합니다. 유럽연합(EU) 판사 디디에 렌더스(Didier Reynders) 집행관은 결정과 같은 날 조기 발표를 통해 SCC의 중요성이 증가함에 따라 SCC를 업데이트할 계획이라고 밝혔습니다.
전환 기간이 없는 프라이버시 실드의 무효화
법원은 또한 Privacy Shield를 평가하기로 결정했고 그것이 유효하지 않은 것으로 판명되었으므로 이 프레임워크에 의존하는 모든 데이터 흐름은 불법이 됩니다.
Privacy Shield는 이제 2015년의 Safe Harbor 프로그램과 같은 불행한 운명에 직면해 있습니다. Safe Harbor 프로그램의 무효화 이후 발생한 스크램블과 유사하게 미국과 EU 정부가 CJEU 결정에서 강조한 결함을 복구하기 위해 만나는 것을 볼 수 있습니다. 그러나 이러한 결함이 해결될 때까지 데이터를 적절하게 전송하기 위해 Privacy Shield에 의존하는 모든 회사는 SCC, 사용자 동의 및 구속력 있는 기업 규칙(BCR)과 같이 명시적으로 적절한 보호 장치로 간주되는 다른 조치로 전환해야 합니다.
당국은 SCC가 여전히 기본으로 작동하고 있음을 인정하므로 당국이 판결 이후의 이전과 관련하여 조직이 유예 기간을 허용할 것으로 기대합니다. 2015년 세이프 하버(Safe Harbor)가 무너진 후 6개월의 유예 기간이 허용되었습니다. 더 광범위한 영향을 감안할 때 이 기간을 지금 반복하고 잠재적으로 이 기간을 연장하는 것이 합리적입니다.
조직을 위한 다음 단계
기업은 지금 프라이버시 실드 이후 시대를 대비하고 자체 데이터 보호를 위해 구속력 있는 기업 규칙(BCR) 및 표준 계약 조항(SCC)을 마련해야 합니다.
- SCC는 유효하지만 현재 이를 의존하고 있는 조직은 개인 데이터의 특성, 처리 목적과 맥락, 목적지 국가를 고려하여 "적절한 수준의 보호"가 있는지 여부를 고려해야 합니다. EU 법률에서 요구하는 개인 데이터용. 그렇지 않은 경우 조직은 실제로 "적절한 수준의 보호"가 있는지 확인하기 위해 어떤 추가 보호 조치를 구현할 수 있는지 고려해야 합니다.
- 현재 EU-US Privacy Shield 프레임워크에 의존하는 조직은 개인 데이터를 미국으로 계속 전송하기 위해 대체 데이터 전송 메커니즘을 긴급히 식별해야 합니다. 조직은 특정 전송(예: 양도는 계약을 수행하는 데 필요함), SCC 또는 구속력 있는 기업 규칙도 대안 메커니즘으로 고려해야 합니다.
간단히 말해서 GDPR의 적용을 받는 기업은 다음을 고려해야 합니다.
(i) 그들의 데이터가 미국으로 흐르고,
(ii) 그러한 미국으로의 이전을 위한 각각의 법적 메커니즘, 그리고
(iii) EU-미국 프라이버시 실드가 현재 이전 메커니즘인 경우 해당 활동에 대한 합법적인 이전 메커니즘을 마련합니다.
개종자가 할 일
- 감독 당국, 유럽 데이터 보호 위원회 및 유럽 위원회의 지침을 확인하십시오.
- 데이터 매핑 연습을 수행하여 어떤 데이터가 EU 외부로 전송되고 어떤 기준으로 전송되는지 평가합니다. 이 연습에서는 다음 사항을 확인합니다.
- Privacy Shield에 참여하는 조직으로의 데이터 전송,
- 표준 계약 조항에 의존하는 데이터 전송 – 특히 SCC에 의존하는 미국 수입업자에 대한 모든 데이터 전송에 유의하십시오.
- 구속력 있는 기업 규칙에 의존하고 미국으로의 데이터 전송을 포함하는 데이터 전송.
- 다음 작업에 대한 인앱 메시지를 사용하여 활성 및 평가판 사용자에게 알립니다. 요컨대, EU 데이터 전송이 이미 SCC의 적용을 받는 고객의 경우 아무 것도 수행할 필요가 없습니다. 이전에 Privacy Shield가 적용되었던 항목의 경우 EU 표준 계약 조항(SCC)을 채택하는 것이 앞으로의 필수 경로입니다. SCC를 통합하려는 Convert 고객인 경우 Convert Customer Success Hero가 표준 계약 조항을 현재 계약에 통합하는 프로세스를 시작하기 위해 연락을 드릴 것입니다.
- 모든 하위 프로세서와 업데이트된 데이터 처리 계약(DPA) 및/또는 표준 계약 조항(SCC)에 서명합니다.
- Schrems II 결정에 대한 업데이트를 받으려면 Privacy Shield에 문의하십시오.
- 사전 서명된 SCC에 대한 링크를 포함하도록 개인정보 보호정책을 업데이트하십시오.
- 현재 상태를 반영하도록 DPA 페이지를 업데이트합니다.
- 다른 데이터 전송 메커니즘을 주시하십시오.
