목차
GDPR > 제32조. 처리의 보안
PDF 다운로드

제32조 GDPR. 처리의 보안

Article 32 GDPR. Security of processing

1. 컨트롤러와 프로세서는 개인정보의 처리가 자연인의 권리 및 자유에 미치는 위험의 다양한 가능성 및 정도와 함께 최신 기술, 실행 비용, 그리고 처리의 성격, 범위, 상황 및 목적을 고려하여, 해당 위험에 적정한 보안 수준을 보장하기 위해 특히 다음 각 호 등을 포함하여 적정한 기술 및 관리적 조치를 이행해야 한다.

1. Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:

공식 문서 및 결정 사이

(a) 개인정보의 가명처리 및 암호처리

(a) the pseudonymisation and encryption of personal data;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 32(1)(a) GDPR:

7.4.5 PII de-identification and deletion at the end of processing

Control

The organization should either delete PII or render it in a form which does not permit identification or re-identification of PII principals, as soon as the original PII is no longer necessary for the identified purpose(s).

Implementation guidance

The organization should have mechanisms to erase the PII when no further processing is anticipated.


전체 텍스트에 액세스하려면

공식 문서 및 결정

(b) 처리 시스템 및 서비스의 지속적인 기밀성과 무결성, 가용성, 복원력을 보장할 수 있는 역량

(b) the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 6.1.2.

Here is the relevant paragraphs to article 32(1)(b) GDPR:

5.4.1.2 Information security risk assessment

6.1.2 c) 1) is refined as follows:

The organization shall apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability, within the scope of the PIMS.


전체 텍스트에 액세스하려면

(c) 물리적 또는 기술적 사고가 발생하는 경우 개인정보에 대한 가용성 및 열람을 시의 적절하게 복원 할 수 있는 역량

(c) the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 12.3.1.

Here is the relevant paragraphs to article 32(1)(c) GDPR:

6.9.3.1 Information backup

Implementation guidance

The organization should have a policy which addresses the requirements for backup, recovery and restoration of PII (which can be part of an overall information backup policy) and any further requirements (e.g. contractual and/or legal requirements) for the erasure of PII contained in information held for backup requirements.


전체 텍스트에 액세스하려면

(d) 처리의 보안을 보장하는 기술 또는 관리적 조치의 효율성을 정기적으로 테스트 및 평가하기 위한 절차

(d) a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 18.2.1.

Here is the relevant paragraphs to article 32(1)(d) GDPR:

6.15.2.1 Independent review of information security

Implementation guidance

Where an organization is acting as a PII processor, and where individual customer audits are impractical or can increase risks to security, the organization should make available to customers, prior to entering into, and for the duration of, a contract, independent evidence that information security is implemented and operated in accordance with the organization’s policies and procedures.


전체 텍스트에 액세스하려면

2. 보안의 적정 수준을 평가할 때는 처리로 인해 발생하는 위험성, 특히 이전, 저장 또는 다른 방식으로 처리된 개인정보에 대한 우발적 또는 불법적 파기, 유실, 변경, 무단 제공, 무단 열람에 대해 고려해야 한다.

2. In assessing the appropriate level of security account shall be taken in particular of the risks that are presented by processing, in particular from accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to personal data transmitted, stored or otherwise processed.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.3.

Here is the relevant paragraphs to article 32(2) GDPR:

5.2.3 Determining the scope of the information security management system

When determining the scope of the PIMS, the organization shall include the processing of PII.


전체 텍스트에 액세스하려면

서문

(83) 보안을 유지하고 이 규정을 위반하는 처리를 예방하기 위해, 컨트롤러 또는 프로세서는 처리에 내재된 위험요소를 평가하고, 해당 위험요소를 완화할 수 있는 암호처리 등의 조치를 시행해야 한다. 이러한 조치는 보호되어야 할 개인정보의 성격과 위험에 비례하여 (조치) 시행의 수준(state of the art)과 비용을 고려한 후 기밀성 보장 등, 적절한 보안 수준을 보장해야 한다. 개인정보의 보안위험요소를 평가할 때, 개인정보 처리로 초래되는 위험에 대해 고려해보아야 하며, 예를 들면 특히 신체적, 물질적 그리고 비-물질적 피해를 초래할 수 있는 위험으로, 이전되거나 저장된 개인정보 혹은 다르게 처리된 개인정보의 사고적 혹은 불법적 파기, 손실, 변경, 무단 제공 혹은 무단 열람 등이 있다.

(83) In order to maintain security and to prevent processing in infringement of this Regulation, the controller or processor should evaluate the risks inherent in the processing and implement measures to mitigate those risks, such as encryption. Those measures should ensure an appropriate level of security, including confidentiality, taking into account the state of the art and the costs of implementation in relation to the risks and the nature of the personal data to be protected. In assessing data security risk, consideration should be given to the risks that are presented by personal data processing, such as accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed which may in particular lead to physical, material or non-material damage.

3. 제40조에 규정된 공인된 행동강령 또는 제42조에 규정된 공식 인증 메커니즘을 준수하는 것은 본 조 제1항에 규정된 요건의 준수를 입증하는 요소로 활용될 수 있다.

3. Adherence to an approved code of conduct as referred to in Article 40 or an approved certification mechanism as referred to in Article 42 may be used as an element by which to demonstrate compliance with the requirements set out in paragraph 1 of this Article.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 32(3) GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.


전체 텍스트에 액세스하려면

사이

4. 컨트롤러와 프로세서는 컨트롤러나 프로세서의 권한에 따라 개인정보를 열람하는 모든 자연인이 유럽연합 또는 회원국 법률로 요구되는 것이 아니라면 컨트롤러의 지시에 따른 경우를 제외하고는 개인정보를 처리하지 못하도록 해야 한다.

4. The controller and processor shall take steps to ensure that any natural person acting under the authority of the controller or the processor who has access to personal data does not process them except on instructions from the controller, unless he or she is required to do so by Union or Member State law.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 32(4) GDPR:

7.2.1 Identify and document purpose

Control

The organization should identify and document the specific purposes for which the PII will be processed.

Implementation guidance

The organization should ensure that PII principals understand the purpose for which their PII is processed. It is the responsibility of the organization to clearly document and communicate this to PII principals.


전체 텍스트에 액세스하려면

서문 공식 문서 및 결정 코멘트를 남겨주세요
서문

(83) 보안을 유지하고 이 규정을 위반하는 처리를 예방하기 위해, 컨트롤러 또는 프로세서는 처리에 내재된 위험요소를 평가하고, 해당 위험요소를 완화할 수 있는 암호처리 등의 조치를 시행해야 한다. 이러한 조치는 보호되어야 할 개인정보의 성격과 위험에 비례하여 (조치) 시행의 수준(state of the art)과 비용을 고려한 후 기밀성 보장 등, 적절한 보안 수준을 보장해야 한다. 개인정보의 보안위험요소를 평가할 때, 개인정보 처리로 초래되는 위험에 대해 고려해보아야 하며, 예를 들면 특히 신체적, 물질적 그리고 비-물질적 피해를 초래할 수 있는 위험으로, 이전되거나 저장된 개인정보 혹은 다르게 처리된 개인정보의 사고적 혹은 불법적 파기, 손실, 변경, 무단 제공 혹은 무단 열람 등이 있다.

(83) In order to maintain security and to prevent processing in infringement of this Regulation, the controller or processor should evaluate the risks inherent in the processing and implement measures to mitigate those risks, such as encryption. Those measures should ensure an appropriate level of security, including confidentiality, taking into account the state of the art and the costs of implementation in relation to the risks and the nature of the personal data to be protected. In assessing data security risk, consideration should be given to the risks that are presented by personal data processing, such as accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed which may in particular lead to physical, material or non-material damage.

(74) 컨트롤러가 수행하는 개인정보 처리나 컨트롤러를 대신하여 수행하는 개인정보의 처리에 대한 컨트롤러의 책임(responsibility and liability)이 수립되어야 한다. 특히 컨트롤러는 적절하고 효과적인 조치를 시행할 의무를 지녀야하며 조치의 효력 등, 본 규정에 따라 처리활동을 하고 있음을 입증할 수 있어야 한다. 이러한 조치는 개인정보처리의 성격, 범위, 상황, 목적 그리고 개인의 권리와 자유에 초래되는 위험요소를 고려해야 한다.

(74) The responsibility and liability of the controller for any processing of personal data carried out by the controller or on the controller's behalf should be established. In particular, the controller should be obliged to implement appropriate and effective measures and be able to demonstrate the compliance of processing activities with this Regulation, including the effectiveness of the measures. Those measures should take into account the nature, scope, context and purposes of the processing and the risk to the rights and freedoms of natural persons.

(75) 개인의 권리와 자유에 초래되는 위험은, 다양한 발생가능성과 심각성으로 나타나는데 이는, 개인정보 처리로 인해 발생할 수 있으며, 이는 신체적(physical), 물질적(material) 혹은 비-물질적(non-material) 손해를 초래할 수 있다. 특히, 처리로 인해 차별, 신용도용 및 사기, 재정적 손실, 명예훼손, 직무상의 기밀로 보호되던 개인정보의 기밀성 상실, 가명정보에 대한 무단 재식별 처리, 또는 기타의 심각한 경제적 또는 사회적 불이익이 초래될 수 있는 경우 그러하다. 또한, 정보주체가 본인의 권리와 자유를 빼앗길 수 있는 경우나, 본인의 개인정보에 대한 자기결정권(right to control) 행사하지 못하게 되는 경우, 혹은 개인정보가 인종 및 민족의 출신, 정견, 종교 및 철학적 신념, 노동조합의 가입여부와 유전자정보, 건강정보 또는 성생활 관련 정보나 범죄 기소 및 범죄관련 개인정보에 대한 처리 또는 관련한 보안 조치를 드러내는 방식으로 처리되는 경우. 또는 개인적인 측면에 평가되는 경우로 특히 업무능력, 경제적 상황, 건강상태, 개인의 성향 및 관심사, 신뢰성이나 행동, 위치 및 이동경로와 관련된 측면을 개인프로필 생성 및 이용을 위해 분석하거나 예측하는 경우. 혹은 아동 등 취약한 개인의 개인정보가 처리되는 경우나 처리가 방대한 양의 개인정보와 관련 있거나, 수많은 정보주체에게 영향을 미치는 경우가 그러하다.

(85) Нарушение безопасности персональных данных, если оно не было надлежащим образом и вовремя устранено, может повлечь физический, материальный или моральный вред физическим лицам, как, например, потеря контроля над их персональными данными или ограничение их прав, дискриминация, кража личности или ее мошенническое использование, финансовые потери, несанкционированная повторная идентификация псевдонимизированных данных, ущерб репутации, нарушение конфиденциальности персональных данных, защищенных профессиональной тайной, или любой другой значительный экономический или социальный вред, нанесенный физическому лицу. Поэтому, как только контролёру становится известно о нарушении безопасности персональных данных, он обязан уведомить о таком нарушении надзорный орган без неоправданной задержки и, по возможности, не позднее 72 часов, за исключением случаев, когда контролёр может подтвердить, в соответствии с принципом подотчетности, что нарушение безопасности персональных данных с малой вероятностью может представлять риск нарушения прав и свобод физических лиц. В случаях, когда подобное уведомление не может быть сделано в течение 72 часов, причины такой задержки должны сопровождать уведомление и информация может предоставляться поэтапно без дополнительной задержки.

(76) 정보주체의 권리와 자유에 초래될 수 있는 위험 가능성과 심각성은 해당 처리의 성격, 범위, 상황 및 목적을 참고하여 결정되어야 한다. 위험성은 개인정보 처리 작업(operation)이 위험요소 또는 높은 수준의 위험요소에 관련되었는지를 입증 하기위한 객관적인 평가에 근거하여 평가되어야 한다.

(76) The likelihood and severity of the risk to the rights and freedoms of the data subject should be determined by reference to the nature, scope, context and purposes of the processing. Risk should be evaluated on the basis of an objective assessment, by which it is established whether data processing operations involve a risk or a high risk.

(77) 컨트롤러나 프로세서의 적절한 조치시행 및 법률 준수여부 입증에 대한 지침, 특히 처리와 관련된 위험에 대한 식별, 위험요소의 출처·성격·가능성·심각성을 고려한 평가, 그리고 위험을 완화하는 모범 방침의 모색에 대한 지침은 인가된 행동강령(approved code of conducts) 및 인증서(certificates), 또는 EDPB에서 제공하는 가이드라인이나 DPO가 제공하는 지표를 통해 제공될 수 있다. EDPB는 개인의 권리와 자유에 고위험을 초래하지 않을 것으로 간주되는 처리 작업에 대한 가이드라인을 발간할 수 있으며, 어떠한 조치로 이러한 위험요소를 충분히 해결할 수 있는 지 설명할 수 있다.

(77) Guidance on the implementation of appropriate measures and on the demonstration of compliance by the controller or the processor, especially as regards the identification of the risk related to the processing, their assessment in terms of origin, nature, likelihood and severity, and the identification of best practices to mitigate the risk, could be provided in particular by means of approved codes of conduct, approved certifications, guidelines provided by the Board or indications provided by a data protection officer. The Board may also issue guidelines on processing operations that are considered to be unlikely to result in a high risk to the rights and freedoms of natural persons and indicate what measures may be sufficient in such cases to address such risk.

공식 문서 및 결정 코멘트를 남겨주세요