항해
GDPR > 제46조. 적정한 안전조치에 의한 이전
다운로드 PDF

제46조 GDPR. 적정한 안전조치에 의한 이전

Article 46 GDPR. Transfers subject to appropriate safeguards

1. 제45조(3)에 의거한 결정이 없을 경우, 컨트롤러나 프로세서는 적정한 안전조치를 제공한 경우에 한하여, 정보주체가 행사할 수 있는 권리와 유효한 법적 구제책이 제공되는 조건으로 제3국 또는 국제기구에 개인정보를 이전할 수 있다.

1. In the absence of a decision pursuant to Article 45(3), a controller or processor may transfer personal data to a third country or an international organisation only if the controller or processor has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available.

관련 교과서

2. 제1항의 적정한 안전조치는 감독기관의 특별한 승인을 요하지 아니하고 다음 각 호에 의해 제공될 수 있다.

2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:

전문 (Recitals)

(108) 적정성 결정이 없을 경우, 컨트롤러나 프로세서는 정보주체를 위한 적절한 안전장치를 통해 제3국에서의 정보보호의 미흡함을 보완하기 위한 조치를 취해야 한다. 이 같은 적절한 안전장치로는 의무적 기업규칙(binding corporate rules), 집행위원회가 채택한 정보보호 표준조항(standard data protection clauses), 감독기관이 채택한 정보보호 표준조항 또는 감독기관이 승인한 계약조항(contractual clauses)을 활용할 수 있다. 이 같은 안전장치를 통해 유럽연합 역내의 정보처리에 적절한 개인정보 보호의 요건 및 정보주체의 권리가 보장되도록 해야 하며, 안전장치에는 유럽연합 및 제3국내에서 시행 가능한 정보주체의 권리의 가용조치, 효과적인 행정적, 사법적 구제 조치를 모색하고 보상을 요청하는 등, 효과적인 법적 구제를 위한 가용조치 등이 포함된다. 이러한 안전장치는 특히 개인정보처리에 관련된 일반적인 원칙, 데이터보호 설계 및 기본설정의 원칙을 준수해야 한다. MOU 등 행정협정에 삽입될 규정이 정보주체에 시행가능하고 효과적인 권리를 제공한다는 근거에 따라, 공공기관이나 공공기구는 제3국에 설립된 공공기관이나 공공기구 혹은 이에 상응하는 의무나 기능을 지닌 국제기관으로 정보를 이전할 수 있다. 법적 구속력이 없는 행정 협정에 안전장치가 제시될 경우 관련 감독기관의 승인이 필요하다.

(108) In the absence of an adequacy decision, the controller or processor should take measures to compensate for the lack of data protection in a third country by way of appropriate safeguards for the data subject. Such appropriate safeguards may consist of making use of binding corporate rules, standard data protection clauses adopted by the Commission, standard data protection clauses adopted by a supervisory authority or contractual clauses authorised by a supervisory authority. Those safeguards should ensure compliance with data protection requirements and the rights of the data subjects appropriate to processing within the Union, including the availability of enforceable data subject rights and of effective legal remedies, including to obtain effective administrative or judicial redress and to claim compensation, in the Union or in a third country. They should relate in particular to compliance with the general principles relating to personal data processing, the principles of data protection by design and by default. Transfers may also be carried out by public authorities or bodies with public authorities or bodies in third countries or with international organisations with corresponding duties or functions, including on the basis of provisions to be inserted into administrative arrangements, such as a memorandum of understanding, providing for enforceable and effective rights for data subjects. Authorisation by the competent supervisory authority should be obtained when the safeguards are provided for in administrative arrangements that are not legally binding.

(109) 컨트롤러나 프로세서가 집행위원회나 감독기관이 채택한 정보보호 표준조항을 활용한다면, 컨트롤러나 프로세서가 당해 프로세서와 기타 프로세서 간의 계약 등, 보다 광범위한 계약에 정보보호 표준조항을 포함시키는 것은 금지되어야 하며, 또는 집행위원회나 감독기관이 채택한 정보보호 표준조항이 직·간접적으로 위배하지 않고 정보주체의 기본권이나 자유를 침해하지 않는다고 하여, 기타 조항이나 추가적인 안전장치를 더해서는 안 된다. 컨트롤러와 프로세서는 정보보호 표준조항을 보완하는 계약적 의무를 통해 추가적인 안전장치를 제공하도록 독려되어야 한다.

(109) The possibility for the controller or processor to use standard data-protection clauses adopted by the Commission or by a supervisory authority should prevent controllers or processors neither from including the standard data-protection clauses in a wider contract, such as a contract between the processor and another processor, nor from adding other clauses or additional safeguards provided that they do not contradict, directly or indirectly, the standard contractual clauses adopted by the Commission or by a supervisory authority or prejudice the fundamental rights or freedoms of the data subjects. Controllers and processors should be encouraged to provide additional safeguards via contractual commitments that supplement standard protection clauses.

(a) 공공당국 또는 기관 간에 법적 구속력이 있고 강제할 수 있는 장치

(a) a legally binding and enforceable instrument between public authorities or bodies;

(b) 제47조에 따른 의무적 기업 규칙

(b) binding corporate rules in accordance with Article 47;

관련 교과서

(c) 제93조(2)의 검토 절차에 따라 집행위원회가 채택한 정보보호 표준조항

(c) standard data protection clauses adopted by the Commission in accordance with the examination procedure referred to in Article 93(2);

지침 및 사례 법률 관련 교과서

(d) 감독기관이 채택하고 제93(2)조의 검토 절차에 따라 집행위원회가 승인한 정보보호 표준조항

(d) standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to in Article 93(2);

관련 교과서

(e) 정보주체의 권리에 관한 것 등 적정한 안전조치를 적용하기 위한 것으로 법적 구속력 및 강제력이 있는 제3국의 컨트롤러나 프로세서의 약속을 포함한 제40조에 의거한 공인 행동강령

(e) an approved code of conduct pursuant to Article 40 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects’ rights; or

(f) 정보주체의 권리에 관한 것 등 적정한 안전조치를 적용하기 위한 것으로 법적 구속력 및 강제력이 있는 제3국의 컨트롤러나 프로세서의 약속을 포함한 제42조에 의거한 공인 인증 메커니즘

(f) an approved certification mechanism pursuant to Article 42 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects’ rights.

3. 제1항의 적정한 안전조치는 관할 감독기관의 승인을 거쳐 특히 다음 각 호를 통해서도 제공될 수 있다.

3. Subject to the authorisation from the competent supervisory authority, the appropriate safeguards referred to in paragraph 1 may also be provided for, in particular, by:

(a) 컨트롤러나 프로세서와 제3국이나 국제기구의 컨트롤러, 프로세서 또는 개인정보 수령인 간의 계약 조항

(a) contractual clauses between the controller or processor and the controller, processor or the recipient of the personal data in the third country or international organisation; or

(b) 공공당국이나 기관 간의 행정 협정에 삽입될 것으로 강제력이 있고 유효한 정보주체의 권리를 포함한 규정

(b) provisions to be inserted into administrative arrangements between public authorities or bodies which include enforceable and effective data subject rights.

4. 감독기관은 본 조 제3항의 사례의 경우 제63조의 일관성 메커니즘을 적용해야 한다.

4. The supervisory authority shall apply the consistency mechanism referred to in Article 63 in the cases referred to in paragraph 3 of this Article.

관련 교과서

5. 지침 95/46/EC의 제26조(2)를 근거로 한 회원국이나 감독기관의 승인은 필요한 경우 해당 감독기관이 수정, 대체, 철회할 때까지 유효해야 한다. 지침 95/46/EC의 제26조(4)를 근거로 집행위원회가 채택하는 결정은 필요한 경우 본 조 제2항에 따라 채택된 집행위원회 결정에 의해 수정, 대체 또는 철회될 때까지 유효해야 한다.

5. Authorisations by a Member State or supervisory authority on the basis of Article 26(2) of Directive 95/46/EC shall remain valid until amended, replaced or repealed, if necessary, by that supervisory authority. Decisions adopted by the Commission on the basis of Article 26(4) of Directive 95/46/EC shall remain in force until amended, replaced or repealed, if necessary, by a Commission Decision adopted in accordance with paragraph 2 of this Article.

ISO 27701 전문 (Recitals) 지침 및 사례 법률 코멘트를 남겨주세요
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 46 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).


전체 텍스트에 액세스하려면

전문 (Recitals)

(108) 적정성 결정이 없을 경우, 컨트롤러나 프로세서는 정보주체를 위한 적절한 안전장치를 통해 제3국에서의 정보보호의 미흡함을 보완하기 위한 조치를 취해야 한다. 이 같은 적절한 안전장치로는 의무적 기업규칙(binding corporate rules), 집행위원회가 채택한 정보보호 표준조항(standard data protection clauses), 감독기관이 채택한 정보보호 표준조항 또는 감독기관이 승인한 계약조항(contractual clauses)을 활용할 수 있다. 이 같은 안전장치를 통해 유럽연합 역내의 정보처리에 적절한 개인정보 보호의 요건 및 정보주체의 권리가 보장되도록 해야 하며, 안전장치에는 유럽연합 및 제3국내에서 시행 가능한 정보주체의 권리의 가용조치, 효과적인 행정적, 사법적 구제 조치를 모색하고 보상을 요청하는 등, 효과적인 법적 구제를 위한 가용조치 등이 포함된다. 이러한 안전장치는 특히 개인정보처리에 관련된 일반적인 원칙, 데이터보호 설계 및 기본설정의 원칙을 준수해야 한다. MOU 등 행정협정에 삽입될 규정이 정보주체에 시행가능하고 효과적인 권리를 제공한다는 근거에 따라, 공공기관이나 공공기구는 제3국에 설립된 공공기관이나 공공기구 혹은 이에 상응하는 의무나 기능을 지닌 국제기관으로 정보를 이전할 수 있다. 법적 구속력이 없는 행정 협정에 안전장치가 제시될 경우 관련 감독기관의 승인이 필요하다.

(108) In the absence of an adequacy decision, the controller or processor should take measures to compensate for the lack of data protection in a third country by way of appropriate safeguards for the data subject. Such appropriate safeguards may consist of making use of binding corporate rules, standard data protection clauses adopted by the Commission, standard data protection clauses adopted by a supervisory authority or contractual clauses authorised by a supervisory authority. Those safeguards should ensure compliance with data protection requirements and the rights of the data subjects appropriate to processing within the Union, including the availability of enforceable data subject rights and of effective legal remedies, including to obtain effective administrative or judicial redress and to claim compensation, in the Union or in a third country. They should relate in particular to compliance with the general principles relating to personal data processing, the principles of data protection by design and by default. Transfers may also be carried out by public authorities or bodies with public authorities or bodies in third countries or with international organisations with corresponding duties or functions, including on the basis of provisions to be inserted into administrative arrangements, such as a memorandum of understanding, providing for enforceable and effective rights for data subjects. Authorisation by the competent supervisory authority should be obtained when the safeguards are provided for in administrative arrangements that are not legally binding.

(109) 컨트롤러나 프로세서가 집행위원회나 감독기관이 채택한 정보보호 표준조항을 활용한다면, 컨트롤러나 프로세서가 당해 프로세서와 기타 프로세서 간의 계약 등, 보다 광범위한 계약에 정보보호 표준조항을 포함시키는 것은 금지되어야 하며, 또는 집행위원회나 감독기관이 채택한 정보보호 표준조항이 직·간접적으로 위배하지 않고 정보주체의 기본권이나 자유를 침해하지 않는다고 하여, 기타 조항이나 추가적인 안전장치를 더해서는 안 된다. 컨트롤러와 프로세서는 정보보호 표준조항을 보완하는 계약적 의무를 통해 추가적인 안전장치를 제공하도록 독려되어야 한다.

(109) The possibility for the controller or processor to use standard data-protection clauses adopted by the Commission or by a supervisory authority should prevent controllers or processors neither from including the standard data-protection clauses in a wider contract, such as a contract between the processor and another processor, nor from adding other clauses or additional safeguards provided that they do not contradict, directly or indirectly, the standard contractual clauses adopted by the Commission or by a supervisory authority or prejudice the fundamental rights or freedoms of the data subjects. Controllers and processors should be encouraged to provide additional safeguards via contractual commitments that supplement standard protection clauses.

지침 및 사례 법률 코멘트를 남겨주세요
[js-disqus]