Navigation
GDPR > 제45조. 적정성 결정에 따른 이전
Download PDF

제45조 GDPR. 적정성 결정에 따른 이전

1. 제3국 또는 국제기구로의 개인정보 이전은 집행위원회가 제3국, 해당 제3국의 영토나 하나 이상의 지정 부문, 또는 국제기구가 적정한 보호수준을 보장한다고 결정한 경우 가능하다. 그러한 이전에는 어떤 특정한 승인이 요구되지 않는다.

Recitals

(103) 집행위원회는 제3국이나 제3국의 영토 혹은 지정된(specified) 분야, 혹은 국제기관에서 적절한 수준이 개인정보보호를 보장하고 있다는 유효한 결정을, 유럽전체를 대신하여 내릴 수 있다. 따라서 유럽연합 전체는 이러한 보호수준을 보장한다고 간주되는 제3국이나 국제기관에 대해 법적 확실성과 균등성(uniformity)을 보장받을 수 있다. 이 경우, 해당 제3국이나 국제기관으로의 개인정보 이전은 추가적인 승인을 받을 필요 없이 진행될 수 있다. 또한 해당 제3국이나 국제기관에 사유를 설명하는 통지 및 성명서 전체를 전달한 후, 이러한 결정을 철회할 수 있다.

2. 보호 수준의 적정성을 평가할 때 집행위원회는 다음의 요소를 특히 고려해야 한다.

Recitals

(104) 유럽연합 창설의 근거가 되는 인권보호 등의 기본적 가치에 따라, 집행위원회는, 제3국 또는 제3국의 영토나 규정된 분야에 대한 집행위원회의 평가에서, 해당 제3국이 법치주의, 국제인권 규범·기준 및 정의 구현, 그리고 공안·국방·국가안보 및 치안과 형법 등 자국의 전반적·분야별 법률을 준수하는지를 고려해야 한다. 제3국내의 영토나 지정된 분야에 대한 적정성 결정의 채택시에는 구체적인 정보처리 활동, 유효하고 적용 가능한 법적 기준 및 법률의 영역 등 해당 국가의 명확하고 객관적인 기준이 고려되어야 한다. 해당 제3국은 유럽연합 내에서 보장되는 수준에 상응하는 적정 수준의 개인정보 보호를 보장해야 한다. 이는 특히 개인정보가 하나 이상의 지정된 분야에서 처리될 경우 더욱 그러하다. 해당 제3국은 효과적이고 독립적인 개인정보보호 감독을 보장하고 회원국의 DPA와의 협력 메커니즘을 가능하게 해야 한다. 관련 정보주체는 효과적이고 행사 가능한 권리와 효과적인 행정적·사법적 구제방안을 제공받아야 한다.

(105) 제3국이나 국제기구가 체결한 국제협약과 별개로, 집행위원회는 해당 제3국이나 국제기구가 가입한 제도, 특히 개인정보 보호와 관련한 다자간·지역적 제도로부터 부여받은 의무 및 해당 의무의 이행을 고려해야 한다. 특히 1981년 1월 28일자 개인정보 자동처리 및 추가의정서에 대한 개인보호 유럽평의회 협약에 대한 제3국의 가입여부가 고려되어야 한다, 집행위원회는 제3국 또는 국제기구의 보호 수준을 평가 시, 각료이사회의 자문을 구해야 한다.

(a) 법치주의, 인권 및 기본적 자유의 존중, 공안, 국방, 국가보안 및 형법, 공공기관의 개인정보 이용을 다룬 전반적•분야별 관련 법률, 이 같은 법률, 개인정보 규칙, 전문성 규칙, 보안 조치의 시행(향후 기타 제3국 또는 국제기구로의 개인정보 이전을 위한 규칙도 포함하는 이 규칙은 해당 제3국 또는 국제기구에서 준수되는 것임), 사법적 판례, 유효하고 구속력 있는 정보주체의 권리, 개인정보를 침해당한 정보주체를 위한 유효한 행정적 및 사법적 구제책

(b) 정보주체의 권리 행사의 지원과 권고 및 회원국 감독기관들과의 협력 등 개인정보 보호 규정의 준수를 보장하고 강요할 의무가 있는, 제3국에 소재하거나 국제기구에 적용되는 하나 이상의 독립적 감독기관의 유무 및 해당 기관의 효과적인 작동 여부

(c) 특히 개인정보 보호와 관련하여, 제3국이나 국제기구가 체결한 국제 협정, 또는 법적 구속력 있는 조약이나 문서 및 다자간•지역적 기구에의 참여로 인해 주어진 기타 의무

3. 집행위원회는 보호 수준의 적정성 여부를 평가한 후 제3국, 해당 제3국의 영토나 하나 이상의 지정 부문, 또는 해당 국제기구가 본 조 2항의 의미 내에서 적정한 보호 수준을 보장하는지를 판단할 수 있다. 이행 법률은 최소한 4년마다의 정기적 검토를 위한 메커니즘을 규정해야 하고 검토에는 제3국이나 국제기구 내의 관련 추이사항 일체가 고려되어야 한다. 이행 법률은 영토 및 부문별 적용에 대한 규정을 명시하고, 적용이 가능한 경우 본 조 제2항 (b)호의 감독기관(들)에 대해 확인해야 한다. 이행 법률은 제93조(2)의 검토 절차에 따라 채택되어야 한다.

Related

4. 집행위원회는 본 조 제3항에 준하여 채택된 결정 및 지침 95/46/EC의 제25조(6)항을 근거로 채택된 결정의 작동에 영향을 미칠 수 있는 제3국 및 국제기구 내의 추이사항을 지속적으로 모니터링 해야 한다.

Recitals

(106) 집행위원회는 제3국, 제3국내의 영토나 지정된 분야, 또는 국제기구의 정보 보호수준에 대한 적정성 결정이 제대로 작동하는지 모니터링하고 지침 95/46/EC의 제25조(6) 또는 제26조(4)를 근거로 채택된 결정이 제대로 작동하는지 모니터링 해야 한다. 집행위원회는 적정성 결정이 제대로 작동하는지 정기적인 검토를 위한 메커니즘을 규정해야 한다. 정기적인 검토는 해당 제3국이나 국제기구와 협의하여 해당 제3국이나 국제기구 내의 모든 관련 추이를 참작하여 시행되어야 한다. 감시 및 정기적 검토 시행의 목적으로 집행위원회는 유럽의회와 각료이사회, 그리고 기타 관련 기구의 의견 및 조사결과를 참작해야 한다. 집행위원회는 적정한 시간 내에 후속적인 결정들의 작동을 평가하고 그 결과를 유럽의회·각료이사회 규정서 (EU) No 182/2011에 규정된 위원회(Committee) [12], 유럽의회, 그리고 각료이사회에 보고해야 한다.

[12] Regulation (EU) No 182/2011 of the European Parliament and of the Council of 16 February 2011 laying down the rules and general principles concerning mechanisms for control by Member States of the Commission's exercise of implementing powers (OJ L 55, 28.2.2011, p. 13). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:055:TOC

5. 집행위원회는 가용 정보를 통해, 특히 제3항에 명시된 검토 이후 제3국, 해당 제3국의 영토나 하나 이상의 지정 부문, 또는 국제기구가 제2항에서 의미하는 적정한 보호 수준을 더 이상 보장하지 않는다고 판단될 경우, 필요한 정도까지 소급효 없이 제3항의 결정을 철회, 수정, 또는 중지시킬 수 있다. 이행 법률은 제93조(2)의 검토 절차를 따라 채택되어야 한다.

Related

충분히 타당하고 긴요한 시급성의 근거가 있는 경우, 제93조(3)의 절차에 따라 집행위원회는 즉시 적용 가능한 이행 법률을 채택하여야 한다.

Related

6. 집행위원회는 제5항에 의거하여 내린 결정을 초래한 상황을 시정할 목적으로 제3국이나 국제기구와 협의해야 한다.

Recitals

(107) 집행위원회는 제3국, 제3국내의 영토나 지정된 부문, 또는 국제기구가 더 이상 적정한 수준의 개인정보보호를 보장하지 않는다는 것을 인지할 수 있다. 이 경우, 구속력 있는 기업규칙(binding corporate rules) 등 적절한 안전장치에 근거하거나, 구체적 상황에 따른 적용제외(derogations)가 필요한 경우일 때를 제외하고는 해당 제3국이나 국제기구로의 개인정보 이전은 금지되어야 한다. 이 경우, 집행위원회와 해당 제3국이나 국제기구 간의 협의를 준비해야 한다. 집행위원회는 시기적절하게 관련 제3국이나 국제기구에 사유를 통보하고 상황 해결을 위한 협의에 들어가야 한다.

7. 제5항에 의거한 결정은 제46조부터 제49조까지에 따른 해당의 제3국, 제3국의 영토나 하나 이상의 지정 부문, 또는 국제기구로의 개인정보 이전을 침해하지 않는다.

Related

8. 집행위원회는 적정한 보호 수준이 보장되거나 또는 더 이상 보장되지 않는다고 판단된 제3국, 제3국의 영토와 지정 부문, 및 국제기구 목록을 유럽연합 관보 및 웹사이트에 게재해야 한다.

9. 지침 95/46/EC의 제25조(6)를 근거로 집행위원회가 채택하는 결정은 본 조 제3항 또는 제5항에 따라 채택되는 집행위원회 결정으로 수정, 대체, 폐지될 때까지 유효해야 한다.

ISO 27701 Recitals Guidelines & Case Law Leave a comment
ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 45 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).

[…]


to read the full text

Recitals

(103) 집행위원회는 제3국이나 제3국의 영토 혹은 지정된(specified) 분야, 혹은 국제기관에서 적절한 수준이 개인정보보호를 보장하고 있다는 유효한 결정을, 유럽전체를 대신하여 내릴 수 있다. 따라서 유럽연합 전체는 이러한 보호수준을 보장한다고 간주되는 제3국이나 국제기관에 대해 법적 확실성과 균등성(uniformity)을 보장받을 수 있다. 이 경우, 해당 제3국이나 국제기관으로의 개인정보 이전은 추가적인 승인을 받을 필요 없이 진행될 수 있다. 또한 해당 제3국이나 국제기관에 사유를 설명하는 통지 및 성명서 전체를 전달한 후, 이러한 결정을 철회할 수 있다.

(104) 유럽연합 창설의 근거가 되는 인권보호 등의 기본적 가치에 따라, 집행위원회는, 제3국 또는 제3국의 영토나 규정된 분야에 대한 집행위원회의 평가에서, 해당 제3국이 법치주의, 국제인권 규범·기준 및 정의 구현, 그리고 공안·국방·국가안보 및 치안과 형법 등 자국의 전반적·분야별 법률을 준수하는지를 고려해야 한다. 제3국내의 영토나 지정된 분야에 대한 적정성 결정의 채택시에는 구체적인 정보처리 활동, 유효하고 적용 가능한 법적 기준 및 법률의 영역 등 해당 국가의 명확하고 객관적인 기준이 고려되어야 한다. 해당 제3국은 유럽연합 내에서 보장되는 수준에 상응하는 적정 수준의 개인정보 보호를 보장해야 한다. 이는 특히 개인정보가 하나 이상의 지정된 분야에서 처리될 경우 더욱 그러하다. 해당 제3국은 효과적이고 독립적인 개인정보보호 감독을 보장하고 회원국의 DPA와의 협력 메커니즘을 가능하게 해야 한다. 관련 정보주체는 효과적이고 행사 가능한 권리와 효과적인 행정적·사법적 구제방안을 제공받아야 한다.

(105) 제3국이나 국제기구가 체결한 국제협약과 별개로, 집행위원회는 해당 제3국이나 국제기구가 가입한 제도, 특히 개인정보 보호와 관련한 다자간·지역적 제도로부터 부여받은 의무 및 해당 의무의 이행을 고려해야 한다. 특히 1981년 1월 28일자 개인정보 자동처리 및 추가의정서에 대한 개인보호 유럽평의회 협약에 대한 제3국의 가입여부가 고려되어야 한다, 집행위원회는 제3국 또는 국제기구의 보호 수준을 평가 시, 각료이사회의 자문을 구해야 한다.

(106) 집행위원회는 제3국, 제3국내의 영토나 지정된 분야, 또는 국제기구의 정보 보호수준에 대한 적정성 결정이 제대로 작동하는지 모니터링하고 지침 95/46/EC의 제25조(6) 또는 제26조(4)를 근거로 채택된 결정이 제대로 작동하는지 모니터링 해야 한다. 집행위원회는 적정성 결정이 제대로 작동하는지 정기적인 검토를 위한 메커니즘을 규정해야 한다. 정기적인 검토는 해당 제3국이나 국제기구와 협의하여 해당 제3국이나 국제기구 내의 모든 관련 추이를 참작하여 시행되어야 한다. 감시 및 정기적 검토 시행의 목적으로 집행위원회는 유럽의회와 각료이사회, 그리고 기타 관련 기구의 의견 및 조사결과를 참작해야 한다. 집행위원회는 적정한 시간 내에 후속적인 결정들의 작동을 평가하고 그 결과를 유럽의회·각료이사회 규정서 (EU) No 182/2011에 규정된 위원회(Committee) [12], 유럽의회, 그리고 각료이사회에 보고해야 한다.

[12] Regulation (EU) No 182/2011 of the European Parliament and of the Council of 16 February 2011 laying down the rules and general principles concerning mechanisms for control by Member States of the Commission's exercise of implementing powers (OJ L 55, 28.2.2011, p. 13). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:055:TOC

(107) 집행위원회는 제3국, 제3국내의 영토나 지정된 부문, 또는 국제기구가 더 이상 적정한 수준의 개인정보보호를 보장하지 않는다는 것을 인지할 수 있다. 이 경우, 구속력 있는 기업규칙(binding corporate rules) 등 적절한 안전장치에 근거하거나, 구체적 상황에 따른 적용제외(derogations)가 필요한 경우일 때를 제외하고는 해당 제3국이나 국제기구로의 개인정보 이전은 금지되어야 한다. 이 경우, 집행위원회와 해당 제3국이나 국제기구 간의 협의를 준비해야 한다. 집행위원회는 시기적절하게 관련 제3국이나 국제기구에 사유를 통보하고 상황 해결을 위한 협의에 들어가야 한다.

Guidelines & Case Law Leave a comment
[js-disqus]