목차
PDF 다운로드

제42조 GDPR. 인증

Article 42 GDPR. Certification

1. 회원국과 감독기관, 유럽 데이터보호이사회, 집행위원회는 컨트롤러가 시행하는 처리 작업이 본 규정을 준수하고 있음을 입증하기 위한 목적으로 특히 유럽연합의 차원의 개인정보보호 인증 메커니즘, 개인정보보호 인장 및 마크의 수립을 장려해야 한다. 영세기업이나 중소기업의 특정 요구도 참작되어야 한다.

1. The Member States, the supervisory authorities, the Board and the Commission shall encourage, in particular at Union level, the establishment of data protection certification mechanisms and of data protection seals and marks, for the purpose of demonstrating compliance with this Regulation of processing operations by controllers and processors. The specific needs of micro, small and medium-sized enterprises shall be taken into account.

2. 본 규정을 적용받는 컨트롤러 또는 프로세서의 규정 준수와 더불어, 제46조(2) (f)호의 조건에 따른 제3국 또는 국제기구로의 개인정보 이전이라는 프레임워크 내에서 제3조에 의거 본 규정을 적용받지 않는 컨트롤러 또는 프로세서가 제공하는 적정한 안전조치의 존재를 입증할 목적으로 본 조 제5항에 따라 승인된 개인정보 보호 인증 메커니즘, 인장 또는 마크가 수립될 수 있다. 해당 컨트롤러나 프로세서는 정보주체의 권리와 관련해서 등, 상기의 적정한 안전조치를 적용하기 위해 계약적 또는 기타 구속력 있는 장치를 통해 구속력 및 강제력 있는 약속을 해야 한다.

2. In addition to adherence by controllers or processors subject to this Regulation, data protection certification mechanisms, seals or marks approved pursuant to paragraph 5 of this Article may be established for the purpose of demonstrating the existence of appropriate safeguards provided by controllers or processors that are not subject to this Regulation pursuant to Article 3 within the framework of personal data transfers to third countries or international organisations under the terms referred to in point (f) of Article 46(2). Such controllers or processors shall make binding and enforceable commitments, via contractual or other legally binding instruments, to apply those appropriate safeguards, including with regard to the rights of data subjects.

사이

3. 인증은 자발적이어야 하고 투명한 절차를 통해 제공되어야 한다.

3. The certification shall be voluntary and available via a process that is transparent.

4. 본 조문에 따른 인증이 본 규정을 준수해야 하는 컨트롤러 또는 프로세서의 책임을 경감하지는 않으며, 제55조 또는 제56조에 따라 권한을 가지는 감독기관의 업무와 권한을 침해하지 않는다.

4. A certification pursuant to this Article does not reduce the responsibility of the controller or the processor for compliance with this Regulation and is without prejudice to the tasks and powers of the supervisory authorities which are competent pursuant to Article 55 or 56.

사이

5. 본 조문에 따른 인증은 제58조(3)항에 따른 관련 감독기관이나 제63조에 따른 유럽 데이터보호이사회가 승인한 기준을 토대로, 제43조의 인증기관 또는 관련 감독기관이 발급할 수 있다. 해당 기준이 유럽 데이터보호이사회에 의해 승인되는 경우, 이는 공동 인증인 유럽 데이터보호 인장(European Data Protection Seal)으로 이어질 수 있다.

5. A certification pursuant to this Article shall be issued by the certification bodies referred to in Article 43 or by the competent supervisory authority, on the basis of criteria approved by that competent supervisory authority pursuant to Article 58(3) or by the Board pursuant to Article 63. Where the criteria are approved by the Board, this may result in a common certification, the European Data Protection Seal.

사이

6. 인증 메커니즘에 처리(정보)를 제출하는 컨트롤러나 프로세서는 제43조의 인증기관이나 해당하는 경우 관련 감독기관에 인증절차를 실시하는 데 필요한 정보 및 처리활동에 대한 접근 일체를 제공해야 한다.

6. The controller or processor which submits its processing to the certification mechanism shall provide the certification body referred to in Article 43, or where applicable, the competent supervisory authority, with all information and access to its processing activities which are necessary to conduct the certification procedure.

사이

7. 인증은 최대 3년간 컨트롤러나 프로세서에게 발급되어야 하며 관련 요건이 계속적으로 충족되는 경우 동일한 조건에 따라 갱신될 수 있다. 제43조에 규정된 인증기관 또는 관련 감독기관은 인증 요건이 충족되지 않을 경우, 인증을 철회하여야 한다.

7. Certification shall be issued to a controller or processor for a maximum period of three years and may be renewed, under the same conditions, provided that the relevant criteria continue to be met. Certification shall be withdrawn, as applicable, by the certification bodies referred to in Article 43 or by the competent supervisory authority where the criteria for the certification are not or are no longer met.

사이

8. 유럽 데이터보호이사회는 인증 메커니즘, 개인정보보호 인장 및 마크의 일체를 등록부에 취합하고 적절한 수단을 통해 공개하여야 한다.

8. The Board shall collate all certification mechanisms and data protection seals and marks in a register and shall make them publicly available by any appropriate means.

ISO 27701 서문 공식 문서 및 결정 코멘트를 남겨주세요
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 42 GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.


전체 텍스트에 액세스하려면

서문

(100) 이 법의 준수와 투명성을 강화하기 위해서, 인증 메커니즘, 개인정보보호 인장 및 마크의 수립이 권장되어야 하며, 정보주체는 이를 통해 관련 제품 및 서비스에 대한 개인정보보호의 수준을 빠르게 평가할 수 있다.

(100) In order to enhance transparency and compliance with this Regulation, the establishment of certification mechanisms and data protection seals and marks should be encouraged, allowing data subjects to quickly assess the level of data protection of relevant products and services.

공식 문서 및 결정 코멘트를 남겨주세요