GDPR > 제48조. 유럽연합 법률로 승인되지 않은 정보의 이전 또는 제공

컨트롤러나 프로세서가 개인정보를 이전하거나 제공하도록 요구하는 제3국의 법원이나 재판소의 판결 또는 행정기관의 결정은, 본 장에 의거한 기타 이전의 근거를 침해하지 않고, 요구한 제3국과 유럽연합이나 회원국 간에 유효한 상호 법률지원 조약 등의 국제협정을 기반으로 하는 경우 어떠한 방식으로도 인정되거나 강제될 수 있다.

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 48 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions


The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).

