Skip to main content

Schrems II 결정은 Google Analytics가 GDPR을 준수하지 않는다는 것을 의미합니까?

EU와 미국의 많은 회사에서 2022년에는 관리해야 할 또 다른 위기가 추가되었습니다. Google Analytics가 GDPR을 준수하지 않는다고 선언한 Schrems II의 후속 조치입니다.

슈렘 II 란 무엇입니까?

데이터 보호 커미셔너 v Facebook Ireland 및 Maximillian Schrems(Schrems II라고도 함)는 2020년 7월 16일에 체결되었습니다. 간단히 말해서 유럽 사법 재판소의 결정은 개인 정보에 대한 보호 요구 사항을 명시한 계약인 EU-미국 프라이버시 실드를 무효화했습니다. 미국으로 보낸 EU 시민의 데이터.

이 사례는 EU의 개인 데이터가 미국의 Facebook 클라우드 서버로 전송되고 있다는 사실과 CLOUD 법에 따라 미국 해외 정보 감시(US Foreign Intelligence Surveillance)에 따라 미국 소유 및 운영 서버의 GDPR 준수 사용에 의문을 제기했습니다. 법 및 기타 공식 정책은 미국 정보 기관에서 액세스할 수 있습니다. 간단히 말해서, EU 시민의 개인 데이터는 미국 기업의 서버로 전송될 때 GDPR에 따라 적절하게 보호되지 않습니다.

오스트리아의 Schrems II 결정

Schrems II 결정 이후 Max Schrems가 설립한 비영리 단체인 noyb(European Center for Digital Rights)는 EU 시민의 데이터를 미국 기업으로 이전한 여러 기업을 상대로 101건의 불만을 제기했습니다. 그러한 불만 중 하나는 웹사이트 방문자를 추적하기 위해 Google Analytics를 사용하는 건강 웹사이트인 netdocktor.at에 대한 것이었습니다. 많은 회사와 마찬가지로 netdoktor는 유럽 사법 재판소의 결정에도 불구하고 Google Analytics를 계속 사용했습니다. Google 및 기타 미국 기반 회사(Amazon, Facebook, Microsoft 등)는 표준 계약 조항(SCC) 및 기술 및 조직 조치(TOM)에 의존하여 EU 파트너가 물리적 및 디지털 보호 조치( 데이터 센터 주변의 울타리, 데이터 암호화, 가명 데이터 등) 데이터를 보호하기에 충분했습니다.

그러나 netdoktor의 경우 오스트리아 데이터 보호 당국("Datenschutzbehörde" 또는 "DSB")은 이것으로 충분하지 않다고 결정했습니다. Google 웹로그 분석은 GDPR을 위반합니다.그들은 다음과 같이 설명합니다.

" 약술된 계약 및 조직적 조치와 관련하여 위의 고려 사항의 의미에서 [조치]가 어느 정도 효과적인지는 분명하지 않습니다."

" 기술적 조치에 관한 한, 미국 법을 고려하는 미국 정보 기관의 액세스를 실제로 어느 정도 방지하거나 제한할지 인식할 수 없습니다(...)."

이 결정에 따라 많은 전문가들은 이것이 시작에 불과하다고 생각합니다. 법원에 제출되기까지 많은 불만 사항이 기다리고 있으며 다른 EU 회원국에서도 유사한 결정이 내려질 것으로 예상됩니다.

DSB는 또한 결정에서 EU 데이터 수출자의 명시적 동의 없이 미국 정부에 대한 데이터 전송 규칙과 관련하여 Google을 추가로 조사할 것이라고 밝혔습니다.

이 사건에 대한 처벌은 아직 없지만 법원이 그렇게 결정하면 회사 글로벌 매출의 최대 4%가 부과될 수 있습니다.

Google Analytics 사용자에 대한 영향

우리는 변호사가 아니며 법률 자문을 제공할 수 없지만 미국 기반 회사에서 제공하는 서비스를 통해 EU 시민의 데이터를 처리하는 모든 회사가 위험에 처해 있는 것 같습니다. 웹 분석 측면에서 Google Analytics는 세계 1위이지만 주의해야 할 다른 요소도 많습니다. 회사가 어디에 설립되어 있고 데이터 센터가 어디에 있는지 항상 확인하십시오.

장기적으로 이것은 미국 정부와 미국 공급자가 현재 정책과 인프라를 크게 변경해야 함을 의미합니다. 즉, 외국 시민의 데이터를 보호하는 법안을 통과시키고 미국 외부에서 외국 데이터를 호스팅해야 합니다. 유럽연합 집행위원회는 EU-미국 프라이버시 실드의 대체품을 찾고 있지만 현재로서는 법적으로 나아갈 길이 없습니다. 협상이 진행 중이지만 여전히 미국 측의 법적 변경이 필요합니다. 그리고 현재의 정치적, 경제적 상황에 비추어 볼 때 이러한 일들은 가까운 장래에 불가능해 보입니다.

웹 분석 데이터의 미래

법원은 Google Analytics가 GDPR을 준수하지 않는다는 결론을 내렸고 Google은최근 성명에서 이를 부인했습니다. 문제는 기업이 안전한 저위험 웹 분석 데이터를 찾는 곳입니다. 첫 번째 단계는 IP 익명화를 사용하고 사용자 데이터를 저장하지 않고 GDPR, TTDSG, CCPA 및 방문자 분석과 같은 기타 데이터 개인 정보 보호법을 준수하는 EU에 기반을 둔 회사를 조사하는 것입니다!

독일어로 된 전체 DSB 결정은 여기에서 찾을 수 있습니다.