항해
GDPR > 제28조. 프로세서
다운로드 PDF

제28조 GDPR. 프로세서

Article 28 GDPR. Processor

1. 컨트롤러를 대신하여 처리가 이루어지는 경우, 컨트롤러는 적절한 기술 및 관리적 조치 이행을 통해 그 처리가 본 규정의 요건을 충족시키고, 정보주체의 권리를 보호하도록 충분한 보증을 제공하는 프로세서만 이용해야 한다.

1. Where processing is to be carried out on behalf of a controller, the controller shall use only processors providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that processing will meet the requirements of this Regulation and ensure the protection of the rights of the data subject.

2. 프로세서는 사전의 특정한 또는 일반적인 컨트롤러의 서면 승인 없이 타 프로세서를 고용할 수 없다. 일반적인 서면 승인의 경우, 프로세서는 컨트롤러에게 타 프로세서의 추가 또는 대체와 관련한 예정된 변경에 대해 고지하여, 컨트롤러가 이러한 변경에 반대할 기회를 제공해야 한다.

2. The processor shall not engage another processor without prior specific or general written authorisation of the controller. In the case of general written authorisation, the processor shall inform the controller of any intended changes concerning the addition or replacement of other processors, thereby giving the controller the opportunity to object to such changes.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraphs to article 28(2) GDPR:

8.5.6 Disclosure of subcontractors used to process PII

Control

The organization should disclose any use of subcontractors to process PII to the customer before use.

Implementation guidance

Provisions for the use of subcontractors to process PII should be included in the customer contract.


전체 텍스트에 액세스하려면

3. 프로세서의 처리는 컨트롤러와 관련하여 프로세서에게 구속력을 가지고, 처리의 주제와 지속기간, 처리의 성격과 목적, 개인정보의 유형과 정보주체의 범주, 컨트롤러의 의무와 권리를 규정하는 유럽연합 또는 회원국 법률에 따른 계약이나 기타 법률의 규제를 받는다. 그 계약 또는 기타 법률은 프로세서에 대하여 특히 다음 각 호와 같이 규정해야 한다.

3. Processing by a processor shall be governed by a contract or other legal act under Union or Member State law, that is binding on the processor with regard to the controller and that sets out the subject-matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects and the obligations and rights of the controller. That contract or other legal act shall stipulate, in particular, that the processor:

(a) 프로세서는 컨트롤러의 서면 지시에 한하여 개인정보를 처리하며, 여기에는 제3국 또는 국제기구로의 개인정보 이전이 포함되며, 유럽연합 또는 프로세서에 적용되는 회원국 법률이 요구하는 경우는 제외한다. 이 경우, 프로세서는 처리 이전에 해당 법률요건을 컨트롤러에게 고지해야 하며, 해당 법률이 공익상의 중요한 이유로 그러한 통지를 금지하는 경우는 예외로 한다. 제3국 또는 국제기구로의 개인정보 이전에 관해서 등 컨트롤러의 문서화된 지시에 한하여 개인정보를 처리하나, 프로세서에게 적용되는 유럽연합 또는 회원국 법률로 요구되는 경우는 제외한다.

(a) processes the personal data only on documented instructions from the controller, including with regard to transfers of personal data to a third country or an international organisation, unless required to do so by Union or Member State law to which the processor is subject; in such a case, the processor shall inform the controller of that legal requirement before processing, unless that law prohibits such information on important grounds of public interest;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(3)(a) GDPR:

8.2.2 Organization’s purposes

Control

The organization should ensure that PII processed on behalf of a customer are only processed for the purposes expressed in the documented instructions of the customer.

Implementation guidance

The contract between the organization and the customer should include, but not be limited to, the objective and time frame to be achieved by the service.


전체 텍스트에 액세스하려면

(b) 프로세서는 개인정보를 처리하도록 승인 받은 개인이 기밀유지를 약속하도록 보장하거나 적절한 법정 기밀유지의 의무를 적용 받도록 한다.

(b) ensures that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 13.2.4.

Here is the relevant paragraph to article 28(3)(b) GDPR:

6.10.2.4 Confidentiality or non-disclosure agreements

Implementation guidance

The organization should ensure that individuals operating under its control with access to PII are subject to a confidentiality obligation. The confidentiality agreement, whether part of a contract or separate, should specify the length of time the obligations should be adhered to.


전체 텍스트에 액세스하려면

(c) 제32조에 따라 요구되는 모든 조치를 취한다.

(c) takes all measures required pursuant to Article 32;

관련 교과서

(d) 타 프로세서와 협력하기 위해서 제2항 및 제4항에 규정된 조건을 준수한다.

(d) respects the conditions referred to in paragraphs 2 and 4 for engaging another processor;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(3)(d) GDPR:

8.5.7 Engagement of a subcontractor to process PII

Control

The organization should only engage a subcontractor to process PII according to the customer contract.

Implementation guidance

Where the organization subcontracts some or all of the processing of that PII to another organization, a written authorization from the customer is required prior to the PII processed by the subcontractor. This can be in the form of appropriate clauses in the customer contract, or can be a specific “one-off” agreement.

 


전체 텍스트에 액세스하려면

(e) 해당 처리의 성격을 참작하여, 제III장에 규정된 정보주체의 권리행사의 요청에 대응해야 하는 컨트롤러의 의무 이행을 위해, 가능한 경우, 적절한 기술적 및 관리적 조치를 통해 컨트롤러를 지원한다.

(e) taking into account the nature of the processing, assists the controller by appropriate technical and organisational measures, insofar as this is possible, for the fulfilment of the controller’s obligation to respond to requests for exercising the data subject’s rights laid down in Chapter III;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(3)(e) GDPR:

8.3.1 Obligations to PII principals

Control

The organization should provide the customer with the means to comply with its obligations related to PII principals.

Implementation guidance

A PII controller’s obligations can be defined by legislation, by regulation and/or by contract. These obligations can include matters where the customer uses the services of the organization for implementation of these obligations.


전체 텍스트에 액세스하려면

(f) 처리의 성격과 프로세서에게 가용한 정보를 참작하여, 컨트롤러가 제32조에서 제36조에 따른 의무를 준수할 수 있도록 지원한다.

(f) assists the controller in ensuring compliance with the obligations pursuant to Articles 32 to 36 taking into account the nature of processing and the information available to the processor;

관련 교과서

(g) 컨트롤러의 선택에 따라, 처리와 관련된 서비스의 공급이 종료된 후, 유럽연합 또는 회원국 법률이 해당 개인정보의 보관을 요구하는 경우가 아니라면 모든 관련 개인정보를 삭제하거나 컨트롤러에게 반환하며, 기존의 사본을 삭제한다.

(g) at the choice of the controller, deletes or returns all the personal data to the controller after the end of the provision of services relating to processing, and deletes existing copies unless Union or Member State law requires storage of the personal data;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(3)(g) GDPR:

8.4.2 Return, transfer or disposal of PII

Control

The organization should provide the ability to return, transfer and/or disposal of PII in a secure manner. It should also make its policy available to the customer.

Implementation guidance

At some point in time, PII can need to be disposed of in some manner. This can involve returning the PII to the customer, transferring it to another organization or to a PII controller (e.g. as a result of a merger), deleting or otherwise destroying it, de-identifying it or archiving it.


전체 텍스트에 액세스하려면

(h) 본 조에 규정된 의무의 준수를 입증하는데 필요한 일체의 정보를 컨트롤러에게 제공하고 점검 등의 컨트롤러 또는 컨트롤러가 위임한 타 감사자가 수행하는 감사를 허용하고 이에 기여한다.

(h) makes available to the controller all information necessary to demonstrate compliance with the obligations laid down in this Article and allow for and contribute to audits, including inspections, conducted by the controller or another auditor mandated by the controller.

ISO 27701

(h)호와 관련하여, 프로세서는 어떠한 지시가 본 규정 또는 기타 유럽연합 또는 회원국의 개인정보 보호 조문을 위반한다고 판단되는 경우 즉시 컨트롤러에게 이에 대해 통지해야 한다.

With regard to point (h) of the first subparagraph, the processor shall immediately inform the controller if, in its opinion, an instruction infringes this Regulation or other Union or Member State data protection provisions.

4. 프로세서가 컨트롤러를 대신하여 특정 처리 활동을 수행하기 위해 타 프로세서와 함께 일하는 경우, 제3항에 규정된 컨트롤러와 프로세서 간의 계약 또는 기타 법률에 명시된 동일한 개인정보 보호의 의무는 유럽연합 또는 회원국 법률에 따른 계약이나 기타 법률의 방식으로 관련 타 프로세서에게 부과되어야 하며, 특히 해당 처리가 본 규정의 요건을 충족시키는 방식으로 적절한 기술적 및 관리적 조치를 이행하는 것에 대해 충분한 보증을 제공해야 한다. 해당 타 프로세서가 본인의 개인정보 보호의 의무를 이행하지 않을 경우, 최초의 프로세서는 그 프로세서의 의무 이행에 대해 컨트롤러에게 전적인 책임을 져야 한다.

4. Where a processor engages another processor for carrying out specific processing activities on behalf of the controller, the same data protection obligations as set out in the contract or other legal act between the controller and the processor as referred to in paragraph 3 shall be imposed on that other processor by way of a contract or other legal act under Union or Member State law, in particular providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that the processing will meet the requirements of this Regulation. Where that other processor fails to fulfil its data protection obligations, the initial processor shall remain fully liable to the controller for the performance of that other processor’s obligations.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(4) GDPR:

8.5.6 Disclosure of subcontractors used to process PII

Control

The organization should disclose any use of subcontractors to process PII to the customer before use.

Implementation guidance

Provisions for the use of subcontractors to process PII should be included in the customer contract.


전체 텍스트에 액세스하려면

5. 프로세서가 제40조의 승인된 행동강령 또는 제42조의 공인 인증 메커니즘을 준수하는 것은 본 조 제1항 및 제4항에 규정된 충분한 보증을 입증하는 요소로 활용될 수 있다.

5. Adherence of a processor to an approved code of conduct as referred to in Article 40 or an approved certification mechanism as referred to in Article 42 may be used as an element by which to demonstrate sufficient guarantees as referred to in paragraphs 1 and 4 of this Article.

6. 컨트롤러와 프로세서 간의 개별 계약을 침해하지 않고, 본 조 제3항 및 제4항에 규정된 계약 또는 기타 법률은 전적 또는 부분적으로 본 조 제7항 및 제8항에 규정된 정보보호 표준 계약조항(standard contractual clauses)에 근거할 수 있으며, 해당 계약 및 기타 법률이 제42조 및 제43조에 따라 컨트롤러 또는 프로세서에게 수여된 인증의 일부인 경우에도 그러하다.

6. Without prejudice to an individual contract between the controller and the processor, the contract or the other legal act referred to in paragraphs 3 and 4 of this Article may be based, in whole or in part, on standard contractual clauses referred to in paragraphs 7 and 8 of this Article, including when they are part of a certification granted to the controller or processor pursuant to Articles 42 and 43.

7. 집행위원회는 본 조 제3항 및 제4항에 규정된 사안에 대하여, 제93조(2)에 규정된 심사 절차에 따라 정보보호 표준 계약조항을 규정할 수 있다.

7. The Commission may lay down standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the examination procedure referred to in Article 93(2).

관련 교과서

8. 감독기관은 본 조 제3항 및 제4항에 규정된 사안에 대하여, 제63조에 규정된 일관성 메커니즘에 따라 정보보호 표준 계약조항을 채택할 수 있다.

8. A supervisory authority may adopt standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the consistency mechanism referred to in Article 63.

관련 교과서

9. 제3항 및 제4항에 규정된 계약이나 기타 법률은 전자 양식 등 서면으로 작성되어야 한다.

9. The contract or the other legal act referred to in paragraphs 3 and 4 shall be in writing, including in electronic form.

10. 제82조, 제83조, 제84조를 침해하지 않고, 프로세서가 처리의 목적 및 방법을 결정함으로써 본 규정을 위반하는 경우, 프로세서는 해당 처리와 관련하여 컨트롤러로 간주되어야 한다.

10. Without prejudice to Articles 82, 83 and 84, if a processor infringes this Regulation by determining the purposes and means of processing, the processor shall be considered to be a controller in respect of that processing.

관련 교과서
전문가 해설 ISO 27701 전문 (Recitals) 지침 및 사례 법률 코멘트를 남겨주세요
전문가 해설

(EN) A processor is a person or an organization that processes personal data on behalf and under the authority of a controller [Articles 4(8) and 28(1)]. The term used in the English text of the General Data Protection Regulation (GDPR) remains difficult to apprehend by a non-legal audience, so it is useful to turn to other linguistic versions for a better understanding.


전체 텍스트에 액세스하려면

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to articles 28(5), 28(6), and 28(10) GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.


전체 텍스트에 액세스하려면

전문 (Recitals)

(81) 컨트롤러를 대신하여 프로세서 수행하는 처리와 관련하여, 이 규정을 준수하도록 보장하기 위해서, 프로세서에게 처리 활동을 위탁할 때, 컨트롤러는 전문적 지식, 신뢰성 및 자원과 특히 관련하여, 처리 보안 등, 이 규정의 요건을 맞출 수 있는 기술적 및 관리적 조치를 시행한다는 충분한 확신을 제공하는 프로세서만을 활용해야 한다. 프로세서의 승인된 행동강령이나 공인 인증 메커니즘에 대한 준수는 컨트롤러의 의무의 준수를 입증하는 요소로 이용될 수 있다. 프로세서의 개인정보 처리의 수행은 유럽연합 또는 회원국 법률에 규정된 계약 또는 기타 법률에 적용받아야 하며, 이를 통해 프로세서는 컨트롤러에게 구속되고, 처리 사안(subject-matter) 및 처리기간, 처리의 성격 및 목적, 개인정보 유형 및 정보주체의 범주를 규정하고 있어야하며, 수행되는 개인정보 처리 상황에서의 프로세서의 구체적인 업무 및 책임과 정보주체의 권리와 자유에 대한 위험요소를 고려해야 한다. 컨트롤러와 프로세서는 개별 계약 방식 또는 위원회가 채택하거나, 감독기관이 일관성 메커니즘에 따라 채택 후 위원회가 채택한 표준 계약 조항(standard contractual clauses) 방식 중 하나의 방식을 선택할 수 있다. 컨트롤러를 대신하여 처리를 완료한 후, 프로세서는, 컨트롤러의 선택에 따라, 관련 개인정보를 반환 또는 파기해야하지만, 프로세서가 적용받는 유럽연합 또는 회원국 법률에 따라 개인정보를 보관하라는 요구사항이 있는 경우는 예외로 한다.

(81) To ensure compliance with the requirements of this Regulation in respect of the processing to be carried out by the processor on behalf of the controller, when entrusting a processor with processing activities, the controller should use only processors providing sufficient guarantees, in particular in terms of expert knowledge, reliability and resources, to implement technical and organisational measures which will meet the requirements of this Regulation, including for the security of processing. The adherence of the processor to an approved code of conduct or an approved certification mechanism may be used as an element to demonstrate compliance with the obligations of the controller. The carrying-out of processing by a processor should be governed by a contract or other legal act under Union or Member State law, binding the processor to the controller, setting out the subject-matter and duration of the processing, the nature and purposes of the processing, the type of personal data and categories of data subjects, taking into account the specific tasks and responsibilities of the processor in the context of the processing to be carried out and the risk to the rights and freedoms of the data subject. The controller and processor may choose to use an individual contract or standard contractual clauses which are adopted either directly by the Commission or by a supervisory authority in accordance with the consistency mechanism and then adopted by the Commission. After the completion of the processing on behalf of the controller, the processor should, at the choice of the controller, return or delete the personal data, unless there is a requirement to store the personal data under Union or Member State law to which the processor is subject.

지침 및 사례 법률 코멘트를 남겨주세요
[js-disqus]