제57조 📖 GDPR. 업무

제57조 GDPR. 업무

1. 본 규정에 규정된 다른 업무에 영향을 미치지 아니하고, 각 감독기관은 담당 권역에서 다음 각 호를 수행한다.

(a) 본 규정의 적용에 대한 모니터링 및 집행

(b) 처리와 관련된 위험, 규칙, 안전조치 및 권리에 대한 대중의 인식제고와 이해촉진. 구체적으로 아동을 다루는 활동의 경우, 각별한 주의가 필요하다

(c) 회원국 법률, 국가 의회, 정부 및 기타 기구 및 기관에 따라, 처리와 관련한 개인의 권리 및 자유의 보호에 대한 법률 및 행정 조치에 대한 자문

(d) 본 규정 의거한 컨트롤러 및 프로세서의 각자 의무에 대한 인식 제고

(e) 요청 시, 본 규정에 따른 본인의 권리의 행사와 관한 정보를 정보주체에게 제공하고, 적절한 경우, 이를 위해 기타 회원국 내 감독기관과 공조

(f) 정보주체나 기관, 단체 또는 협회가 제80조에 따라 제기하는 민원을 처리하고, 적절한 범위 내에서 민원의 내용을 조사하고, 합리적인 기간 내에 조사의 진행 상황 및 결과를 민원인에게 통지, 특히 추가 조사나 다른 감독기관과의 조율이 필요한 경우

관련 교과서

제80조 GDPR. 정보주체의 대리

(g) 본 규정의 적용 및 집행의 일관성을 보장하기 위해, 정보 공유 및 상호 지원의 제공 등, 기타 감독기관과의 공조

(h) 기타 감독기관이나 공공기관으로부터 수령한 정보 등을 근거로 본 규정의 적용에 대한 조사 실시

(i) 특히 정보통신기술 및 상업적 관행의 개발 과정에서 개인정보 보호에 영향을 미치는 범위에서 관련 전개 상황(developments)에 대한 모니터링

(j) 제28조(8)과 제46조(2)(d)에 규정된 정보보호 표준계약조항(standard contractual clauses)의 채택

관련 교과서

제28조 GDPR. 프로세서

[…]

8. 감독기관은 본 조 제3항 및 제4항에 규정된 사안에 대하여, 제63조에 규정된 일관성 메커니즘에 따라 정보보호 표준 계약조항을 채택할 수 있다.

[…]

제46조 GDPR. 적정한 안전조치에 의한 이전

[…]

2. 제1항의 적정한 안전조치는 감독기관의 특별한 승인을 요하지 아니하고 다음 각 호에 의해 제공될 수 있다.

(d) 감독기관이 채택하고 제93(2)조의 검토 절차에 따라 집행위원회가 승인한 정보보호 표준조항

[…]

(k) 제35조(4)에 따라 개인정보보호 영향평가에 대한 요건과 관련한 목록 수립 및 유지

관련 교과서

제35조 GDPR. 개인정보보호 영향평가

[…]

4. 감독기관은 제1항에 따라 개인정보보호 영향평가의 요건이 적용되는 처리 작업의 종류의 목록을 작성 및 공개해야 한다. 감독기관은 제68조에 규정된 유럽 데이터보호이사회에 해당 목록을 통보해야 한다.

[…]

(l) 제36조(2)에 규정된 처리 작업에 관한 자문 제공

관련 교과서

제36조 GDPR. 사전 자문

[…]

2. 감독기관이 제1항의 예정된 처리가 본 규정을 위반할 것이라는 의견을 제시하는 경우로서 특히 컨트롤러가 위험을 충분히 파악하거나 완화하지 못한 경우, 감독기관은 자문 요청을 접수한지 8주의 기간 내에 해당 컨트롤러에게 서면 형식의 권고를 제공해야 하고, 해당하는 경우 프로세서에게도 제공해야 하며, 제58조에 규정된 어느 권한이라도 사용할 수가 있다. 해당 기간은 예정된 처리의 복합성을 고려하여 6주까지 연장될 수 있다. 감독기관은 자문 요청을 접수한 후 한 달 내에 컨트롤러에게, 그리고 해당하는 경우 프로세서에게도 지연의 사유와 함께 그 같은 기간 연장에 대해 알려야 한다. 그 기간은 감독기관이 자문의 목적으로 요청한 정보를 입수할 때까지 연기될 수 있다.

[…]

(m) 제40조에 의거한 행동강령 마련을 장려하고 의견을 제시하며, 제40조(5)에 따라 충분한 안전조치를 제공하는 행동강령을 승인

관련 교과서

제40조 GDPR. 행동강령

1. 회원국, 감독기관, 유럽 데이터보호이사회, 집행위원회는 다양한 처리 부문의 명확한 특징과 영세 및 중소기업의 특정 요구를 고려하여 본 규정을 적절히 적용하기 위한 취지의 행동강령을 입안하도록 장려한다.

[…]

5. 행동강령을 작성하거나 기존 강령을 개정 또는 확대할 의도인 본 조 제2항의 협회 또는 기타 기관은 제55조에 따른 권한을 가지는 감독기관에 강령 초안이나 개정 또는 확대 강령을 제출해야 한다. 감독기관은 강령 초안이나 개정 또는 확대 강령이 본 규정에 부합하는지 여부에 대한 의견을 제시하고 적정한 안전조치를 제공한다고 판단되는 경우, 해당 초안이나 개정 또는 확대 강령을 승인해야 한다.

[…]

(n) 제42조(1)에 따른 개인정보 보호 인증 메커니즘과 개인정보 보호 인장 및 상표의 제정 장려 및 제42조(5)에 의거한 인증 기준을 승인

관련 교과서

제42조 GDPR. 인증

1. 회원국과 감독기관, 유럽 데이터보호이사회, 집행위원회는 컨트롤러가 시행하는 처리 작업이 본 규정을 준수하고 있음을 입증하기 위한 목적으로 특히 유럽연합의 차원의 개인정보보호 인증 메커니즘, 개인정보보호 인장 및 마크의 수립을 장려해야 한다. 영세기업이나 중소기업의 특정 요구도 참작되어야 한다.

[…]

5. 본 조문에 따른 인증은 제58조(3)항에 따른 관련 감독기관이나 제63조에 따른 유럽 데이터보호이사회가 승인한 기준을 토대로, 제43조의 인증기관 또는 관련 감독기관이 발급할 수 있다. 해당 기준이 유럽 데이터보호이사회에 의해 승인되는 경우, 이는 공동 인증인 유럽 데이터보호 인장(European Data Protection Seal)으로 이어질 수 있다.

[…]

(o) 해당되는 경우, 제42조(7)에 따라 공표되는 인증에 대한 정기적 검토의 실시

관련 교과서

제42조 GDPR. 인증

[…]

7. 인증은 최대 3년간 컨트롤러나 프로세서에게 발급되어야 하며 관련 요건이 계속적으로 충족되는 경우 동일한 조건에 따라 갱신될 수 있다. 제43조에 규정된 인증기관 또는 관련 감독기관은 인증 요건이 충족되지 않을 경우, 인증을 철회하여야 한다.

[…]

(p) 제41조에 의거한 행동강령의 모니터링 기관 및 제43조에 의거한 인증기관의 인증에 대한 기준의 초안 마련 및 공표

관련 교과서

제41조 GDPR. 승인된 행동강령의 모니터링

제43조 GDPR. 인증기관

(q) 제41조에 의거한 행동강령의 모니터링 기관 및 제43조에 의거한 인증기관의 인증 시행

관련 교과서

제41조 GDPR. 승인된 행동강령의 모니터링

제43조 GDPR. 인증기관

(r) 제46조(3)에 규정된 계약조항 및 조문에 대한 승인

관련 교과서

제46조 GDPR. 적정한 안전조치에 의한 이전

[…]

3. 제1항의 적정한 안전조치는 관할 감독기관의 승인을 거쳐 특히 다음 각 호를 통해서도 제공될 수 있다.

(a) 컨트롤러나 프로세서와 제3국이나 국제기구의 컨트롤러, 프로세서 또는 개인정보 수령인 간의 계약 조항

(b) 공공당국이나 기관 간의 행정 협정에 삽입될 것으로 강제력이 있고 유효한 정보주체의 권리를 포함한 규정

[…]

(s) 제47조에 의거한 의무적 기업규칙에 대한 승인

관련 교과서

제47조 GDPR. 의무적 기업 규칙

(t) 유럽 데이터보호이사회의 활동에 기여

(u) 본 규정의 위반과 제58조(2)에 따라 취해지는 조치에 대한 내부적 기록 보관

관련 교과서

제58조 GDPR. 권한

[…]

2. 각 감독기관은 다음의 시정 권한을 모두 보유한다.

(a) 예정된 처리작업(들)이 본 규정의 조문을 위반할 가능성이 높은 것에 대해 컨트롤러 또는 프로세서에게 경고 발령

(b) 예정된 처리작업(들)이 본 규정의 조문을 위반한 경우, 컨트롤러 및 프로세서를 견책

(c) 컨트롤러 및 프로세서가 본 규정에 따라 본인의 권리를 행사하고자 하는 정보주체의 요청을 따를 것을 지시

(d) 컨트롤러 또는 프로세서에게 처리작업(들)이 본 규정의 조문을 준수하도록 지시하며, 적절한 경우, 구체적인 방식과 구체적인 기간 내에 하도록 지시

(e) 정보주체에게 개인정보 침해에 대해 통지하도록 프로세서에게 지시

(f) 처리에 대한 금지 등, 임시 또는 확정적 제한 부과

(g) 제16조, 제17조, 제18조에 따른 처리의 수정이나 삭제 또는 제한을 지시하고, 제17조(2) 및 제19조에 따라 개인정보를 제공받는 수령인들에게 이러한 행동조치에 대한 통지를 지시

(h) 인증의 요건이 충족되지 않거나 더 이상 충족되지 않는 경우, 인증을 철회하거나 인증기관에게 제42조 및 제42조에 의거하여 발급된 인증을 철회하라고 지시하거나 인증기관에게 인증을 발급하지 않도록 지시

(i) 각 개별 상황별 정황에 따라 본 조항에 규정된 조치를 부과하거나, 이와 함께 또는 이것 대신, 제83조에 따른 행정적 벌금을 부과

(j) 제3국 또는 국제기구의 수령인으로의 정보 이동의 중지를 지시

[…]

(v) 개인정보 보호와 관련된 기타 업무 수행

2. 각 감독기관은 다른 통지 수단을 배제하지 않고, 전자 양식으로도 작성 가능한 민원 제출 양식 등의 조치로 제1항 (f)호에 규정된 민원의 제출을 용이하게 한다.

3. 각 감독기관의 업무 수행에 대한 비용은 정보주체의 경우 무료이며, 해당되는 경우, 데이터보호담당관도 무료이다.

4. 특히 요청의 반복적인 성격으로, 요청이 명백하게 근거가 없거나 지나칠 경우, 해당 감독기관은 행정적 비용에 근거한 합리적인 비용을 청구할 수 있거나 해당 요청에 대한 응대를 거절할 수 있다. 해당 감독기관은 관련 요청이 명백하게 근거가 없거나 과도한 성격임을 입증할 책임을 지닌다.

유럽연합 일반 데이터 보호 규칙(EU GDPR)

Source: http://www.pipc.go.kr/cmt/not/ntc/selectBoardArticle.do?nttId=5969&bbsId=BBSMSTR_000000000121&bbsTyCode=BBST03&bbsAttrbCode=BBSA03&authFlag=Y&pageIndex=6

전문 (Recitals) 코멘트를 남겨주세요

전문 (Recitals)

(123) 감독기관은 본 규정에 따른 조문의 적용을 모니터링하고 유럽연합 전역에 일관적인 적용이 되도록 함으로써 개인정보 처리와 관련한 개인을 보호하고 역내시장 내에서 개인정보의 자유로운 이동을 용이하게 해야 한다. 그 같은 목적으로 감독기관은 상호지원 제공이나 협력에 대해 회원국 간에 협정을 맺을 필요 없이 상호 간에, 그리고 집행위원회와 협력해야 한다.

(132) 대중을 대상으로 한 감독기관의 인식제고 활동에는 개인과 영세·중소기업 등의 컨트롤러와 프로세서를 겨냥한 구체적인 조치, 특히 교육적인 측면의 조치가 포함되어야 한다.

코멘트를 남겨주세요

[js-disqus]