제58조 📖 GDPR. 권한

제58조 GDPR. 권한

1. 각 감독기관은 아래의 조사 권한을 모두 보유한다.

(a) 컨트롤러와 프로세서 그리고 해당되는 경우, 컨트롤러 또는 프로세서의 대리인에게 업무의 수행에 필요한 정보의 일체를 제공하도록 명령

(b) 개인정보보호 감사의 형식의 조사 실시

(c) 제42조(7)에 의거하여 발급된 인증에 대한 검토 실시

관련 교과서

[…]

7. 인증은 최대 3년간 컨트롤러나 프로세서에게 발급되어야 하며 관련 요건이 계속적으로 충족되는 경우 동일한 조건에 따라 갱신될 수 있다. 제43조에 규정된 인증기관 또는 관련 감독기관은 인증 요건이 충족되지 않을 경우, 인증을 철회하여야 한다.

[…]

(d) 컨트롤러 또는 프로세서에게 본 규정의 위반 혐의 사안의 통지

(e) 컨트롤러 또는 프로세서로부터 업무 수행에 필요한 모든 개인정보 및 모든 정보에 대한 열람권 취득

(f) 유럽연합 또는 회원국의 절차 법률에 따라, 모든 개인정보 처리 장치 및 수단 등, 컨트롤러와 프로세서의 영역에 대한 열람권 취득

2. 각 감독기관은 다음의 시정 권한을 모두 보유한다.

(a) 예정된 처리작업(들)이 본 규정의 조문을 위반할 가능성이 높은 것에 대해 컨트롤러 또는 프로세서에게 경고 발령

(b) 예정된 처리작업(들)이 본 규정의 조문을 위반한 경우, 컨트롤러 및 프로세서를 견책

(c) 컨트롤러 및 프로세서가 본 규정에 따라 본인의 권리를 행사하고자 하는 정보주체의 요청을 따를 것을 지시

(d) 컨트롤러 또는 프로세서에게 처리작업(들)이 본 규정의 조문을 준수하도록 지시하며, 적절한 경우, 구체적인 방식과 구체적인 기간 내에 하도록 지시

(e) 정보주체에게 개인정보 침해에 대해 통지하도록 프로세서에게 지시

(f) 처리에 대한 금지 등, 임시 또는 확정적 제한 부과

(g) 제16조, 제17조, 제18조에 따른 처리의 수정이나 삭제 또는 제한을 지시하고, 제17조(2) 및 제19조에 따라 개인정보를 제공받는 수령인들에게 이러한 행동조치에 대한 통지를 지시

관련 교과서

제16조 GDPR. 정정권

정보주체는 본인에 관하여 부정확한 개인정보를 부당한 지체 없이 정정하도록 컨트롤러에게 요구할 권리를 가진다. 정보주체는 처리목적을 참작하여 추가 진술을 제공할 수단을 통하는 등, 불완전한 개인정보를 보완할 권리를 가진다.

제17조 GDPR. 삭제권(‘잊힐 권리’)

[…]

2. 컨트롤러가 개인정보를 공개하고 제1항에 따라 해당 개인정보를 삭제할 의무가 있는 경우, 컨트롤러는 가용 기술과 시행 비용을 참작하여 개인정보를 처리하는 컨트롤러에게 정보주체가 그 같은 컨트롤러들에게 해당 개인정보에 대한 링크, 사본 또는 복제본의 삭제를 요청하였음을 고지하기 위한 기술적 조치 등, 적절한 조치를 취해야 한다.

[…]

제18조 GDPR. 처리에 대한 제한권

제19조 GDPR. 개인정보의 정정이나 삭제 또는 처리의 제한에 관한 고지 의무

컨트롤러는 개인정보를 제공 받은 각 수령인에게 제16조, 제17조(1) 또는 제18조에 따라 이행된 개인정보의 정정이나 삭제 또는 처리의 제한에 대해 통지해야 하며, 이러한 통지가 불가능하다고 입증되거나 과도한 노력을 수반하는 경우는 예외로 한다. 컨트롤러는 정보주체의 요청 시, 정보주체에게 해당 수령인에 대해 통지해야 한다.

(h) 인증의 요건이 충족되지 않거나 더 이상 충족되지 않는 경우, 인증을 철회하거나 인증기관에게 제42조 및 제42조에 의거하여 발급된 인증을 철회하라고 지시하거나 인증기관에게 인증을 발급하지 않도록 지시

관련 교과서

제42조 GDPR. 인증

제43조 GDPR. 인증기관

(i) 각 개별 상황별 정황에 따라 본 조항에 규정된 조치를 부과하거나, 이와 함께 또는 이것 대신, 제83조에 따른 행정적 벌금을 부과

(j) 제3국 또는 국제기구의 수령인으로의 정보 이동의 중지를 지시

3. 각 감독기관은 다음의 모든 승인 및 자문권한을 보유한다.

(a) 제36조에 규정된 사전 자문의 절차에 따라 프로세서에게 자문을 제공

관련 교과서

제36조 GDPR. 사전 자문

(b) 자체 재량이나 요구에 따라, 해당 국가의 국회, 회원국의 정부 또는 회원국 법률에 따라 기타 기구 및 기관과 일반에 개인정보 보호와 관련한 사안에 대한 의견을 제공

(c) 회원국 법률에서 사전 승인을 요구하는 경우, 제36조(5)에 규정된 처리에 대한 승인

관련 교과서

제36조 GDPR. 사전 자문

[…]

5. 제1항에 관계없이, 회원국 법률은 사회 보호 및 공중 보건과 관련된 처리 등, 컨트롤러가 공익을 위해 소관업무를 수행함에 있어 정보를 처리하는 것과 관련하여, 컨트롤러가 감독기관에게 자문을 구하고 사전 승인을 획득하도록 요구할 수 있다.

(d) 제40조(5)에 따른 의견 제공 또는 행동강령의 초안에 대한 승인

관련 교과서

제40조 GDPR. 행동강령

[…]

5. 행동강령을 작성하거나 기존 강령을 개정 또는 확대할 의도인 본 조 제2항의 협회 또는 기타 기관은 제55조에 따른 권한을 가지는 감독기관에 강령 초안이나 개정 또는 확대 강령을 제출해야 한다. 감독기관은 강령 초안이나 개정 또는 확대 강령이 본 규정에 부합하는지 여부에 대한 의견을 제시하고 적정한 안전조치를 제공한다고 판단되는 경우, 해당 초안이나 개정 또는 확대 강령을 승인해야 한다.

[…]

(e) 제42조에 따른 인증기관의 인증

관련 교과서

제43조 GDPR. 인증기관

(f) 제42조(5)에 따른 인증 발급 또는 인증의 기준에 대한 승인

관련 교과서

제42조 GDPR. 인증

[…]

5. 본 조문에 따른 인증은 제58조(3)항에 따른 관련 감독기관이나 제63조에 따른 유럽 데이터보호이사회가 승인한 기준을 토대로, 제43조의 인증기관 또는 관련 감독기관이 발급할 수 있다. 해당 기준이 유럽 데이터보호이사회에 의해 승인되는 경우, 이는 공동 인증인 유럽 데이터보호 인장(European Data Protection Seal)으로 이어질 수 있다.

[…]

(g) 제28조(8) 및 제46조(2)에 규정된 정보보호 표준조항의 채택

관련 교과서

제28조 GDPR. 프로세서

[…]

8. 감독기관은 본 조 제3항 및 제4항에 규정된 사안에 대하여, 제63조에 규정된 일관성 메커니즘에 따라 정보보호 표준 계약조항을 채택할 수 있다.

[…]

제46조 GDPR. 적정한 안전조치에 의한 이전

2. 제1항의 적정한 안전조치는 감독기관의 특별한 승인을 요하지 아니하고 다음 각 호에 의해 제공될 수 있다.

(d) 감독기관이 채택하고 제93(2)조의 검토 절차에 따라 집행위원회가 승인한 정보보호 표준조항

(h) 제46조(3)의 (a)호에 규정된 정보보호 계약조항에 대한 승인

관련 교과서

제46조 GDPR. 적정한 안전조치에 의한 이전

3. 제1항의 적정한 안전조치는 관할 감독기관의 승인을 거쳐 특히 다음 각 호를 통해서도 제공될 수 있다.

(a) 컨트롤러나 프로세서와 제3국이나 국제기구의 컨트롤러, 프로세서 또는 개인정보 수령인 간의 계약 조항

(i) 제46조(3)의 (b)호에 규정된 행정적 협약에 대한 승인

관련 교과서

제46조 GDPR. 적정한 안전조치에 의한 이전

3. 제1항의 적정한 안전조치는 관할 감독기관의 승인을 거쳐 특히 다음 각 호를 통해서도 제공될 수 있다.

(b) 공공당국이나 기관 간의 행정 협정에 삽입될 것으로 강제력이 있고 유효한 정보주체의 권리를 포함한 규정

(j) 제47조에 따른 의무적 기업규칙에 대한 승인

관련 교과서

제47조 GDPR. 의무적 기업 규칙

4. 본 조문에 따라 감독기관에게 수여된 권한의 행사는 헌장에 따른 유럽연합 및 회원국 법률에 규정된 유효한 사법구제 및 정밀 실사 등, 적절한 안전조치를 적용 받는다.

5. 각 회원국은 감독기관이 본 규제의 위반 사례를 사법기관에 고발할 권한과, 적절한 경우 본 규정의 조문을 집행하기 위해, 그 외의 법적 절차를 시작하거나 관련시킬 수 있는 권한을 가지고 있음을 법률적으로 규정하고 있다.

6. 각 회원국은 자국의 감독기관이 제1항, 제2항 및 제3항에 규정된 권한 외 추가적인 권한을 보유하고 있음을 법률로 규정할 수 있다. 이러한 권한의 행사는 제VII장의 유효한 작업을 방해하지 않는다.

유럽연합 일반 데이터 보호 규칙(EU GDPR)

Source: http://www.pipc.go.kr/cmt/not/ntc/selectBoardArticle.do?nttId=5969&bbsId=BBSMSTR_000000000121&bbsTyCode=BBST03&bbsAttrbCode=BBSA03&authFlag=Y&pageIndex=6

전문 (Recitals) 지침 및 사례 법률 코멘트를 남겨주세요

전문 (Recitals)

(129) 유럽연합 전역에서의 본 규정의 일관성 있는 모니터링 및 집행을 보장하기 위해, 감독기관들은 각 회원국 내에서 동일한 업무 및 조사권, 시정권·제재 및 승인·자문 권한 등의 동일한 권한을 가져야 하고 이는 특히 개인이 제기한 민원의 경우 더욱 그러하며, 회원국 법률에 따른 검찰 기관이 본 규정의 위반사건을 사법 기관에 제소하고 소송 절차에 관여할 권한을 침해해서는 아니 된다. 이 같은 권한에는 금지 등 정보처리를 임시적으로 또는 완전히 제한하는 권한도 포함된다. 회원국들은 본 규정에 의해 개인정보 보호와 관련된 기타 업무를 규정할 수 있다. 감독기관의 권한은 유럽연합 또는 회원국 법률에 제시된 적절한 절차의 안전장치에 따라 공정하고 적정한 시간 내에 행사되어야 한다. 특히 각 조치는 개별 사안의 정황을 참작하여 본 규정의 준수를 보장함에 있어 적절하고 필요한 것이어야 하고, 개인에게 악영향을 끼칠 개별적 조치의 이행 전에 개개인의 발언할 권리를 존중하고 관계자에게 불필요한 비용 및 과도한 불편을 끼치는 것을 방지해야 한다. 부지(premises) 접근과 관련한 조사권한은 사전의 사법적 인가 등 회원국 절차법의 특정 요건에 부합하여 행사되어야 한다. 감독기관의 법적 구속력 있는 각각의 조치는 서면 형식으로 명료하고 명확해야 하고, 조치를 발부한 감독기관, 조치 발부일, 기관장의 서명 또는 기관장이 인가한 감독기관 구성원의 서명을 포함하며 조치의 사유를 설명하고 유효한 구제 권리에 대해 명시하여야 한다. 이것이 회원국의 절차법에 따른 추가 요건을 배제해서는 아니 된다. 법적 구속력 있는 결정의 채택은 그 결정을 채택한 감독기관의 회원국에서 사법 심리가 발생할 수 있음을 내포한다.

지침 및 사례 법률

(EN)

Case law

CJEU, Data Protection Commissioner/Facebook Ireland Ltd and Schrems, C-311/18 (2020).

코멘트를 남겨주세요

[js-disqus]