Navigation
GDPR > 제40조. 행동강령
Download PDF

제40조 GDPR. 행동강령

1. 회원국, 감독기관, 유럽 데이터보호이사회, 집행위원회는 다양한 처리 부문의 명확한 특징과 영세 및 중소기업의 특정 요구를 고려하여 본 규정을 적절히 적용하기 위한 취지의 행동강령을 입안하도록 장려한다.

2. 컨트롤러나 프로세서의 각 범주를 대표하는 협회(associations) 또는 기타 기관은 다음 각 호와 관련하여 본 규정의 적용을 구체화할 목적으로 행동강령을 제정하거나 해당 강령을 수정 또는 확대할 수 있다.

Betragtning

(89) 지침 95/46/EC에서는 감독기관에 개인정보처리를 통지하라는 일반적인 의무조건을 규정하고 있었다. 이러한 의무는 행정적, 재정적 부담을 주는 반면, 항상 개인정보보호 개선에 도움이 된 것은 아니었다. 따라서 이러한 무차별적인 일반적인 통지의 의무는 철폐되어야 하며, 대신 처리 작업의 성격·범위·상황·목적에 따라 개인의 권리와 자유에 고위험을 초래할 가능성이 있는 처리작업 유형을 중점적으로 통지하는, 효과적인 절차와 메커니즘으로 대체되어야 한다. 여기에 해당되는 처리작업의 유형은 신기술을 사용하는 경우나 새로운 종류의 처리인 경우, 컨트롤러가 이전에 개인정보 영향평가를 시행한 적이 없는 경우나 혹은 최초의 처리 이후 시간이 흘러 개인정보 영향평가가 필요하게 된 경우가 포함된다.

(90) 이러한 경우, 고위험의 가능성 및 강도를 평가하기 위해 처리의 성격·범위·상황·목적 그리고 위험요소의 출처를 고려하여, 처리 이전에 개인정보보호 영향평가가 컨트롤러에 의해 수행될 수 있어야 한다. 이러한 개인정보보호영향평가는 해당 위험을 완화하고 개인정보를 보호하며, 본 규정의 준수여부를 입증하기 위한 조치, 안전장치 및 메커니즘을 특히 포함해야 한다.

(a) 공정하고 투명한 처리

(b) 특정 상황에서의 컨트롤러의 정당한 이익

(c) 개인정보의 수집

(d) 개인정보의 가명처리

(e) 일반 및 정보주체에게 제공되는 정보

(f) 정보주체의 권리 행사

(g) 아동에게 제공되는 정보 및 아동의 보호, 아동에 대한 친권을 보유한 자의 동의를 획득하는 방식

(h) 제24조 및 제25조에 규정된 조치 및 절차, 제32조에 규정된 처리의 안전을 보장하기 위한 조치

Sammenkædede tekster

(i) 감독기관 및 정보주체에게 개인정보 침해에 대해 통지

(j) 제3국이나 국제기구로 개인정보 이전

(k) 제77조 및 제79조에 따른 정보주체의 권리를 침해하지 않고, 처리와 관련하여 컨트롤러와 정보주체 간의 분쟁을 해결하기 위한 재판 외 절차 및 기타 분쟁해결 절차

Sammenkædede tekster

3. 본 규정을 적용 받는 컨트롤러 또는 프로세서의 규정 준수와 더불어, 제3조에 따라 본 규정을 적용 받지 않는 컨트롤러 또는 프로세서는 제46조(2) (e)호의 조건에 따라 제3국 또는 국제기구로의 개인정보 이전에 대한 프레임워크 안에서 적정한 안전조치를 제공하기 위해 본 조 제5항에 따라 승인된 행동강령과 본 조 제9항에 따라 일반적인 효력을 가지는 행동강령을 준수할 수 있다. 해당 컨트롤러 또는 프로세서는 계약 증서 또는 기타의 법적 구속력이 있는 장치를 통해, 정보주체의 권리에 관해서 등 상기의 적정한 안전조치를 적용하기 위해 구속력 있고 강제할 수 있는 약속을 해야 한다.

Sammenkædede tekster

4. 본 조 제2항의 행동강령은 제41조(1)에 규정된 기관이 제55조와 제56조에 따른 감독기관의 업무와 권한을 침해하지 않고, 행동강령을 적용하기로 약속한 컨트롤러와 프로세서가 해당 조문을 준수하는 것을 의무적으로 모니터링 할 수 있도록 하는 메커니즘을 포함해야 한다.

Sammenkædede tekster

5. 행동강령을 작성하거나 기존 강령을 개정 또는 확대할 의도인 본 조 제2항의 협회 또는 기타 기관은 제55조에 따른 권한을 가지는 감독기관에 강령 초안이나 개정 또는 확대 강령을 제출해야 한다. 감독기관은 강령 초안이나 개정 또는 확대 강령이 본 규정에 부합하는지 여부에 대한 의견을 제시하고 적정한 안전조치를 제공한다고 판단되는 경우, 해당 초안이나 개정 또는 확대 강령을 승인해야 한다.

6. 강령 초안이나 개정 또는 확대 강령이 제5항에 따라 승인되는 경우, 또한 해당 행동 강령이 복수 회원국에서의 처리 활동과 관련되지 않을 경우, 감독기관은 그 강령을 등록 및 공개해야 한다.

7. 행동강령 초안이 복수 회원국에서의 처리 활동에 관련될 경우, 제55조에 따른 권한을 가지는 감독기관은 강령 초안이나 개정 또는 확대 강령을 승인하기 전에 제63조에 규정된 절차에 따라 유럽 데이터보호이사회에 이를 제출해야 하며, 이사회는 강령 초안이나 개정 또는 확대 강령이 본 규정을 준수하는지 여부, 또는 제3항에 규정된 상황에서, 적정한 안전조치를 제공하는지 여부에 대한 의견을 제시해야 한다.

Sammenkædede tekster

8. 제7항에 명시된 의견이 해당 강령 초안이나 개정 또는 확대 강령이 본 규정을 준수한다고 확정하거나 제3항에 규정된 상황에서 적정한 안전조치를 제공한다고 확정하는 경우, 유럽 데이터보호이사회는 본 의견을 집행위원회에 제출해야 한다.

9. 집행위원회는 이행 법률을 통해 제8항에 따라 제출된 승인된 행동강령이나 개정 또는 확대 강령이 유럽연합 내 일반적인 효력을 가진다고 결정할 수 있다. 그 이행 법률은 제93조(2)에 규정된 심사 절차에 따라 채택되어야 한다.

Sammenkædede tekster

10. 집행위원회는 제9항에 따라 일반적 효력을 가진다고 결정이 내려진 승인된 강령이 적절히 홍보되도록 해야 한다.

11. 유럽 데이터보호이사회는 승인된 행동강령과 개정 또는 확대된 강령 일체를 등록부에 취합하고 적절한 수단을 통해 이를 공개해야 한다.

ISO 27701 Betragtning Retningslinjer & Case Law Efterlad en kommentar
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 40 GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

(EN) […]


to read the full text

Betragtning

(98) 컨트롤러 또는 프로세서의 범위를 대표하는 협회나 기타 기구는 이 법에서 정한 제한선에 따라 행동강령을 정하도록 권장되며, 이를 통해 특정분야에서 수행되는 처리의 구체적인 특성과 영세 및 중소기업의 구체적인 니즈(needs)를 고려하여 이 규정을 효과적으로 적용할 수 있게 된다. 특히, 이러한 행동강령은 처리가 개인의 권리와 자유에 초래할 수 있는 위험을 고려하여, 컨트롤러와 프로세서의 의무를 계산할 수 있다.

(99) 행동강령을 정할 때 또는 이러한 강령의 범위를 변경하거나 확대할 때, 컨트롤러 또는 프로세서의 범위를 대표하는 협회 또는 기타 기구들은, 가능한 경우 정보주체를 포함한 관련 이해관계자와 상의해야하며, 해당 자문에 대한 제출자료 및 견해를 참작해야 한다.

Retningslinjer & Case Law Efterlad en kommentar
[js-disqus]