(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraphs to article 30(1)(e) GDPR:
7.5.1 Identify basis for PII transfer between jurisdictions
The organization should identify and document the relevant basis for transfers of PII between jurisdictions.
Implementation guidance
PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).
(EN) 8.4.2 Return, transfer or disposal of PII
The organization should provide the ability to return, transfer and/or disposal of PII in a secure manner. It should also make its policy available to the customer.
Implementation guidance
At some point in time, PII can need to be disposed of in some manner.
2. 각 프로세서, 그리고 해당하는 경우 관련 프로세서의 대리인은 컨트롤러를 대신하여 수행하는 전 범주의 처리활동에 대한 기록을 보존해야 하며, 해당 기록은 다음 각 호의 정보를 포함해야 한다.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraph to article 30(2)(c) GDPR:
8.5.2 Countries and international organizations to which PII can be transferred
The organization should specify and document the countries and international organizations to which PII can possibly be transferred.
Implementation guidance
The identities of the countries and international organizations to which PII can possibly be transferred in normal operations should be made available to customers.
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 15.1.2.
Here is the relevant paragraph to article 30(2)(d) GDPR: Addressing security within supplier agreements
Implementation guidance
The organization should specify in agreements with suppliers whether PII is processed and the minimum technical and organizational measures that the supplier needs to meet in order for the organization to meet its information security and PII protection obligations (see 7.2.6 and 8.2.1).
5. 제1항 및 제2항에 규정된 의무는 직원 250인 미만의 기업이나 조직에는 적용되지 않는다. 단, 해당 기업이 수행하는 처리가 정보주체의 권리와 자유에 위험을 초래할 것으로 예상되거나, 간헐적이지 않거나, 제9조(1)에 규정된 특정 범주의 개인정보를 포함하거나, 제10조에 규정된 범죄경력 및 범죄행위에 관련된 개인정보를 다루는 경우는 예외로 한다.
Article 29 Working Party, Position Paper on the Derogations from the Obligation to Maintain Records of Processing Activities pursuant to Article 30(5) GDPR (2018).
Source: http://www.pipc.go.kr/cmt/not/ntc/selectBoardArticle.do?nttId=5969&bbsId=BBSMSTR_000000000121&bbsTyCode=BBST03&bbsAttrbCode=BBSA03&authFlag=Y&pageIndex=6
(EN) Article 30 is pretty straightforward and gives us very direct instructions on what document has to be created and what information has to be in it. Often it is enough to create a spreadsheet or a simple Excel table if the number of your processing activities is not so high, but if it doesn’t scale well, there are also specialised software solutions for Register of Processing Activities.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 30 GDPR:
7.2.8 Records related to processing PII
The organization should determine and securely maintain the necessary records in support of its obligations for the processing of PII.
Implementation guidance
A way to maintain records of the processing of PII is to have an inventory or list of the PII processing activities that the organization performs. Such an inventory can include:
(13) 유럽연합 내에서 개인의 보호수준을 일관적으로 보장하고 역내 시장에서 개인정보의 자유로운 이동을 저해하는 회원국 간 차이를 방지하기 위하여, 본 규정은 영세, 중소기업 등 경제인에게 법적 확실성 및 투명성을 제공하고, 회원국의 개인에게는 동일한 수준의 법적으로 집행 가능한 권리를 제공하며, 컨트롤러와 프로세서에게는 의무와 책임을 부여하여 여러 회원국의 감독기관 간 효율적인 협력을 비롯하여 모든 회원국에서 개인정보 처리에 대한 일관적인 모니터링 및 동등한 제재를 보장하여야 한다. 역내시장이 적절하게 작동하기 위해서는 개인정보 처리와 관련한 개인의 보호와 연관된 이유로 유럽연합 내 개인정보의 자유로운 이동이 제한되거나 금지되지 않아야 한다. 영세 및 중소기업의 특정 상황을 고려하여, 본 규정은 기록보존과 관련된 250명 미만의 기관에 대한 적용의 일부제외를 두고 있다. 또한 유럽연합 산하기관 및 기구, 그리고 회원국 및 그 감독기관은 본 규정을 적용할 때 영세 및 중소기업의 특정한 니즈(needs)를 고려하도록 장려된다. 영세 및 중소기업의 개념은 위원회 권고 2003/361/EC에 대한 부록 제2조에 따라야 한다 [5].
[5] Commission Recommendation of 6 May 2003 concerning the definition of micro, small and medium-sized enterprises (C(2003) 1422) (OJ L 124, 20.5.2003, p. 36). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2003:124:TOC
(39) 모든 개인정보의 처리는 합법적이고 공정해야 한다. 본인과 관련된 개인정보가 수집, 이용, 참조되거나 기타 방식으로 처리된다는 사실, 그리고 그 개인정보가 처리되거나 처리될 범위를 해당 개인에게 투명하게 알려야 한다. 이러한 투명성 원칙은 개인정보 처리와 관련하여 행하는 정보 제공(information) 및 의사소통(communication) 일체가 용이하고 이해하기 쉬우며 명확하고 평이한 언어로 행해지도록 요구한다. 투명성 원칙은 정보주체에게 제공되는 컨트롤러의 신원과 처리 목적에 대한 정보 및 해당 개인에 대한 공정하고 투명한 처리를 보장하기 위한 추가 정보, 그리고 본인에 관해 처리 중인 개인정보를 확인하고 전달받을 수 있는 개인의 권리에 관련된다. 개인은 개인정보 처리와 관련한 위험성, 규칙, 안전징치와 권리 및 그 권리를 행사하는 방식에 대해서 인지할 수 있어야 한다. 특히 개인정보가 처리되는 특정한 목적은 명백하고 적법하여야 하고, 해당 개인정보의 수집 당시에 결정되어야 한다. 개인정보는 처리 목적에 적합하고, 관련되며 그에 필요한 정도로 제한되어야 한다. 이는 특히 개인정보의 보관기관이 최소한으로 제한되도록 요구한다. 개인정보는 처리 목적이 여타 수단에 의해서는 합리적으로 성취될 수 없는 경우에 한하여 처리 될 수 있다. 컨트롤러는 개인정보가 필요 이상으로 보관되지 않도록 기간을 정해 삭제 또는 주기적 검토가 이루어지도록 해야 한다. 모든 적정 조치를 취해 부정확한 개인정보가 수정 또는 삭제되도록 해야 한다. 개인정보는 개인정보 및 그 처리에 사용되는 장비에 무단으로 접근하거나 사용하는 것을 방지하는 등 적절한 안정과 기밀성을 보장하는 방식으로 처리되어야 한다.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 30(1)(d) GDPR:
7.5.4 Records of PII disclosure to third parties
The organization should record disclosures of PII to third parties, including what PII has been disclosed, to whom and at what time.
Implementation guidance
PII can be disclosed during the course of normal operations.
