Navigation
GDPR > 제43조. 인증기관
Download PDF

제43조 GDPR. 인증기관

1. 제57조 및 제58조에 따라 권한을 가지는 감독기관의 업무와 권한을 침해하지 않고 개인정보 보호와 관련하여 적정 수준의 전문지식을 보유한 인증기관은 필요한 경우 감독기관이 제58조(2) (h)호에 따른 권한을 행사할 수 있도록 감독기관에 통지한 후 인증을 발급 및 갱신하여야 한다. 회원국은 그러한 인증기관이 다음 각 호의 하나 또는 모두에 의해 인증 받았음을 보장해야 한다.

Betragtning

(100) 이 법의 준수와 투명성을 강화하기 위해서, 인증 메커니즘, 개인정보보호 인장 및 마크의 수립이 권장되어야 하며, 정보주체는 이를 통해 관련 제품 및 서비스에 대한 개인정보보호의 수준을 빠르게 평가할 수 있다.

Sammenkædede tekster

(a) 제55조나 제56조에 따라 권한을 가지는 감독기관

Sammenkædede tekster

(b) EN-ISO/IEC 17065/2012 및 제55조나 제56조에 따라 권한을 가지는 감독기관이 정한 추가 요건에 부합하고 유럽의회 및 이사회 규정 (EC) 765/2008에 따라 명명된 국가 인증기관 [20].

Sammenkædede tekster

[20] Regulation (EC) No 765/2008 of the European Parliament and of the Council of 9 July 2008 setting out the requirements for accreditation and market surveillance relating to the marketing of products and repealing Regulation (EEC) No 339/93 (OJ L 218, 13.8.2008, p. 30). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2015:241:TOC

2. 제1항의 인증기관은 다음 각 호에 해당하는 경우에 한하여 제1항에 따라 인증 받을 수 있다.

(a) 인증 주제에 대해 감독기관이 만족할 정도의 독립성과 전문지식을 입증한 경우

(b) 제42조(5)에 규정되고 제55조 또는 제56조에 따라 권한을 가지는 감독기관 또는 제63조에 따라 유럽 데이터보호이사회가 승인한 기준을 준수하기로 약속한 경우

Sammenkædede tekster

(c) 개인정보 보호 인증, 인장 및 마크의 발행, 정기 심사 및 철회에 관한 절차를 수립한 경우

(d) 인증 위반 및 컨트롤러나 프로세서가 인증을 이행하였거나 이행하는 방식에 관한 민원을 처리하는 절차 및 구조를 수립하고, 그 절차와 구조를 정보주체와 일반에 투명하게 할 절차 및 구조를 수립한 경우

(e) 본인의 업무와 직무가 이해의 상충을 초래하지 않는다는 사실을 관할 감독기관이 만족할 정도로 입증한 경우

3. 제1항 및 제2항의 인증기관의 인증은 제55조 또는 제56조에 따라 권한을 가지는 감독기관 또는 제63조에 따라 유럽 데이터보호이사회가 승인한 기준을 근거로 이루어져야 한다. 본 조 제1항 (b)호에 따른 인증의 경우, 본 요건은 규정(EC) 765/2008에서 예상되는 요건과 해당 인증기관의 방법과 절차를 기술하는 기술 규칙을 보완해야 한다.

Sammenkædede tekster

4. 제1항의 인증기관은 컨트롤러나 프로세서가 본 규정을 준수해야 할 책임을 침해하지 않고 인증 또는 그러한 인증의 철회를 초래하는 적절한 평가에 대한 책임을 져야 한다. 인증은 최대 5년의 기간 동안 발급되며 해당 인증기관이 본 조에 규정된 요건을 충족하는 경우에 한해 동일한 조건으로 갱신될 수 있다.

5. 제1항에 규정된 인증기관은 감독기관에 요청된 인증의 승인 또는 철회의 사유를 제공해야 한다.

6. 감독기관은 쉽게 이용할 수 있는 양식으로 본 조 제3항의 요건과 제42조(5)항의 기준을 공개해야 한다. 아울러 감독기관은 유럽 데이터보호이사회에 해당 요건과 기준을 전송해야 한다. 유럽 데이터보호이사회는 인증 메커니즘과 개인정보 보호 인장 일체를 등록부에 취합하고 적절한 수단을 통해 이를 공개해야 한다.

Sammenkædede tekster

7. 인증 조건이 충족되지 않거나 더 이상 충족되지 않는 경우, 또는 인증기관이 취한 조치가 본 규정을 위반하는 경우, 관련 감독기관이나 국가 인증기관은 제VIII장의 규정을 침해하지 않고 제1항의 인증기관의 인증을 철회해야 한다.

8. 집행위원회는 제42조(1)항에 규정된 개인정보 보호 인증 메커니즘에 고려되어야 할 요건을 규정할 목적으로 제92조에 따라 위임 법률을 채택할 권한이 있다.

Sammenkædede tekster

9. 집행위원회는 인증 메커니즘과 개인정보 보호 인장과 마크에 대한 기술적 기준과 이러한 인증 메커니즘을 홍보하고 인정하는 메커니즘을 규정하는 이행 법률을 채택할 수 있다. 해당 이행 법률은 제93조(2)에 규정된 심사 절차에 따라 채택되어야 한다.

Sammenkædede tekster