제42조 📖 GDPR. 인증

제42조 GDPR. 인증

1. 회원국과 감독기관, 유럽 데이터보호이사회, 집행위원회는 컨트롤러가 시행하는 처리 작업이 본 규정을 준수하고 있음을 입증하기 위한 목적으로 특히 유럽연합의 차원의 개인정보보호 인증 메커니즘, 개인정보보호 인장 및 마크의 수립을 장려해야 한다. 영세기업이나 중소기업의 특정 요구도 참작되어야 한다.

2. 본 규정을 적용받는 컨트롤러 또는 프로세서의 규정 준수와 더불어, 제46조(2) (f)호의 조건에 따른 제3국 또는 국제기구로의 개인정보 이전이라는 프레임워크 내에서 제3조에 의거 본 규정을 적용받지 않는 컨트롤러 또는 프로세서가 제공하는 적정한 안전조치의 존재를 입증할 목적으로 본 조 제5항에 따라 승인된 개인정보 보호 인증 메커니즘, 인장 또는 마크가 수립될 수 있다. 해당 컨트롤러나 프로세서는 정보주체의 권리와 관련해서 등, 상기의 적정한 안전조치를 적용하기 위해 계약적 또는 기타 구속력 있는 장치를 통해 구속력 및 강제력 있는 약속을 해야 한다.

관련 교과서

제3조 GDPR. 영토의 범위

제46조 GDPR. 적정한 안전조치에 의한 이전

1. 제45조(3)에 의거한 결정이 없을 경우, 컨트롤러나 프로세서는 적정한 안전조치를 제공한 경우에 한하여, 정보주체가 행사할 수 있는 권리와 유효한 법적 구제책이 제공되는 조건으로 제3국 또는 국제기구에 개인정보를 이전할 수 있다.

2. 제1항의 적정한 안전조치는 감독기관의 특별한 승인을 요하지 아니하고 다음 각 호에 의해 제공될 수 있다.

[…]

(f) 정보주체의 권리에 관한 것 등 적정한 안전조치를 적용하기 위한 것으로 법적 구속력 및 강제력이 있는 제3국의 컨트롤러나 프로세서의 약속을 포함한 제42조에 의거한 공인 인증 메커니즘

[…]

3. 인증은 자발적이어야 하고 투명한 절차를 통해 제공되어야 한다.

4. 본 조문에 따른 인증이 본 규정을 준수해야 하는 컨트롤러 또는 프로세서의 책임을 경감하지는 않으며, 제55조 또는 제56조에 따라 권한을 가지는 감독기관의 업무와 권한을 침해하지 않는다.

관련 교과서

제55조 GDPR. 법적 자격(competence)

1. 각 감독기관은 본 규제에 의거하여 자체 회원국 영토에서 부여된 임무를 수행하고 권한을 행사하기 위한 법적 자격을 지닌다.

2. 제6조(1)의 (c) 또는 (e)호를 근거로 활동하는 공공기관이나 민간기관에 의해 처리가 수행되는 경우, 해당 회원국의 감독기관은 이에 대한 법적자격을 갖는다. 이 경우 제56조는 적용되지 아니한다.

3. 감독기관은 사법능력을 행사하는 법원의 처리방식을 감독할 법적 자격은 없다.

제56조 GDPR. 선임 감독기관의 법적 자격

1. 컨트롤러 또는 프로세서의 주 사업장이나 단일 사업장의 감독기구는, 제55조를 침해하지 않으면서, 제60조에 규정된 절차에 따라 컨트롤러 또는 프로세서가 수행하는 회원국 간의 처리에 대해 선임 감독기관으로 행동할 법적 자격을 지닌다.

2. 제1항의 적용이 일부 제외되어, 각 감독기관은 본 규정에 대한 위반에 관한 민원을 해결하거나 본 규정의 위반 가능성을 해결하는 법적 자격을 갖는다. 이는 관련 주제가 해당 회원국의 하나의 사업장만이 관련 있거나 해당 회원국의 정보주체에만 중대한 영향을 미치는 경우에만 해당된다.

3. 본 조 제2항에 규정된 상황의 경우, 해당 감독기관은 지체 없이 관련 사안에 대해 선임 감독기관에 통지해야 한다. 통지를 받은 후 3주 이내에, 선임 감독기관은 감독기관이 고지한 회원국의 컨트롤러 또는 프로세서의 사업장의 존재 여부를 고려하여, 제60조에 규정된 절차에 따라, 해당 상황을 처리할 지 여부를 결정해야 한다.

4. 선임 감독기관이 관련 상황을 처리하기로 결정할 경우, 제60조에 규정된 절차가 적용된다. 선임 감독기관에 통보한 감독기관은 선임 감독기관에 결정문의 초안을 제출한다. 선임 감독기관은 제60조(3)에 규정된 결정문 초안을 작성할 때, 해당 초안을 최대한 고려해야 한다.

5. 선임 감독기관이 관련 상황을 처리하지 않기로 결정할 경우, 선임 감독기관에 통보한 감독 기관은 제61조와 제62조에 의거하여 해당 상황을 처리해야 한다.

6. 선임 감독기관은 컨트롤러나 프로세서가 수행하는 회원국 간의 처리에 대해 컨트롤러 또는 프로세서의 유일한 교섭담당기관이다.

5. 본 조문에 따른 인증은 제58조(3)항에 따른 관련 감독기관이나 제63조에 따른 유럽 데이터보호이사회가 승인한 기준을 토대로, 제43조의 인증기관 또는 관련 감독기관이 발급할 수 있다. 해당 기준이 유럽 데이터보호이사회에 의해 승인되는 경우, 이는 공동 인증인 유럽 데이터보호 인장(European Data Protection Seal)으로 이어질 수 있다.

관련 교과서

제43조 GDPR. 인증기관

제58조 GDPR. 권한

[…]

3. 각 감독기관은 다음의 모든 승인 및 자문권한을 보유한다.

(a) 제36조에 규정된 사전 자문의 절차에 따라 프로세서에게 자문을 제공

(b) 자체 재량이나 요구에 따라, 해당 국가의 국회, 회원국의 정부 또는 회원국 법률에 따라 기타 기구 및 기관과 일반에 개인정보 보호와 관련한 사안에 대한 의견을 제공

(c) 회원국 법률에서 사전 승인을 요구하는 경우, 제36조(5)에 규정된 처리에 대한 승인

(d) 제40조(5)에 따른 의견 제공 또는 행동강령의 초안에 대한 승인

(e) 제42조에 따른 인증기관의 인증

(f) 제42조(5)에 따른 인증 발급 또는 인증의 기준에 대한 승인

(g) 제28조(8) 및 제46조(2)에 규정된 정보보호 표준조항의 채택

(h) 제46조(3)의 (a)호에 규정된 정보보호 계약조항에 대한 승인

(i) 제46조(3)의 (b)호에 규정된 행정적 협약에 대한 승인

(j) 제47조에 따른 의무적 기업규칙에 대한 승인

[…]

제63조 GDPR. 일관성 메커니즘

1. 유럽연합 전역에 본 규정을 일관되게 적용하기 위해, 감독기관들은 본 절에 명시된 일관성 메커니즘을 통해 상호 간에, 그리고 적정한 경우 집행위원회와 협력해야 한다.

6. 인증 메커니즘에 처리(정보)를 제출하는 컨트롤러나 프로세서는 제43조의 인증기관이나 해당하는 경우 관련 감독기관에 인증절차를 실시하는 데 필요한 정보 및 처리활동에 대한 접근 일체를 제공해야 한다.

관련 교과서

제43조 GDPR. 인증기관

7. 인증은 최대 3년간 컨트롤러나 프로세서에게 발급되어야 하며 관련 요건이 계속적으로 충족되는 경우 동일한 조건에 따라 갱신될 수 있다. 제43조에 규정된 인증기관 또는 관련 감독기관은 인증 요건이 충족되지 않을 경우, 인증을 철회하여야 한다.

관련 교과서

제43조 GDPR. 인증기관

8. 유럽 데이터보호이사회는 인증 메커니즘, 개인정보보호 인장 및 마크의 일체를 등록부에 취합하고 적절한 수단을 통해 공개하여야 한다.

유럽연합 일반 데이터 보호 규칙(EU GDPR)

Source: http://www.pipc.go.kr/cmt/not/ntc/selectBoardArticle.do?nttId=5969&bbsId=BBSMSTR_000000000121&bbsTyCode=BBST03&bbsAttrbCode=BBSA03&authFlag=Y&pageIndex=6

ISO 27701 전문 (Recitals) 지침 및 사례 법률 코멘트를 남겨주세요

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 42 GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

…

로그인
전체 텍스트에 액세스하려면

전문 (Recitals)

(100) 이 법의 준수와 투명성을 강화하기 위해서, 인증 메커니즘, 개인정보보호 인장 및 마크의 수립이 권장되어야 하며, 정보주체는 이를 통해 관련 제품 및 서비스에 대한 개인정보보호의 수준을 빠르게 평가할 수 있다.

지침 및 사례 법률

(EN)

Document

EDPB, Guidelines 1/2018 on Certification and Identifying Certification Criteria in Accordance with Articles 42 and 43 of the Regulation (2019).

EDPB, Opinion 1/2022on the draft decision of the Luxembourg Supervisory Authority regarding the GDPR – CARPA certification criteria (2022).

코멘트를 남겨주세요

[js-disqus]