항해
제I장 일반 규정 (1-4)
제1조. 주제 및 목적제2조. 물적 범위제3조. 영토의 범위제4조. 정의
제II장 원칙 (5-11)
제5조. 개인정보 처리 원칙제6조. 처리의 적법성제7조. 동의의 조건제8조. 정보사회 서비스와 관련하여 아동의 동의에 적용되는 조건제9조. 특별 범주의 개인정보의 처리제10조. 범죄경력 및 범죄행위에 관한 개인정보의 처리제11조. 신원확인을 요하지 않는 개인정보의 처리
제III장 정보주체의 권리 (12-23)
제12조. 정보주체의 권리 행사를 위한 투명한 정보, 통지 및 형식제13조. 개인정보가 정보주체로부터 수집되는 경우 제공되는 정보제14조. 개인정보가 정보주체로부터 수집되지 않은 경우 제공되는 정보제15조. 정보주체의 열람권제16조. 정정권제17조. 삭제권(‘잊힐 권리’)제18조. 처리에 대한 제한권제19조. 개인정보의 정정이나 삭제 또는 처리의 제한에 관한 고지 의무제20조. 개인정보 이동권제21조. 반대할 권리제22조. 프로파일링 등 자동화된 개별 의사결정제23조. 제한
제IV장 컨트롤러와 프로세서 (24-43)
제24조. 주제 및 목적제25조. 설계 및 기본설정에 의한 개인정보 보호제26조. 공동 컨트롤러제27조. 유럽연합 내에 설립되지 않은 컨트롤러 또는 프로세서의 대리인제28조. 프로세서제29조. 컨트롤러 및 프로세서의 권한에 따른 처리제30조. 처리 활동의 기록제31조. 감독기관과의 협력제32조. 처리의 보안제33조. 감독기관에 대한 개인정보 침해 통지제34조. 정보주체에 대한 개인정보 침해 통지제35조. 개인정보보호 영향평가제36조. 사전 자문제37조. 데이터보호 담당관의 지정제38조. 데이터보호담당관의 지위제39조. 데이터보호담당관의 업무제40조. 행동강령제41조. 승인된 행동강령의 모니터링제42조. 인증제43조. 인증기관
제V장 제3국 및 국제기구로의 개인정보 이전 (44-50)
제44조. 이전을 위한 통칙
제45조. 적정성 결정에 따른 이전
제46조. 적정한 안전조치에 의한 이전제47조. 의무적 기업 규칙제48조. 유럽연합 법률로 승인되지 않은 정보의 이전 또는 제공제49조. 특정 상항에 대한 적용의 일부 제외제50조. 개인정보 보호를 위한 국제협력
제VI장 독립적인 감독기관 (51-59)
제51조. 감독기관제52조. 독립성제53조. 감독기관 위원(들)의 일반 조건제54조. 감독기관 설립에 관한 규칙제55조. 법적 자격(competence)제56조. 선임 감독기관의 법적 자격제57조. 업무제58조. 권한제59조. 활동 보고서
제VII장 협력 및 일관성 (60-70)
제60조. 선임 감독기관과 기타 관련 감독기관 간 협력제61조. 상호 지원제62조. 감독기관의 공동 작업제63조. 일관성 메커니즘제64조. 유럽 데이터보호이사회 의견제65조. 유럽 데이터보호이사회의 분쟁 해결제66조. 긴급성(시급성) 절차제67조. 정보의 교환제68조. 유럽 데이터보호이사회제69조. 독립성제70조. 유럽 데이터보호이사회의 업무제71조. 보고서제72조. 절차제73조. 의장제74조. 의장의 역할제75조. 사무국제76조. 기밀성
제VIII장 구제책, 책임, 처벌 (77-84)
제77조. 감독기관에 민원을 제기할 권리제78조. 감독기관에 대한 효과적인 사법구제권제79조. 컨트롤러나 프로세서를 상대로 한 효과적인 사법구제권제80조. 정보주체의 대리제81조. 법적 절차 중지제82조. 보상 권리 및 책임제83조. 행정 과태료 부과에 관한 일반 조건제84조. 처벌
제IX장 특정 처리 상황에 관한 규정 (85-91)
제85조. 개인정보 처리 및 표현과 정보의 자유제86조. 개인정보 처리 및 공식 문서 공개제87조. 국가 식별번호의 처리제88조. 고용 환경에서의 처리제89조. 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적, 또는 통계적 목적을 위한 처리와 관련한 안전조치 및 적용의 일부 제외제90조. 기밀유지의 의무제91조. 교회 및 종교 단체의 현행 정보보호 규정
제X장 위임법률 및 이행법률 (92-93)
제92조. 위임의 행사제93조. 위원회(Committee) 절차
제XI장 최종 규정 (94-95)
제94조. 지침 95/46/EC의 폐기제95조. 지침 2002/58/EC와의 관계제96조. 이전에 체결된 협정과의 관계제97조. 집행위원회 보고서제98조. 기타 유럽연합의 정보보호 법률에 대한 검토제99조. 발효 및 적용
GDPR > 제45조. 적정성 결정에 따른 이전
다운로드 PDF

제45조 GDPR. 적정성 결정에 따른 이전

1. 제3국 또는 국제기구로의 개인정보 이전은 집행위원회가 제3국, 해당 제3국의 영토나 하나 이상의 지정 부문, 또는 국제기구가 적정한 보호수준을 보장한다고 결정한 경우 가능하다. 그러한 이전에는 어떤 특정한 승인이 요구되지 않는다.

전문 (Recitals)
전문 (Recitals)

(103) 집행위원회는 제3국이나 제3국의 영토 혹은 지정된(specified) 분야, 혹은 국제기관에서 적절한 수준이 개인정보보호를 보장하고 있다는 유효한 결정을, 유럽전체를 대신하여 내릴 수 있다. 따라서 유럽연합 전체는 이러한 보호수준을 보장한다고 간주되는 제3국이나 국제기관에 대해 법적 확실성과 균등성(uniformity)을 보장받을 수 있다. 이 경우, 해당 제3국이나 국제기관으로의 개인정보 이전은 추가적인 승인을 받을 필요 없이 진행될 수 있다. 또한 해당 제3국이나 국제기관에 사유를 설명하는 통지 및 성명서 전체를 전달한 후, 이러한 결정을 철회할 수 있다.

2. 보호 수준의 적정성을 평가할 때 집행위원회는 다음의 요소를 특히 고려해야 한다.

전문 (Recitals)
전문 (Recitals)

(104) 유럽연합 창설의 근거가 되는 인권보호 등의 기본적 가치에 따라, 집행위원회는, 제3국 또는 제3국의 영토나 규정된 분야에 대한 집행위원회의 평가에서, 해당 제3국이 법치주의, 국제인권 규범·기준 및 정의 구현, 그리고 공안·국방·국가안보 및 치안과 형법 등 자국의 전반적·분야별 법률을 준수하는지를 고려해야 한다. 제3국내의 영토나 지정된 분야에 대한 적정성 결정의 채택시에는 구체적인 정보처리 활동, 유효하고 적용 가능한 법적 기준 및 법률의 영역 등 해당 국가의 명확하고 객관적인 기준이 고려되어야 한다. 해당 제3국은 유럽연합 내에서 보장되는 수준에 상응하는 적정 수준의 개인정보 보호를 보장해야 한다. 이는 특히 개인정보가 하나 이상의 지정된 분야에서 처리될 경우 더욱 그러하다. 해당 제3국은 효과적이고 독립적인 개인정보보호 감독을 보장하고 회원국의 DPA와의 협력 메커니즘을 가능하게 해야 한다. 관련 정보주체는 효과적이고 행사 가능한 권리와 효과적인 행정적·사법적 구제방안을 제공받아야 한다.

(105) 제3국이나 국제기구가 체결한 국제협약과 별개로, 집행위원회는 해당 제3국이나 국제기구가 가입한 제도, 특히 개인정보 보호와 관련한 다자간·지역적 제도로부터 부여받은 의무 및 해당 의무의 이행을 고려해야 한다. 특히 1981년 1월 28일자 개인정보 자동처리 및 추가의정서에 대한 개인보호 유럽평의회 협약에 대한 제3국의 가입여부가 고려되어야 한다, 집행위원회는 제3국 또는 국제기구의 보호 수준을 평가 시, 각료이사회의 자문을 구해야 한다.

(a) 법치주의, 인권 및 기본적 자유의 존중, 공안, 국방, 국가보안 및 형법, 공공기관의 개인정보 이용을 다룬 전반적•분야별 관련 법률, 이 같은 법률, 개인정보 규칙, 전문성 규칙, 보안 조치의 시행(향후 기타 제3국 또는 국제기구로의 개인정보 이전을 위한 규칙도 포함하는 이 규칙은 해당 제3국 또는 국제기구에서 준수되는 것임), 사법적 판례, 유효하고 구속력 있는 정보주체의 권리, 개인정보를 침해당한 정보주체를 위한 유효한 행정적 및 사법적 구제책

(b) 정보주체의 권리 행사의 지원과 권고 및 회원국 감독기관들과의 협력 등 개인정보 보호 규정의 준수를 보장하고 강요할 의무가 있는, 제3국에 소재하거나 국제기구에 적용되는 하나 이상의 독립적 감독기관의 유무 및 해당 기관의 효과적인 작동 여부

(c) 특히 개인정보 보호와 관련하여, 제3국이나 국제기구가 체결한 국제 협정, 또는 법적 구속력 있는 조약이나 문서 및 다자간•지역적 기구에의 참여로 인해 주어진 기타 의무

3. 집행위원회는 보호 수준의 적정성 여부를 평가한 후 제3국, 해당 제3국의 영토나 하나 이상의 지정 부문, 또는 해당 국제기구가 본 조 2항의 의미 내에서 적정한 보호 수준을 보장하는지를 판단할 수 있다. 이행 법률은 최소한 4년마다의 정기적 검토를 위한 메커니즘을 규정해야 하고 검토에는 제3국이나 국제기구 내의 관련 추이사항 일체가 고려되어야 한다. 이행 법률은 영토 및 부문별 적용에 대한 규정을 명시하고, 적용이 가능한 경우 본 조 제2항 (b)호의 감독기관(들)에 대해 확인해야 한다. 이행 법률은 제93조(2)의 검토 절차에 따라 채택되어야 한다.

관련 교과서
관련 교과서

4. 집행위원회는 본 조 제3항에 준하여 채택된 결정 및 지침 95/46/EC의 제25조(6)항을 근거로 채택된 결정의 작동에 영향을 미칠 수 있는 제3국 및 국제기구 내의 추이사항을 지속적으로 모니터링 해야 한다.

전문 (Recitals)
전문 (Recitals)

(106) 집행위원회는 제3국, 제3국내의 영토나 지정된 분야, 또는 국제기구의 정보 보호수준에 대한 적정성 결정이 제대로 작동하는지 모니터링하고 지침 95/46/EC의 제25조(6) 또는 제26조(4)를 근거로 채택된 결정이 제대로 작동하는지 모니터링 해야 한다. 집행위원회는 적정성 결정이 제대로 작동하는지 정기적인 검토를 위한 메커니즘을 규정해야 한다. 정기적인 검토는 해당 제3국이나 국제기구와 협의하여 해당 제3국이나 국제기구 내의 모든 관련 추이를 참작하여 시행되어야 한다. 감시 및 정기적 검토 시행의 목적으로 집행위원회는 유럽의회와 각료이사회, 그리고 기타 관련 기구의 의견 및 조사결과를 참작해야 한다. 집행위원회는 적정한 시간 내에 후속적인 결정들의 작동을 평가하고 그 결과를 유럽의회·각료이사회 규정서 (EU) No 182/2011에 규정된 위원회(Committee) [12], 유럽의회, 그리고 각료이사회에 보고해야 한다.

[12] Regulation (EU) No 182/2011 of the European Parliament and of the Council of 16 February 2011 laying down the rules and general principles concerning mechanisms for control by Member States of the Commission's exercise of implementing powers (OJ L 55, 28.2.2011, p. 13). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:055:TOC

5. 집행위원회는 가용 정보를 통해, 특히 제3항에 명시된 검토 이후 제3국, 해당 제3국의 영토나 하나 이상의 지정 부문, 또는 국제기구가 제2항에서 의미하는 적정한 보호 수준을 더 이상 보장하지 않는다고 판단될 경우, 필요한 정도까지 소급효 없이 제3항의 결정을 철회, 수정, 또는 중지시킬 수 있다. 이행 법률은 제93조(2)의 검토 절차를 따라 채택되어야 한다.

관련 교과서
관련 교과서

충분히 타당하고 긴요한 시급성의 근거가 있는 경우, 제93조(3)의 절차에 따라 집행위원회는 즉시 적용 가능한 이행 법률을 채택하여야 한다.

관련 교과서
관련 교과서

6. 집행위원회는 제5항에 의거하여 내린 결정을 초래한 상황을 시정할 목적으로 제3국이나 국제기구와 협의해야 한다.

전문 (Recitals)
전문 (Recitals)

(107) 집행위원회는 제3국, 제3국내의 영토나 지정된 부문, 또는 국제기구가 더 이상 적정한 수준의 개인정보보호를 보장하지 않는다는 것을 인지할 수 있다. 이 경우, 구속력 있는 기업규칙(binding corporate rules) 등 적절한 안전장치에 근거하거나, 구체적 상황에 따른 적용제외(derogations)가 필요한 경우일 때를 제외하고는 해당 제3국이나 국제기구로의 개인정보 이전은 금지되어야 한다. 이 경우, 집행위원회와 해당 제3국이나 국제기구 간의 협의를 준비해야 한다. 집행위원회는 시기적절하게 관련 제3국이나 국제기구에 사유를 통보하고 상황 해결을 위한 협의에 들어가야 한다.

7. 제5항에 의거한 결정은 제46조부터 제49조까지에 따른 해당의 제3국, 제3국의 영토나 하나 이상의 지정 부문, 또는 국제기구로의 개인정보 이전을 침해하지 않는다.

관련 교과서
관련 교과서

8. 집행위원회는 적정한 보호 수준이 보장되거나 또는 더 이상 보장되지 않는다고 판단된 제3국, 제3국의 영토와 지정 부문, 및 국제기구 목록을 유럽연합 관보 및 웹사이트에 게재해야 한다.

9. 지침 95/46/EC의 제25조(6)를 근거로 집행위원회가 채택하는 결정은 본 조 제3항 또는 제5항에 따라 채택되는 집행위원회 결정으로 수정, 대체, 폐지될 때까지 유효해야 한다.

유럽연합 일반 데이터 보호 규칙(EU GDPR)

Source: http://www.pipc.go.kr/cmt/not/ntc/selectBoardArticle.do?nttId=5969&bbsId=BBSMSTR_000000000121&bbsTyCode=BBST03&bbsAttrbCode=BBSA03&authFlag=Y&pageIndex=6

ISO 27701 전문 (Recitals) 지침 및 사례 법률 코멘트를 남겨주세요
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 45 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).


전체 텍스트에 액세스하려면

전문 (Recitals)

(103) 집행위원회는 제3국이나 제3국의 영토 혹은 지정된(specified) 분야, 혹은 국제기관에서 적절한 수준이 개인정보보호를 보장하고 있다는 유효한 결정을, 유럽전체를 대신하여 내릴 수 있다. 따라서 유럽연합 전체는 이러한 보호수준을 보장한다고 간주되는 제3국이나 국제기관에 대해 법적 확실성과 균등성(uniformity)을 보장받을 수 있다. 이 경우, 해당 제3국이나 국제기관으로의 개인정보 이전은 추가적인 승인을 받을 필요 없이 진행될 수 있다. 또한 해당 제3국이나 국제기관에 사유를 설명하는 통지 및 성명서 전체를 전달한 후, 이러한 결정을 철회할 수 있다.

(104) 유럽연합 창설의 근거가 되는 인권보호 등의 기본적 가치에 따라, 집행위원회는, 제3국 또는 제3국의 영토나 규정된 분야에 대한 집행위원회의 평가에서, 해당 제3국이 법치주의, 국제인권 규범·기준 및 정의 구현, 그리고 공안·국방·국가안보 및 치안과 형법 등 자국의 전반적·분야별 법률을 준수하는지를 고려해야 한다. 제3국내의 영토나 지정된 분야에 대한 적정성 결정의 채택시에는 구체적인 정보처리 활동, 유효하고 적용 가능한 법적 기준 및 법률의 영역 등 해당 국가의 명확하고 객관적인 기준이 고려되어야 한다. 해당 제3국은 유럽연합 내에서 보장되는 수준에 상응하는 적정 수준의 개인정보 보호를 보장해야 한다. 이는 특히 개인정보가 하나 이상의 지정된 분야에서 처리될 경우 더욱 그러하다. 해당 제3국은 효과적이고 독립적인 개인정보보호 감독을 보장하고 회원국의 DPA와의 협력 메커니즘을 가능하게 해야 한다. 관련 정보주체는 효과적이고 행사 가능한 권리와 효과적인 행정적·사법적 구제방안을 제공받아야 한다.

(105) 제3국이나 국제기구가 체결한 국제협약과 별개로, 집행위원회는 해당 제3국이나 국제기구가 가입한 제도, 특히 개인정보 보호와 관련한 다자간·지역적 제도로부터 부여받은 의무 및 해당 의무의 이행을 고려해야 한다. 특히 1981년 1월 28일자 개인정보 자동처리 및 추가의정서에 대한 개인보호 유럽평의회 협약에 대한 제3국의 가입여부가 고려되어야 한다, 집행위원회는 제3국 또는 국제기구의 보호 수준을 평가 시, 각료이사회의 자문을 구해야 한다.

(106) 집행위원회는 제3국, 제3국내의 영토나 지정된 분야, 또는 국제기구의 정보 보호수준에 대한 적정성 결정이 제대로 작동하는지 모니터링하고 지침 95/46/EC의 제25조(6) 또는 제26조(4)를 근거로 채택된 결정이 제대로 작동하는지 모니터링 해야 한다. 집행위원회는 적정성 결정이 제대로 작동하는지 정기적인 검토를 위한 메커니즘을 규정해야 한다. 정기적인 검토는 해당 제3국이나 국제기구와 협의하여 해당 제3국이나 국제기구 내의 모든 관련 추이를 참작하여 시행되어야 한다. 감시 및 정기적 검토 시행의 목적으로 집행위원회는 유럽의회와 각료이사회, 그리고 기타 관련 기구의 의견 및 조사결과를 참작해야 한다. 집행위원회는 적정한 시간 내에 후속적인 결정들의 작동을 평가하고 그 결과를 유럽의회·각료이사회 규정서 (EU) No 182/2011에 규정된 위원회(Committee) [12], 유럽의회, 그리고 각료이사회에 보고해야 한다.

[12] Regulation (EU) No 182/2011 of the European Parliament and of the Council of 16 February 2011 laying down the rules and general principles concerning mechanisms for control by Member States of the Commission's exercise of implementing powers (OJ L 55, 28.2.2011, p. 13). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:055:TOC

(107) 집행위원회는 제3국, 제3국내의 영토나 지정된 부문, 또는 국제기구가 더 이상 적정한 수준의 개인정보보호를 보장하지 않는다는 것을 인지할 수 있다. 이 경우, 구속력 있는 기업규칙(binding corporate rules) 등 적절한 안전장치에 근거하거나, 구체적 상황에 따른 적용제외(derogations)가 필요한 경우일 때를 제외하고는 해당 제3국이나 국제기구로의 개인정보 이전은 금지되어야 한다. 이 경우, 집행위원회와 해당 제3국이나 국제기구 간의 협의를 준비해야 한다. 집행위원회는 시기적절하게 관련 제3국이나 국제기구에 사유를 통보하고 상황 해결을 위한 협의에 들어가야 한다.

지침 및 사례 법률 코멘트를 남겨주세요
[js-disqus]