본 FAQ 가이드는 (a) 정보 제공의 목적으로만 제공되며 법률적 조언 자료로 이용해서는 안 되며, (b) 변경될 수 있는 현재 Zendesk 제공사항 및 관행을 나타내며, (c) Zendesk 및 그 제휴사나 위탁처리업체로부터 어떠한 보증이나 약속을 하지 않습니다. 가입자에 대한 Zendesk의 책임 및 의무는 Zendesk 주요 서비스 계약(Main Services Agreement, MSA) 및 데이터 처리 계약(Data Processing Agreement, DPA)에 의해 제어되며 본 문서는 Zendesk와 가입자 간의 그 어떠한 계약의 일부도 아니며, 그러한 계약을 수정하지도 않습니다. 본 문서에서 사용되었지만 정의되지 않은 대문자 용어는 MSA 및 DPA에서 명시된 것과 동일한 의미를 가집니다.

Zendesk는 국제 전송이 Schrems II 판결 및 새로운 표준 계약 조항(Standard Contractual Clauses, SCC)에 비추어 볼 때 복잡한 영역임을 인정하며 본 FAQ가 Zendesk 서비스 사용과 관련된 유럽 데이터 보호 위원회의 권고사항에 대한 주요 질문에 답하는 데 도움이 되기를 바랍니다. 또한 이 주제에 대한 추가 질문이 있는 경우 euprivacy@zendesk.com으로 이메일을 보내 주시기 바랍니다.

1. GDPR은 국제 전송에 대해 어떻게 언급하고 있습니까?

GDPR의 적용을 받는 개인 데이터는 GDPR에서 정한 데이터 보호 수준이 훼손되지 않도록 승인된 메커니즘이 있는 경우에만 EEA 외부로 전송될 수 있습니다.

이는 조직이 반드시 EEA에 속하지 않은 국가로의 모든 개인 데이터 전송에 대해 먼저 알고 이를 맵핑해야 한다는 것을 의미합니다(EDPB 권고사항의 1단계).

2. Zendesk에서는 어떤 국제 전송 메커니즘을 사용합니까?

그런 다음 조직은 각 전송에 대해 어떤 전송 메커니즘을 사용하고 있는지 파악해야 합니다(EDPB 권고사항의 2단계). EEA 이외의 일부 국가(예: 영국)는 유럽 연합 데이터 보호 당국 결정의 혜택을 받습니다. 가능한 경우 이 메커니즘을 사용합니다.

Zendesk는 EEA에 속하지 않은 국가/적절한 수준의 데이터 보호를 제공하지 않는 국가에서 Zendesk 가입자와 Zendesk 하위 처리업체 간의 개인 데이터 국제 전송을 위한 메커니즘으로 SCC를 사용합니다. 이는 EEA 외부의 GDPR 표준에 따라 개인 데이터가 보호된다는 계약상의 보장을 제공합니다.

Zendesk는Schrems II 보호를 포함하는 구속력 있는 기업 규칙(Binding Corporate Rules, BCR)을 채택했습니다. 서로 다른 Zendesk 엔터티 간 국제 전송에 관한 내용은 여기 및 여기를 참조하시기 바랍니다. BCR은 엔터티 간의 국제 전송을 포함하여 회사 그룹 내 데이터 보호 사안을 관장하는 감독 기관 승인 정책입니다.

3. Schrems II사례가 SCC 및 BCR 사용에 어떤 영향을 미칩니까?

데이터 내보내기 주체는 데이터를 가져오는 국가들이 특히 정부 관찰에 관한 특정 데이터에 대해 본질적으로 동등한 보호를 EU에 제공하도록 보장해야 합니다(EDPB 권고사항의 3단계). 본질적으로 동등한 수준의 보호가 제공되지 않는 경우 전송을 진행하려면, 데이터 내보내기 주체가 데이터 보호 수준을 본질적으로 동등한 수준으로 가져오기 위한 “보완 대책”을 실행해야 합니다(EDPB 권고사항의 4단계).

Schrems II 판결은 데이터 현지화 또는 EU 전용 지원을 요구하지 않는다는 사실을 주지하십시오. 일부 회사들은 이를 선호 사항이나 기술적인 보완 대책으로 여길 수도 있지만 명백한 법적 요건은 아닙니다.

4. 새 SCC와 Schrems II는 어떤 관계가 있습니까?

새로운 SCC는 이전 버전이 이미 시대에 뒤떨어졌기 때문에 나온 것입니다. 하지만 Schrems II 결정이 새로운 SCC 개발에 대한 촉진제 역할을 했습니다. 새 SCC는 전송 영향 평가(Transfer Impact Assessment, TIA)를 수행하기 위한 Schrems II 요건을 성문화합니다. 또한 데이터 가져오기 주체는 정부의 액세스 요청을 받는 경우 특정 데이터 보호 조치를 취해야 합니다. 새로운 SCC는 이미 최근 Zendesk DPA의 일부입니다.

5. TIA는 무엇이고 이를 완료하려면 어떻게 해야 합니까?

TIA는 수입국에서 전송되는 특정 데이터에 대해 기본적으로 동등한 수준의 보호가 제공되는지 여부를 평가하는 방법입니다(EDPB 권고사항의 3단계 및 4단계). 여기에는 지방 정부 감시법이 EU의 감시 조치에 대한 필수 보증을 충족하는지 여부, 정부 감시의 모든 관련 실질적 증거(예: 이전에 가져오기 주체가 받은 정부 액세스 요청) 및 필요한 경우 본질적 동등성 수준에 도달하는 데 도움이 될 수 있는 보완 대책이 포함됩니다.

Zendesk 서비스에 사용할 TIA를 완료하는 데 도움이 되는 가이드를 마련했습니다. 이 가이드에는 Zendesk 또는 그 하위 처리업체가 가입자 데이터를 가져올 수도 있는 각 국가의 정부관찰법에 대한 자세한 내용이 수록되어 있습니다. Zendesk 영업 담당자에게 문의하여 이 가이드의 사본을 요청할 수 있습니다.

6. 정부 액세스 요청에 대한 Zendesk의 대처 방식은 무엇이며 과거에 그러한 요청을 받은 적이 있습니까?

위의 내용에 따라 TIA는 정부 액세스 요청에 응하는 데 있어 데이터 가져오기 주체의 프로세스가 무엇인지, 이전에 그러한 요청을 받은 적이 있는지, 그리고 실제로 그러한 요청에 대한 정보를 실제로 제공할 수 있는지 여부를 고려해야 합니다.

Zendesk는 정부 액세스 요청을 받는 경우 정부 데이터 요청 정책 및 새로운 SCC 제15조의 단계를 따릅니다. 여기에는 우선 당국에 데이터 컨트롤러에게 연락할 권한을 요청하고, 그렇지 않은 경우 요청의 유효성에 대해 신중한 법적 검토를 수행하는 것이 포함됩니다. 많은 기술 회사들과 마찬가지로 Zendesk는 종종 미국 및 다른 국가의 법 집행 기관으로부터 가입자를 대신하여 Zendesk가 보관하는 데이터에 대한 요청을 받습니다. Zendesk가 받은 그러한 요청에 대한 자세한 내용은 투명성 보고서에 나와 있습니다.

7. Schrems II에 비추어 볼 때 FISA 702에 대한 Zendesk의 접근 방식은 무엇입니까?

FISA 702는 국가 안보를 목적으로 특정 유형의 해외 정보 수집을 승인합니다. 해외정보감독법원이라는 특별 독립 연방 법원은 정보 수집이 FISA 법령 및 미국 헌법 특히 부당한 수색 및 압수에 대한 수정 헌법 4조에 따라 수행되는지 확인하기 위해 이를 감독합니다.

Zendesk는 미국법에 따라 델라웨어 주에서 설립 및 등록된 미국 기업입니다. Zendesk는 가입자에게 서비스를 제공할 때 전자 통신 프라이버시법(Electronic Communications Privacy Act, ECPA), Title 18 U.S.C.의 2711조에 정의된 원격 컴퓨팅 서비스(Remote Computing Service, RCS)입니다. ECPA는 법 집행 기관이 먼저 영장, 소환장 또는 법원 명령을 확보하지 않는 한 RCS 제공업체에 저장된 데이터에 액세스하는 것을 허용하지 않습니다. 원격 컴퓨팅 서비스 제공업체는 전자 커뮤니케이션을 저장하는 경우 해외정보감독법 702조(“FISA 702”)의 적용을 받을 수도 있습니다. 

TIA의 일환으로 상황에 따라 특히, Zendesk가 귀하를 대신하여 처리하는 데이터 유형으로 인해 Zendesk를 처리업체로 이용하는 해당 데이터에 실제로 FISA 702가 적용될 것이라고 믿을 이유가 없다고 먼저 결론을 내릴 수 있습니다. 이와 관련하여, Schrems II 이후 미국 정부는 다음과 같이 확신시켜 주었습니다. “대부분의 미국 회사는 미국 정보 기관이 관심을 가질 만한 데이터를 다루지 않으며, 그렇다고 믿을 근거도 없습니다. Schrems II에서 ECJ를 우려한 것으로 보이는 프라이버시에 위험을 나타내는 종류의 데이터 전송에 관여하지 않습니다.”

둘째, Zendesk의 투명성 보고서에 따르면 이러한 성격의 요청이 발생할 가능성이 매우 낮습니다. 이로써 Zendesk를 처리업체로 이용하는 해당 데이터에 실제로 FISA 702가 적용될 것이라고 믿을 이유가 없다고 결론을 내릴 수도 있습니다.

셋째, 귀하는 컨트롤러로서 데이터에 대한 무단 액세스가 있었는지 확인하기 위해 데이터와 관련된 로그를 확인할 권리가 있습니다(일반적으로 Zendesk 직원은 고객이 승인한 데이터에만 액세스할 수 있습니다). 따라서 이 보완 대책으로 가능한 모든 본질적 동등성 문제가 해결된다고 귀하를 안심시킬 수도 있습니다.

8. Schrems II에 비추어 볼 때 EO 12333에 대한 Zendesk의 접근 방식은 무엇입니까?

행정 명령(EO) 12333은 실제로 미국 정부가 해외 인텔리전스 정보를 수집하는 데 기업이 지원을 제공하도록 요구하는 권한을 부여하지 않으며, Zendesk는 자발적으로 그렇게 하지 않습니다. Zendesk는 대량 데이터를 요구하는 어떠한 명령도 받은 적이 없습니다. 데이터 가져오기 주체가 전송 중 데이터에 충분히 강력한 암호화를 사용하는 경우에는 일체의 EO 12333 위험을 해결해야 합니다. 이는 미국에 있는 그러한 회사의 서버에 데이터가 도달하기 전에 EO 12333이 데이터 가로채기에 관여하는 것으로 보이기 때문입니다. 암호화가 충분히 강력하다면 가로챈 데이터는 읽을 수 없는 상태로 유지됩니다.

Zendesk UI 및 API를 통한 모든 커뮤니케이션이 공용 네트워크상에서 업계 표준인 HTTPS/TLS(TLS 1.2 이상)를 통해 암호화되므로 Zendesk는 이와 관련하여 적당한 암호화를 제공합니다. AWS에 저장된 서비스 데이터는 AES 256 키 암호화 기술을 사용하여 암호화됩니다. 또한 Zendesk는 정부 기관이 보안 조치를 우회하여 서비스 데이터에 액세스할 수 있도록 하는 어떠한 백도어도 구축하지 않았습니다. 따라서 이는 Zendesk가 EO 12333에 의거해 생성된 일체의 본질적 동등성 위험을 충분히 해결하는 보완 대책을 구현했음을 의미합니다.

9. Zendesk가 데이터를 처리하는 다른 국가의 관찰법하에 데이터가 적절히 보호될 것이라고 어떻게 확신할 수 있습니까?

위에서 언급된 바와 같이 Zendesk는 TIA 가이드에 관련 현지법을 요약해 두었습니다. 해당하는 국가의 법률 중 일부를 귀하의 데이터에 대해 EU에서와 본질적으로 동등한 수준의 보호를 제공하는 것으로 평가할 수도 있습니다. 그러한 경우에는 해당 국가에 대한 추가 조치가 필요하지 않습니다.

이러한 국가의 법률 중 어느 것이든 귀하의 데이터에 본질적으로 동등한 보호를 제공하지 않는다고 평가하는 경우에는 상황(예: 데이터 유형)에 따라 법률이 실제로 귀하의 데이터에 적용될 것이라고 믿을 이유가 아직 없는 것으로 판단할 수 있습니다. Zendesk가 시행 중인 보완 대책(예: 정부 액세스 정책 및 강화된 보안 조치)으로 모든 본질적 동등성 문제가 적절하게 해결되고 있다고 생각할 수도 있습니다.

10. Zendesk는 Schrems II에 대응하여 기타 어떤 조치를 취하고 있습니까?

Zendesk는 일부 가입자들이 끊임없이 진화하는 프라이버시 환경에서 훨씬 더 높은 수준의 규정 준수를 제공하는 솔루션에 관심이 있다는 사실을 인지하고 있습니다. 이를 염두에 두고 고급 암호화 솔루션은 물론 더욱 심도 있는 데이터 현지화 제품을 구축하기 위해 최선을 다하고 있습니다.

고급 암호화에 노력을 집중하는 것 외에도 데이터 보존 정책 구현, 상담사 액세스에 대한 향상된 가시성, 세분화된 권한 및 Zendesk 인스턴스 내에서 데이터 최소화를 지원하는 추가 도구를 고려한 더 많은 개인정보 보호 및 규정 준수 기능을 구축하는 데 투자하고 있습니다.

Zendesk는 이러한 프로젝트를 위해 최선을 다해 노력하고 있으며 곧 업데이트를 제공할 예정입니다. 하지만 그러한 사항, Schrems II 규정 준수, 또는 일체의 일반 데이터 보호 문제와 관련하여 논의하고 싶은 사항이 있으면 Zendesk 영업 담당자나 euprivacy@zendesk.com으로 문의하시기 바랍니다.