표준 계약 조항: 미래의 국가 간 데이터 흐름 지원

Workday의 부사장 겸 최고개인정보보호책임자(CPO)인 Barbara Cosgrove가 유럽위원회가 발표한 새로운 표준 계약 조항(SCC)의 최종 버전에 대해 설명합니다. SCC는 유럽 외부에 개인 데이터를 전송하는 회사에 명확한 지침을 제공합니다.

Image placeholder

오늘 유럽위원회는 제3국으로의 개인 데이터 전송을 위한 새로운 표준 계약 조항(SCC)의 최종 버전을 발표했습니다. 새로운 SCC는 지난해 유럽사법재판소(CJEU)의 Schrems II 판결 이후 유럽 외부로 개인 데이터를 전송하는 회사에 꼭 필요한 명확한 기준을 제시합니다. Workday 고객에게 가장 중요한 점은, 새로운 SCC에 따라 기업들이 데이터 전송 시 추가 보호 조치의 필요 여부를 결정하는 과정에서 관련 요소로 공공기관으로부터의 데이터에 대한 과거 요청 여부를 고려할 수 있다는 것입니다. 이 접근 방식은 유럽 일반 개인정보 보호법(GDPR)의 규정 준수에 대한 위험 기반 접근 방식 및 CJEU의 Schrems II 판결 요건 모두에 부합합니다.

이 블로그에서는 새로운 SCC에 대한 간략한 설명과 Schrems II와 관련하여 SCC가 갖는 의미, 그리고 국경을 초월한 데이터 전송에 대한 일부 예측 의견에 대해 소개합니다. 

새로운 SCC가 채택된 이유

새로운 SCC와 함께 발표된 보도 자료에서 유럽위원회 가치 및 투명성 부문 부위원장인 Vera Jourova는 다음과 같이 설명했습니다.

"유럽에서는 보호 기능이 함께 작동한다면 개방 상태를 유지하고 데이터 흐름을 허용하고자 합니다. 최신 표준 계약 조항은 이러한 목적을 달성하는 데 도움이 될 것입니다. 이 계약 조항은 기업이 EU 내에서의 활동 및 국제적 전송, 두 경우 모두 데이터 보호법을 준수할 수 있도록 지원하는 유용한 도구를 제공합니다. 이는 쉽게 데이터 전송이 이루어지는 상호 연결된 디지털 세계에서 꼭 필요한 솔루션이죠."

SCC는 2004년(컨트롤러-컨트롤러 조항)과 2010년(컨트롤러-프로세서 조항)에 마지막으로 업데이트되었습니다. 그 이후, GDPR은 데이터 처리 계약에 포함되어야 하는 특정 요건을 도입했습니다. 새로운 SCC에는 데이터 전송 메커니즘에 GDPR에서 요구하는 사항이 포함되어 있습니다. 또한 새로운 SCC는 기업이 컨트롤러 및 프로세서 역할을 모두 수행하는 경우가 많은, 오늘날의 비즈니스 현실을 더 잘 반영합니다. 새로운 SCC는 모듈식 접근 방식으로 계약 프로세스를 간소화하며 프로세서-컨트롤러 전송 및 프로세서-프로세서 전송의, 두 가지 추가 전송 유형에 대해서도 규정하고 있습니다.

새로운 SCC와 Schrems II

Schrems II 판결에 따라, 미국과 같은 제3국으로 EU 개인 데이터를 전송하는 회사들은 전송되는 개인 데이터를 보호하는 데 필요한 보완 조치를 파악하기 위해 사례별 평가를 수행해야 합니다. 평가 시 데이터가 전송되는 국가의 정부 감시 관행 및 개인의 권리를 고려해야 합니다. 새로운 SCC는 이러한 요구사항을 반영합니다. 그리고 질문 및 이의 제기, 해당되는 경우 정부 데이터 액세스 요청에 대한 요구사항과 데이터 제공자에게 통지 등 구체적인 안전 조치도 포함하고 있습니다. Workday는 고객과 규제 기관이 이와 관련된 보장을 원한다는 것을 알고 있으며, 고객 서비스 및 무결성이라는 핵심 가치에 부합하게 고객을 위한 공식 투명성 리포트와 정부 접근 원칙을 발행합니다.

SCC와 새로 승인된 유럽 클라우드 행동강령

지난 5월 벨기에 데이터 보호국은 클라우드 서비스 제공자를 위한 EU 데이터 보호 행동강령("EU Cloud CoC")을 승인했다고 발표했습니다. 이 강령은 GDPR이 발효된 이후 최초의 초국가적 EU 행동강령입니다. EU Cloud CoC는 GDPR에 따른 규정 준수 메커니즘인 SCC를 보완하지만 데이터 전송 메커니즘으로 적용되지는 않습니다. 2019년 8월, Workday는 EU Cloud CoC 준수를 입증한 최초의 기업이 되었습니다.

다음 여정

Workday는 새로운 SCC를 철저히 검토하고 있으며, 기존 계약에 대한 필수 기간인 18개월 이내에 고객에게 이러한 계약상의 약정을 제공할 예정입니다. 또한 Workday는 이번 달 말에 유럽개인정보보호이사회가 데이터 전송에 대한 보완 조치와 관련해 최종 권고안을 곧 발표할 것으로 예상하고 있습니다. 뿐만 아니라 회사가 정부 당국으로부터 개인 데이터에 대한 공식적인 요청을 받았는지 여부도 고려할 수 있게 될 것이라 기대합니다. 과거 관행과 적극적 정부 방침을 모두 참고할 때, 엔터프라이즈 인적 자원, 재무 및 분석 데이터는 정부 당국의 주요 관심 분야에 해당하지 않습니다.

Workday는 여전히 프라이버시 실드의 후속 프레임워크에 대한 합의가 올해 이뤄질 것이라 낙관하고 있습니다. 한편, 프라이버시 실드 원칙에 따라 개인 데이터 처리에 대한 FTC 및 고객과의 약속을 지키기 위해 기존의 프라이버시 실드 인증을 갱신했습니다.

무엇보다 Workday는 미국과 EU 정부가 국가 간 데이터 전송을 위해 지속적으로 협력할 것이라 확신합니다. 두 정부의 지속적인 노력과 함께 업데이트된 표준 계약 조항이 국가 간 안전한 데이터 흐름을 지원할 것입니다.

더 보기