발표: Rahi가 Wesco에 인수되었습니다. CEO의 편지를 읽어보세요. 더 읽기

발표: Rahi가 Wesco에 인수되었습니다. CEO의 편지를 읽어보세요.

더 읽기

국경을 넘는 개인 데이터 전송 절차

소개

이 절차는 개인 데이터를 유럽 연합 이외의 국가 또는 국제 기구로 이전하기 위한 새로운 조치를 마련할 때 사용하기 위한 것입니다. 기존 약정이 일반 데이터 보호 규정(GDPR)의 요구 사항을 충족하는지 여부를 확인할 때도 사용할 수 있습니다.

국제 조직은 GDPR에 의해 다음과 같이 정의됩니다. "국제공법의 적용을 받는 조직 및 그 하위 기관, 또는 둘 이상의 국가 간의 합의에 따라 또는 이를 기반으로 설립된 기타 기관"(GDPR 4조).

GDPR의 의도는 보관되는 EU 시민의 개인 데이터를 보호하는 것입니다. 개인 데이터를 전송할 수 있는 위치와 전송과 같은 법적 조치를 취해야 하는 조치를 규율하는 엄격한 요구 사항이 있습니다. GDPR 위반에 대한 처벌은 상당하며 Rahi Systems는 항상 법을 준수하도록 주의를 기울여야 합니다.

이 절차는 다음 관련 문서와 함께 고려되어야 합니다.

 

    개인 데이터의 국제 이전 절차

    대상 국가 결정

    GDPR에 따라 개인 데이터 전송이 합법적인지 여부를 확인하려면 대상 국가와 약정의 일부로 개인 데이터를 계속 전송할 다른 국가를 확실히 설정해야 합니다.

    여기에는 개인 데이터를 수신하게 될 모든 국제 조직, 특히 해당 조직을 관리하는 계약의 일부인 국가의 법적 근거에 대한 명확한 이해에 도달하는 것도 포함될 수 있습니다.

    • 적절성 결정이 적용되는지 여부 설정

    개인 데이터의 목적지 국가 또는 국가에 대한 명확한 이해가 확립되면 적절성 결정이 적용되는 국가 및 국제 기구 목록을 참조해야 합니다. 이 목록은 유럽 ​​연합 공식 저널 및 유럽 위원회 웹사이트(ec.europa.eu).

    [참고: 현재 적합성 결정의 대상이 되는 국가 목록은 다음에서 찾을 수 있습니다. https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en 및 다음과 같습니다: 안도라, 아르헨티나, 캐나다(상업 조직), 페로 제도, 건지, 이스라엘, 맨 섬, 일본, 저지, 뉴질랜드, 스위스 및 우루과이]

    적절성 결정은 유럽 위원회가 해당 국가의 개인 데이터 보호 수준을 수용 가능한 것으로 간주하므로 전송 시 추가적인 법적 보호 장치를 마련할 필요가 없음을 의미합니다. 적절성 결정은 최소 XNUMX년마다 정기적으로 검토되며 EC가 해당 국가가 개인 데이터 보호 요구 사항을 충족한다고 더 이상 고려하지 않는 경우 취소될 수 있습니다.

    • 적절한 안전 장치 구현

    개인 데이터가 전송되는 국가 또는 하나 이상의 국가가 EC의 적절성 결정의 대상이 아닌 경우 데이터 주체의 권리와 집행 가능한 법적 구제책을 제공하기 위해 적절한 보호 장치를 마련해야 합니다.

    GDPR이 이러한 보호 장치를 제공하도록 허용하는 방법에는 여러 가지가 있습니다. 이것들은:

    • 집행할 수 있는 법적 구속력이 있는 계약을 통해서만 공공 기관 또는 기관 간에
    • 구속력 있는 회사 규칙 사용
    • 유럽 ​​위원회 또는 관련 감독 기관에서 채택한 표준 데이터 보호 조항 사용
    • 승인된 행동 강령을 통해
    • 인증 제도를 통해

    GDPR이 더욱 성숙해지고 유럽 집행위원회와 개별 감독 기관 모두에서 추가 지침이 발표됨에 따라 위의 보호 조치 중 일부의 상태는 시간이 지남에 따라 변경될 수 있습니다. 데이터가 전송될 데이터 주체의 권리를 보호하는 가장 적절한 방법을 선택하고 관련 계약의 계약 조항에 통합해야 합니다.

    2.3.1.         구속력 있는 기업 규칙

    전송과 관련된 감독 기관(일반적으로 데이터 컨트롤러의 국가)은 데이터 보호에서 개인 데이터 전송을 다루는 데 사용할 수 있는 구속력 있는 기업 규칙(BCR) 집합을 승인할 권한이 있습니다. 견해.

    이러한 구속력 있는 기업 규칙은 데이터 보호가 제공되는 방법, 데이터 주체가 자신의 권리를 행사하는 방법 및 규정 준수 여부를 확인하는 방법을 포함하여 전송의 모든 측면을 지정하기 위해 GDPR에 의해 요구됩니다. 전체 요구 사항은 제47조(“구속력 있는 기업규칙”) GDPR의 단락 2, 포인트 a) ~ n).

    BCR의 초기 생성 및 승인(감독 기관에 의한)은 Rahi Systems의 고위 경영진의 전적인 헌신으로 접근해야 하는 중요한 작업이며 달성하는 데 오랜 시간이 걸릴 수 있습니다. 데이터 전송과 관련하여 GDPR을 준수하기 위해 이 경로를 사용하려는 경우 고려 중인 전송에 적용될 수 있는 기존 BCR 세트가 있을 수 있으며 법률 부서의 조언을 구해야 합니다.

    2.3.2.         표준 데이터 보호 조항

    유럽연합 집행위원회와 각 개별 감독 기관은 개인 데이터 전송에 적용되는 계약에 사용하기 위한 일련의 모델 데이터 보호 조항을 만들고 유지할 수 있습니다. 이 조항을 전체적으로 사용하면 일반적으로 적절한 보호 장치를 제공하기 위해 GDPR의 요구 사항을 충족하는 것으로 간주됩니다.

    이 조항의 최신 버전을 얻으려면 관련 감독 기관의 웹사이트를 참조하십시오.

    2.3.3.         행동 강령

    GDPR의 기사 40 (“행동 강령”) GDPR 준수 문제를 해결하기 위해 협회 및 업계 기관과 같은 조직에서 적절한 행동 강령을 작성하도록 규정합니다. 그런 다음 조직은 행동 강령을 준수하는 데 동의하고 관련 협회에서 준수 여부를 모니터링합니다.

    그러한 행동 강령은 개인 데이터의 국제 전송을 다루는 데 사용될 수 있으며 Rahi Systems가 이미 그러한 강령에 서명했거나 등록할 수 있는지 여부를 적절한 보호 수단을 제공하기 위한 가능한 경로로 조사할 수 있습니다.

    2.3.4.         인증 제도

    승인된 체계에 대한 인증은 국제적으로 개인 데이터 전송을 보호하기 위한 적절한 보호 장치가 마련되어 있음을 입증하는 데 사용될 수도 있습니다. 이는 데이터의 발신자와 수신자 모두에게 적용되며 수신자의 국가에서 승인된 인증 체계를 사용할 수 있어야 합니다.

    • 개인 데이터 전송에 대한 기타 허용 조건

    적절성 결정이 목적지 국가에 적용되지 않고 위의 방법을 통해 적절한 보호 조치를 취할 수 없는 경우, 개인 데이터 전송은 다음과 같은 경우에만 국제적으로 이루어질 수 있습니다. 다음 상황 중 하나가 적용됩니다.

    • 데이터 주체는 위험에 대해 통보를 받은 후 이전에 명시적으로 동의합니다.
    • 데이터 주체에 대한 계약상의 약속을 충족하기 위해 전송이 필요하거나 데이터 주체가 계약 전에 전송을 요청하는 경우
    • 양도가 계약과 관련하여 정보 주체의 이익에 부합하는 경우
    • 공익상 중요한 이유(법률로 인정)
    • 양도는 법적 청구와 관련이 있습니다.
    • 정보주체의 중요한 이익이 이전에 의해 보호되거나 동의할 수 없는 경우
    • 양도는 공공 등록부에서 이루어집니다.

    이러한 각 조건의 세부 사항은 다음에서 직접 검토해야 합니다. GDPR 제49조("특정 상황에 대한 폄하") 전송을 기반으로 하기 전에.

    • 예외적인 이동

    이 절차에 명시된 조건 중 어느 것도 적용되지 않는 경우 개인 데이터의 국제 전송은 다음과 같은 경우에만 이루어질 수 있습니다. 모든 다음 조건 중 하나가 적용됩니다.

    • 전송이 반복되지 않습니다.
    • 제한된 수의 데이터 주체가 관련됩니다.
    • 정보주체의 이익에 우선하지 않는 설득력 있는 정당한 이익을 위한 것입니다.
    • 데이터 전송의 모든 상황이 평가되었습니다.
    • 평가에 따라 적절한 보호 장치가 제공됩니다.
    • 평가 및 보호 조치가 문서화됩니다.
    • 감독 기관에 이전 사실을 알립니다.
    • 데이터 주체는 데이터 전송 및 그 이유에 대해 알려줍니다.
    • 데이터 주체는 GDPR에 따른 자신의 권리에 대해 알립니다.

    인용하다 GDPR 49조("특정 상황에 대한 폄하") 단락 1 위 조건의 정확한 정의를 위해.

    • 전송 배치

    개인 데이터 전송의 법적 근거가 설정되고 승인되면 전송 메커니즘을 해결해야 합니다. 이는 관련된 데이터의 유형 및 양, 대상 및 사용된 기술과 같은 요인에 따라 달라집니다.

    이전 설정의 일부로 동의한 보호 장치가 준수되고 사용 증거가 향후 감사 목적을 위해 유지되도록 주의를 기울여야 합니다.

    수신국의 데이터 보호 수준이 아래에 명시된 데이터 보호 원칙과 최소한 동등하다는 것을 확인하기 위해 각 국제 데이터 전송 세트에 대해 사례별로 양심적인 평가를 수행해야 합니다. GDPR. 그러한 평가 결과 수령 국가의 개인 데이터 보호 수준이 GDPR 표준에 따라 적절하지 않은 것으로 나타나면 Rahi Systems는 그러한 국제 데이터 전송을 계속해서는 안 됩니다.

    유럽연합 집행위원회 및 관련 감독 기관의 웹사이트를 모니터링하여 이전의 합법성 또는 성과에 영향을 미치는 모든 변경 사항을 식별하고 조치를 취해야 합니다.