제24조 GDPR. 주제 및 목적

1. 컨트롤러는 개인정보의 처리가 자연인의 권리 및 자유에 미치는 위험의 다양한 가능성 및 정도와 함께 최신 기술, 실행 비용, 그리고 처리의 성격, 범위, 상황 및 목적을 고려하여, 그 처리가 본 규정에 따라 이루어졌음을 보장하고 입증할 수 있도록 적절한 기술 및 관리적 조치를 취해야 한다.

2. 처리활동과 관련하여 비례하는 경우, 제1항의 조치는 컨트롤러의 적절한 개인정보보호 정책의 이행을 포함해야 한다.

3. 제40조의 승인된 행동강령의 준수 또는 제42조의 공인 인증 메커니즘은 컨트롤러의 의무의 준수를 입증하기 위한 요소로 사용될 수 있다.

제25조 GDPR. 설계 및 기본설정에 의한 개인정보 보호

1. 컨트롤러는 개인정보의 처리가 자연인의 권리 및 자유에 미치는 위험의 다양한 가능성 및 정도와 함께 최신 기술, 실행 비용, 그리고 처리의 성격, 범위, 상황 및 목적을 고려하여, 가명처리 등의 기술 및 관리적 조치를 개인정보의 처리 방법을 결정한 시점 및 그 처리가 이루어지는 해당 시점에 이행해야 한다. 그러한 기술적 및 관리적 조치는 본 규정의 요건을 충족시키고 정보주체의 권리를 보호하기 위해 데이터 최소화 등 개인정보 보호원칙을 효율적으로 이행하고 필요한 안전조치를 개인정보 처리에 통합할 수 있도록 설계되어야 한다.

2. 컨트롤러는 기본설정을 통해 각 특정 처리 목적에 필요한 개인정보만 처리되도록 적절한 기술적 및 관리적 조치를 이행해야 한다. 그 의무는 수집되는 개인정보의 양, 그 처리 정도, 보관기관 및 이용가능성에 적용된다. 특히, 그러한 조치는 기본설정을 통해 개인정보가 관련 개인의 개입 없이 불특정 다수에게 열람되지 않도록 한다.

3. 제42조에 의거한 승인된 인증 메커니즘은 본 조 제1항 및 제2항에 규정된 요건의 준수를 입증하는 요소로 사용될 수 있다.

제32조 GDPR. 처리의 보안

1. 컨트롤러와 프로세서는 개인정보의 처리가 자연인의 권리 및 자유에 미치는 위험의 다양한 가능성 및 정도와 함께 최신 기술, 실행 비용, 그리고 처리의 성격, 범위, 상황 및 목적을 고려하여, 해당 위험에 적정한 보안 수준을 보장하기 위해 특히 다음 각 호 등을 포함하여 적정한 기술 및 관리적 조치를 이행해야 한다.

(a) 개인정보의 가명처리 및 암호처리

(b) 처리 시스템 및 서비스의 지속적인 기밀성과 무결성, 가용성, 복원력을 보장할 수 있는 역량

(c) 물리적 또는 기술적 사고가 발생하는 경우 개인정보에 대한 가용성 및 열람을 시의 적절하게 복원 할 수 있는 역량

(d) 처리의 보안을 보장하는 기술 또는 관리적 조치의 효율성을 정기적으로 테스트 및 평가하기 위한 절차

2. 보안의 적정 수준을 평가할 때는 처리로 인해 발생하는 위험성, 특히 이전, 저장 또는 다른 방식으로 처리된 개인정보에 대한 우발적 또는 불법적 파기, 유실, 변경, 무단 제공, 무단 열람에 대해 고려해야 한다.

3. 제40조에 규정된 공인된 행동강령 또는 제42조에 규정된 공식 인증 메커니즘을 준수하는 것은 본 조 제1항에 규정된 요건의 준수를 입증하는 요소로 활용될 수 있다.

4. 컨트롤러와 프로세서는 컨트롤러나 프로세서의 권한에 따라 개인정보를 열람하는 모든 자연인이 유럽연합 또는 회원국 법률로 요구되는 것이 아니라면 컨트롤러의 지시에 따른 경우를 제외하고는 개인정보를 처리하지 못하도록 해야 한다.

제77조 GDPR. 감독기관에 민원을 제기할 권리

1. 다른 행정적 또는 법적 구제책을 침해하지 아니하여, 모든 정보주체는 본인에 관한 개인정보의 처리가 본 규정을 침해한다고 판단될 경우 특히 거주지, 근무지 또는 침해 발생 의혹이 있는 장소가 소재한 회원국의 감독기관에 민원을 제기할 권리가 있다.

2. 민원을 접수한 감독기관은 제78조에 의거한 법적 구제책의 가능성 등 민원 처리 경과 및 결과를 민원인에게 통보해야 한다.

제79조 GDPR. 컨트롤러나 프로세서를 상대로 한 효과적인 사법구제권

1. 제77조에 따른 감독기관에 민원을 제기할 권리 등 가용할 수 있는 행정적 또는 법률외적 구제책을 침해하지 아니하여, 각 정보주체는 본인에 관한 개인정보의 처리가 본 규정을 준수하지 않음으로 인해 본 규정에 의거한 본인의 권리가 침해되었다고 판단될 경우 사법적 구제책을 가질 권리가 있다.

2. 컨트롤러 또는 프로세서를 상대로 한 법적 절차는 해당 컨트롤러 또는 프로세서의 사업장이 있는 회원국의 법정에서 진행되어야 한다. 그렇지 않으면 컨트롤러 또는 프로세서가 공적 권한을 행사하는 회원국의 공공기관이 아닌 한 정보주체의 거주지가 있는 회원국의 법정에서 절차가 진행될 수도 있다.

제3조 GDPR. 영토의 범위

1. 본 규정은 유럽연합 역내의 컨트롤러 또는 프로세서의 사업장의 활동에 수반되는 개인정보의 처리에 적용되고, 이 때 해당 처리가 유럽연합 역내 또는 역외에서 이루어지는지 여부는 관계없다.

2. 본 규정은 개인정보의 처리가 다음 각 호와 관련되는 경우, 유럽연합 역내에 설립되지 않은 컨트롤러 또는 프로세서가 유럽연합 역내에 거주하는 정보주체의 개인정보를 처리할 때도 적용된다.

(a) 정보주체가 지불을 해야 하는지에 관계없이 유럽연합 역내의 정보주체에게 재화와 용역을 제공

(b) 유럽연합 역내에서 발생하는 정보주체의 행태를 모니터링

3. 본 규정은 유럽연합 역내에 설립되지 않았으나 국제 공법에 의해 회원국의 법률이 적용되는 장소에 설립된 정보주체가 개인정보를 처리하는 데 적용된다.

제46조 GDPR. 적정한 안전조치에 의한 이전

[…]

2. 제1항의 적정한 안전조치는 감독기관의 특별한 승인을 요하지 아니하고 다음 각 호에 의해 제공될 수 있다.

[…]

(e) 정보주체의 권리에 관한 것 등 적정한 안전조치를 적용하기 위한 것으로 법적 구속력 및 강제력이 있는 제3국의 컨트롤러나 프로세서의 약속을 포함한 제40조에 의거한 공인 행동강령

제41조 GDPR. 승인된 행동강령의 모니터링

1. 제57조와 제58조에 따른 관련 감독기관의 업무와 권한을 침해하지 않으면서, 제40조에 따른 행동강령의 준수에 대한 모니터링은 행동강령의 주제와 관련하여 적정 수준의 전문지식을 보유하고, 관련 감독기관이 그 목적으로 승인한 기관이 실시할 수 있다.

[…]

제55조 GDPR. 법적 자격(competence)

제56조 GDPR. 선임 감독기관의 법적 자격

제55조 GDPR. 법적 자격(competence)

제55조 GDPR. 법적 자격(competence)

제63조 GDPR. 일관성 메커니즘

1. 유럽연합 전역에 본 규정을 일관되게 적용하기 위해, 감독기관들은 본 절에 명시된 일관성 메커니즘을 통해 상호 간에, 그리고 적정한 경우 집행위원회와 협력해야 한다.

제93조 GDPR. 위원회(Committee) 절차

[…]

2. 본 항을 참조하는 경우, 규정서 (EU) No 182/2011의 제5조가 적용되어야 한다.

[…]