제43조 📖 GDPR. 인증기관

제43조 GDPR. 인증기관

1. 제57조 및 제58조에 따라 권한을 가지는 감독기관의 업무와 권한을 침해하지 않고 개인정보 보호와 관련하여 적정 수준의 전문지식을 보유한 인증기관은 필요한 경우 감독기관이 제58조(2) (h)호에 따른 권한을 행사할 수 있도록 감독기관에 통지한 후 인증을 발급 및 갱신하여야 한다. 회원국은 그러한 인증기관이 다음 각 호의 하나 또는 모두에 의해 인증 받았음을 보장해야 한다.

전문 (Recitals) 관련 교과서

전문 (Recitals)

(100) 이 법의 준수와 투명성을 강화하기 위해서, 인증 메커니즘, 개인정보보호 인장 및 마크의 수립이 권장되어야 하며, 정보주체는 이를 통해 관련 제품 및 서비스에 대한 개인정보보호의 수준을 빠르게 평가할 수 있다.

관련 교과서

제57조 GDPR. 업무

제58조 GDPR. 권한

[…]

2. 각 감독기관은 다음의 시정 권한을 모두 보유한다.

[…]

(h) 인증의 요건이 충족되지 않거나 더 이상 충족되지 않는 경우, 인증을 철회하거나 인증기관에게 제42조 및 제42조에 의거하여 발급된 인증을 철회하라고 지시하거나 인증기관에게 인증을 발급하지 않도록 지시

(a) 제55조나 제56조에 따라 권한을 가지는 감독기관

관련 교과서

제55조 GDPR. 법적 자격(competence)

제56조 GDPR. 선임 감독기관의 법적 자격

(b) EN-ISO/IEC 17065/2012 및 제55조나 제56조에 따라 권한을 가지는 감독기관이 정한 추가 요건에 부합하고 유럽의회 및 이사회 규정 (EC) 765/2008에 따라 명명된 국가 인증기관 [20].

관련 교과서

제55조 GDPR. 법적 자격(competence)

제56조 GDPR. 선임 감독기관의 법적 자격

_{[20] Regulation (EC) No 765/2008 of the European Parliament and of the Council of 9 July 2008 setting out the requirements for accreditation and market surveillance relating to the marketing of products and repealing Regulation (EEC) No 339/93 (OJ L 218, 13.8.2008, p. 30). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2015:241:TOC}

2. 제1항의 인증기관은 다음 각 호에 해당하는 경우에 한하여 제1항에 따라 인증 받을 수 있다.

(a) 인증 주제에 대해 감독기관이 만족할 정도의 독립성과 전문지식을 입증한 경우

(b) 제42조(5)에 규정되고 제55조 또는 제56조에 따라 권한을 가지는 감독기관 또는 제63조에 따라 유럽 데이터보호이사회가 승인한 기준을 준수하기로 약속한 경우

관련 교과서

제42조 GDPR. 인증

[…]

5. 본 조문에 따른 인증은 제58조(3)항에 따른 관련 감독기관이나 제63조에 따른 유럽 데이터보호이사회가 승인한 기준을 토대로, 제43조의 인증기관 또는 관련 감독기관이 발급할 수 있다. 해당 기준이 유럽 데이터보호이사회에 의해 승인되는 경우, 이는 공동 인증인 유럽 데이터보호 인장(European Data Protection Seal)으로 이어질 수 있다.

[…]

제55조 GDPR. 법적 자격(competence)

제56조 GDPR. 선임 감독기관의 법적 자격

제63조 GDPR. 일관성 메커니즘

(c) 개인정보 보호 인증, 인장 및 마크의 발행, 정기 심사 및 철회에 관한 절차를 수립한 경우

(d) 인증 위반 및 컨트롤러나 프로세서가 인증을 이행하였거나 이행하는 방식에 관한 민원을 처리하는 절차 및 구조를 수립하고, 그 절차와 구조를 정보주체와 일반에 투명하게 할 절차 및 구조를 수립한 경우

(e) 본인의 업무와 직무가 이해의 상충을 초래하지 않는다는 사실을 관할 감독기관이 만족할 정도로 입증한 경우

3. 제1항 및 제2항의 인증기관의 인증은 제55조 또는 제56조에 따라 권한을 가지는 감독기관 또는 제63조에 따라 유럽 데이터보호이사회가 승인한 기준을 근거로 이루어져야 한다. 본 조 제1항 (b)호에 따른 인증의 경우, 본 요건은 규정(EC) 765/2008에서 예상되는 요건과 해당 인증기관의 방법과 절차를 기술하는 기술 규칙을 보완해야 한다.

관련 교과서

제55조 GDPR. 법적 자격(competence)

제56조 GDPR. 선임 감독기관의 법적 자격

제63조 GDPR. 일관성 메커니즘

4. 제1항의 인증기관은 컨트롤러나 프로세서가 본 규정을 준수해야 할 책임을 침해하지 않고 인증 또는 그러한 인증의 철회를 초래하는 적절한 평가에 대한 책임을 져야 한다. 인증은 최대 5년의 기간 동안 발급되며 해당 인증기관이 본 조에 규정된 요건을 충족하는 경우에 한해 동일한 조건으로 갱신될 수 있다.

5. 제1항에 규정된 인증기관은 감독기관에 요청된 인증의 승인 또는 철회의 사유를 제공해야 한다.

6. 감독기관은 쉽게 이용할 수 있는 양식으로 본 조 제3항의 요건과 제42조(5)항의 기준을 공개해야 한다. 아울러 감독기관은 유럽 데이터보호이사회에 해당 요건과 기준을 전송해야 한다. 유럽 데이터보호이사회는 인증 메커니즘과 개인정보 보호 인장 일체를 등록부에 취합하고 적절한 수단을 통해 이를 공개해야 한다.

관련 교과서

제42조 GDPR. 인증

[…]

7. 인증 조건이 충족되지 않거나 더 이상 충족되지 않는 경우, 또는 인증기관이 취한 조치가 본 규정을 위반하는 경우, 관련 감독기관이나 국가 인증기관은 제VIII장의 규정을 침해하지 않고 제1항의 인증기관의 인증을 철회해야 한다.

8. 집행위원회는 제42조(1)항에 규정된 개인정보 보호 인증 메커니즘에 고려되어야 할 요건을 규정할 목적으로 제92조에 따라 위임 법률을 채택할 권한이 있다.

관련 교과서

제92조 GDPR. 위임의 행사

제42조 GDPR. 인증

1. 회원국과 감독기관, 유럽 데이터보호이사회, 집행위원회는 컨트롤러가 시행하는 처리 작업이 본 규정을 준수하고 있음을 입증하기 위한 목적으로 특히 유럽연합의 차원의 개인정보보호 인증 메커니즘, 개인정보보호 인장 및 마크의 수립을 장려해야 한다. 영세기업이나 중소기업의 특정 요구도 참작되어야 한다.

[…]

9. 집행위원회는 인증 메커니즘과 개인정보 보호 인장과 마크에 대한 기술적 기준과 이러한 인증 메커니즘을 홍보하고 인정하는 메커니즘을 규정하는 이행 법률을 채택할 수 있다. 해당 이행 법률은 제93조(2)에 규정된 심사 절차에 따라 채택되어야 한다.

관련 교과서

제93조 GDPR. 위원회(Committee) 절차

[…]

2. 본 항을 참조하는 경우, 규정서 (EU) No 182/2011의 제5조가 적용되어야 한다.

[…]

유럽연합 일반 데이터 보호 규칙(EU GDPR)

Source: http://www.pipc.go.kr/cmt/not/ntc/selectBoardArticle.do?nttId=5969&bbsId=BBSMSTR_000000000121&bbsTyCode=BBST03&bbsAttrbCode=BBSA03&authFlag=Y&pageIndex=6

지침 및 사례 법률 코멘트를 남겨주세요

지침 및 사례 법률

(EN)

Documents

EDPB, Guidelines 1/2018 on Certification and Identifying Certification Criteria in Accordance with Articles 42 and 43 of the Regulation (2019).

EDPB, Guidelines 4/2018 on the Accreditation of Certification Bodies under Article 43 of the General Data Protection Regulation (2016/679) (2019).

코멘트를 남겨주세요

[js-disqus]