항해
GDPR > 제47조. 의무적 기업 규칙
다운로드 PDF

제47조 GDPR. 의무적 기업 규칙

Article 47 GDPR. Binding corporate rules

1. 관할 감독기관은 제63조에 명시된 일관성 메커니즘에 따라 의무적 기업 규칙을 승인해야 한다. 단, 그 규칙이 다음 각 호를 전제로 해야 한다.

1. The competent supervisory authority shall approve binding corporate rules in accordance with the consistency mechanism set out in Article 63, provided that they:

관련 교과서

(a) 법적 구속력이 있으며 피고용인 등 공동 경제활동에 관여하는 사업체 집단 또는 기업 집단의 모든 구성원들에게 적용되고 그들에 의해 이행되는 경우

(a) are legally binding and apply to and are enforced by every member concerned of the group of undertakings, or group of enterprises engaged in a joint economic activity, including their employees;

(b) 본인의 개인정보 처리와 관련하여 정보주체에게 명시적으로 구속력 있는 권리를 부여하는 경우

(b) expressly confer enforceable rights on data subjects with regard to the processing of their personal data; and

(c) 제2항의 요건을 충족시키는 경우

(c) fulfil the requirements laid down in paragraph 2.

2. 제1항의 의무적 기업 규칙은 최소한 다음 각 호를 명시해야 한다.

2. The binding corporate rules referred to in paragraph 1 shall specify at least:

(a) 공동 경제활동에 관여하는 사업체 집단이나 기업 집단 및 각 구성원의 구조와 연락처

(a) the structure and contact details of the group of undertakings, or group of enterprises engaged in a joint economic activity and of each of its members;

(b) 개인정보의 범주, 처리 유형과 목적, 관련 정보주체의 유형 및 해당 제3국의 신원 확인 등의 정보 이전 또는 이전 건 일체

(b) the data transfers or set of transfers, including the categories of personal data, the type of processing and its purposes, the type of data subjects affected and the identification of the third country or countries in question;

(c) 내외부적으로 법적 구속력이 있는 특성

(c) their legally binding nature, both internally and externally;

(d) 특히 목적제한과 데이터 최소화, 보관기간 제한, 정보 품질, 설계 및 기본설정에 의한 정보보호, 정보처리의 법적 근거, 특별 범주의 개인정보 처리, 정보 보안 확보 대책 등의 일반 정보보호 원칙 및 향후 의무적 기업 규칙의 구속을 받지 않는 기관에 대한 재이전과 관련된 요건의 적용

(d) the application of the general data protection principles, in particular purpose limitation, data minimisation, limited storage periods, data quality, data protection by design and by default, legal basis for processing, processing of special categories of personal data, measures to ensure data security, and the requirements in respect of onward transfers to bodies not bound by the binding corporate rules;

관련 교과서

(e) 제22조에 의거한 프로파일링 등 자동 처리만을 근거로 한 결정을 따르지 않을 권리, 제79조에 의거한 관할 감독기관 및 회원국 관할 법원에 민원을 제기할 권리 그리고 구제 및 해당하는 경우 의무적 기업 규칙 위반에 대한 보상을 받을 권리 등 개인정보 처리에 관한 정보주체의 권리 및 이 권리를 행사하기 위한 수단

(e) the rights of data subjects in regard to processing and the means to exercise those rights, including the right not to be subject to decisions based solely on automated processing, including profiling in accordance with Article 22, the right to lodge a complaint with the competent supervisory authority and before the competent courts of the Member States in accordance with Article 79, and to obtain redress and, where appropriate, compensation for a breach of the binding corporate rules;

관련 교과서

(f) 회원국 영토에 설립된 컨트롤러 또는 프로세서가 유럽연합 역내에 설립되지 않은 구성원의 의무적 기업 규칙 위반에 대한 책임을 인정. 컨트롤러 또는 프로세서는 해당 구성원이 피해를 초래한 사건에 대한 책임이 없음을 입증하는 경우에 한해 전적 또는 부분적으로 그 책임을 면제받아야 한다.

(f) the acceptance by the controller or processor established on the territory of a Member State of liability for any breaches of the binding corporate rules by any member concerned not established in the Union; the controller or the processor shall be exempt from that liability, in whole or in part, only if it proves that that member is not responsible for the event giving rise to the damage;

(g) 제13조 및 제14조에 더하여, 특히 본 항의 (d), (e), (f)호에 명시된 규정 등 의무적 기업 규칙에 관한 정보가 정보주체에 제공되는 방식

(g) how the information on the binding corporate rules, in particular on the provisions referred to in points (d), (e) and (f) of this paragraph is provided to the data subjects in addition to Articles 13 and 14;

관련 교과서

(h) 제37조에 따라 지정된 데이터보호담당관, 또는 공동 경제활동에 종사하는 사업체 집단이나 기업 집단 내에서 의무적 기업 규칙의 준수 여부 모니터링, 모니터링 교육 및 민원처리를 담당하는 제3자 또는 주체의 업무

(h) the tasks of any data protection officer designated in accordance with Article 37 or any other person or entity in charge of the monitoring compliance with the binding corporate rules within the group of undertakings, or group of enterprises engaged in a joint economic activity, as well as monitoring training and complaint-handling;

관련 교과서

(i) 민원 절차

(i) the complaint procedures;

(j) 공동 경제활동에 관여하는 사업체 집단 또는 기업 집단 내의 의무적 기업 규칙의 준수 여부를 검증하기 위한 메커니즘. 그러한 메커니즘은 정보주체의 권리를 보호하기 위한 시정조치를 보장할 정보보호 감사 및 방법을 포함해야 한다. 해당 검증 결과는 (h)호의 개인이나 개체 및 기업 집단이나 그 사업을 총괄하는 이사회에게 통지해야 하고, 요청 시 관할 감독기관에 제공되어야 한다.

(j) the mechanisms within the group of undertakings, or group of enterprises engaged in a joint economic activity for ensuring the verification of compliance with the binding corporate rules. Such mechanisms shall include data protection audits and methods for ensuring corrective actions to protect the rights of the data subject. Results of such verification should be communicated to the person or entity referred to in point (h) and to the board of the controlling undertaking of a group of undertakings, or of the group of enterprises engaged in a joint economic activity, and should be available upon request to the competent supervisory authority;

(k) 규칙의 변경사항을 보고 및 기록하기 위한 메커니즘과 해당 변경사항을 감독기관에 보고하기 위한 메커니즘

(k) the mechanisms for reporting and recording changes to the rules and reporting those changes to the supervisory authority;

(l) 특히 (j)호의 조치 검증 결과를 감독기관에 공개함으로써 공동 경제활동에 종사하는 사업체 집단 또는 사업체 집단 구성원의 규칙 준수를 보장하기 위한 감독기관과의 협력 메커니즘

(l) the cooperation mechanism with the supervisory authority to ensure compliance by any member of the group of undertakings, or group of enterprises engaged in a joint economic activity, in particular by making available to the supervisory authority the results of verifications of the measures referred to in point (j);

(m) 공동 경제활동에 종사하는 사업체 집단이나 기업 집단의 구성원이 제3국에서 적용을 받고, 의무적 기업 규칙이 보장하는 바에 상당한 악영향을 미칠 것으로 예상되는 법적 요건을 관할 감독기관에 보고하는 메커니즘

(m) the mechanisms for reporting to the competent supervisory authority any legal requirements to which a member of the group of undertakings, or group of enterprises engaged in a joint economic activity is subject in a third country which are likely to have a substantial adverse effect on the guarantees provided by the binding corporate rules; and

(n) 상시적 또는 정기적으로 개인정보를 열람할 수 있는 직원을 대상으로 한 적절한 정보보호 교육

(n) the appropriate data protection training to personnel having permanent or regular access to personal data.

3. 집행위원회는 본 조의 의미 내에서 의무적 기업 규칙에 대해 컨트롤러 또는 프로세서, 프로세서, 감독기관 간에 이루어지는 정보 교환에 필요한 양식과 절차를 정할 수 있다. 그러한 이행 법률은 제93조(2)의 검토 절차에 따라 채택되어야 한다.

3. The Commission may specify the format and procedures for the exchange of information between controllers, processors and supervisory authorities for binding corporate rules within the meaning of this Article. Those implementing acts shall be adopted in accordance with the examination procedure set out in Article 93(2).

관련 교과서
ISO 27701 전문 (Recitals) 지침 및 사례 법률 코멘트를 남겨주세요
ISO 27701

(EN) ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 47 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).


전체 텍스트에 액세스하려면

전문 (Recitals)

(110) 공동 경제활동에 종사하는 사업체나 기업 집단은 유럽연합으로부터 공동 경제활동에 종사하는 동일 사업체나 기업 집단 내 단체로의 개인정보 국외이전을 위해 승인된 의무적 기업규칙을 활용할 수 있어야 한다. 단, 그 같은 의무적 기업규칙에 개인정보 이전 또는 개인정보 이전의 범주에 대한 적정한 안전조치를 보장하는 모든 필수적인 원칙과 구속력 있는 권리가 포함되어야 한다.

(110) A group of undertakings, or a group of enterprises engaged in a joint economic activity, should be able to make use of approved binding corporate rules for its international transfers from the Union to organisations within the same group of undertakings, or group of enterprises engaged in a joint economic activity, provided that such corporate rules include all essential principles and enforceable rights to ensure appropriate safeguards for transfers or categories of transfers of personal data.

지침 및 사례 법률 코멘트를 남겨주세요
[js-disqus]