제64조 GDPR. 유럽 데이터보호이사회 의견

제65조 GDPR. 유럽 데이터보호이사회의 분쟁 해결

제17조 GDPR. 삭제권(‘잊힐 권리’)

[…]

2. 컨트롤러가 개인정보를 공개하고 제1항에 따라 해당 개인정보를 삭제할 의무가 있는 경우, 컨트롤러는 가용 기술과 시행 비용을 참작하여 개인정보를 처리하는 컨트롤러에게 정보주체가 그 같은 컨트롤러들에게 해당 개인정보에 대한 링크, 사본 또는 복제본의 삭제를 요청하였음을 고지하기 위한 기술적 조치 등, 적절한 조치를 취해야 한다.

[…]

제22조 GDPR. 프로파일링 등 자동화된 개별 의사결정

[…]

2. 결정이 다음 각 호에 해당하는 경우에는 제1항이 적용되지 않는다.

[…]

(a) 정보주체와 컨트롤러 간의 계약을 체결 또는 이행하는 데 필요한 경우

(b) 컨트롤러에 적용되며, 정보주체의 권리와 자유 및 정당한 이익을 보호하기 위한 적절한 조치를 규정하는 유럽연합 또는 회원국 법률이 허용하는 경우

(c) 정보주체의 명백한 동의에 근거하는 경우

제33조 GDPR. 감독기관에 대한 개인정보 침해 통지

1. 개인정보의 침해가 발생할 경우, 컨트롤러는 부당한 지체 없이, 가급적 이를 알게 된 후 72시간 내에, 제55조에 따라 감독기관에 해당 개인정보의 침해를 통지해야 한다. 단, 해당 개인정보의 침해가 자연인의 권리와 자유에 위험을 초래할 것으로 예상되지 않는 경우는 예외로 한다. 72시간 내에 감독기관에 이를 통보하지 않을 경우에는 지연 사유를 동봉해야 한다.

2. 프로세서는 개인정보의 침해를 알게 된 후 부당한 지체 없이 컨트롤러에게 이를 통지해야 한다.

[…]

제33조 GDPR. 감독기관에 대한 개인정보 침해 통지

1. 개인정보의 침해가 발생할 경우, 컨트롤러는 부당한 지체 없이, 가급적 이를 알게 된 후 72시간 내에, 제55조에 따라 감독기관에 해당 개인정보의 침해를 통지해야 한다. 단, 해당 개인정보의 침해가 자연인의 권리와 자유에 위험을 초래할 것으로 예상되지 않는 경우는 예외로 한다. 72시간 내에 감독기관에 이를 통보하지 않을 경우에는 지연 사유를 동봉해야 한다.

2. 프로세서는 개인정보의 침해를 알게 된 후 부당한 지체 없이 컨트롤러에게 이를 통지해야 한다.

제47조 GDPR. 의무적 기업 규칙

제49조 GDPR. 특정 상항에 대한 적용의 일부 제외

1. 제4조 제3항의 적정성 결정이나 의무적 기업 규칙 등 제46조에 따른 적정한 안전조치가 없는 경우, 제3국이나 국제기구로의 개인정보 이전은 다음 각 호의 조건에 따라서만 가능하다.

(a) 적정성 결정 및 적절한 안전조치가 없음으로 인해 그 같은 개인정보의 이전이 정보주체에 초래할 수 있는 위험을 고지 받은 후 정보주체가 명시적으로 이전에 동의한 경우

(b) 정보주체와 프로세서 간의 계약을 이행하기 위해서나 정보주체의 요청으로 취한 계약 사전 조치를 이행하는 데 이전이 필요한 경우

(c) 정보주체의 이익을 위해 컨트롤러와 기타 자연인 또는 법인 간에 체결된 계약의 이행을 위해 이전이 필요한 경우

(d) 중요한 공익상의 이유로 정보이전이 필요한 경우

(e) 법적 권리의 확립, 행사, 방어를 위해 정보이전이 필요한 경우

(g) 개인정보가 유럽연합 또는 회원국 법률에 따라 정보를 공개할 목적이거나 일반 국민 또는 정당한 이익을 입증할 수 있는 제3자가 참조(조회)하기 위한 목적으로 만들어진 개인정보 기록부(register)로부터 유럽연합 또는 회원국 법률에 명시된 참조(조회)의 조건이 충족되는 범위 내에서 이전되는 경우

(f) 정보주체가 물리적 또는 법률적으로 동의를 할 수 없는 경우, 정보주체 또는 타인의 생명과 관련한 주요 이익을 보호하기 위해 정보이전이 필요한 경우

정보의 이전이 의무적 기업 규칙에 대한 규정 등 제45조나 제46조의 규정을 근거로 할 수 없고, 본 항 (a)-(g)호에 따른 특정 상황에서의 일부 제외가 적용되지 않는 경우, 정보이전이 반복적이지 않고, 한정된 숫자의 정보주체에만 적용되고 정보주체의 이익이나 권리 및 자유가 우선하지 않는 한 컨트롤러의 정당한 이익의 목적에 필요하며, 컨트롤러가 정보이전과 관련한 일체의 정황을 평가한 후 그 결과를 토대로 개인정보 보호에 적절한 안전조치를 제시하는 경우에만 제3국이나 국제기구로의 정보이전이 가능하다. 컨트롤러는 정보이전 사실을 감독기관에 고지해야 한다. 제13조 및 제14조에 명시된 정보 제공 이외에도 컨트롤러는 해당 이전 및 본인의 설득력 있는 정당한 이익에 관한 정보를 정보주체에 고지해야 한다.

제58조 GDPR. 권한

1. 각 감독기관은 아래의 조사 권한을 모두 보유한다.

2. 각 감독기관은 다음의 시정 권한을 모두 보유한다.

3. 각 감독기관은 다음의 모든 승인 및 자문권한을 보유한다.

제83조 GDPR. 행정 과태료 부과에 관한 일반 조건

제54조 GDPR. 감독기관 설립에 관한 규칙

[…]

2. 각 감독기관의 임직원은 유럽연합 또는 회원국 법률에 따라 직무 수행 중 또는 권한 행사 과정에서 알게 된 기밀 정보와 관련하여 임기 중과 임기 후 직무상 기밀유지의 의무가 있다. 임기 중에 직업상 기밀유지의 임무는 특히 본 규정의 침해에 대한 개인의 신고에 적용 가능하다.

제40조 GDPR. 행동강령

제42조 GDPR. 인증

제43조 GDPR. 인증기관

[…]

6. 감독기관은 쉽게 이용할 수 있는 양식으로 본 조 제3항의 요건과 제42조(5)항의 기준을 공개해야 한다. 아울러 감독기관은 유럽 데이터보호이사회에 해당 요건과 기준을 전송해야 한다. 유럽 데이터보호이사회는 인증 메커니즘과 개인정보 보호 인장 일체를 등록부에 취합하고 적절한 수단을 통해 이를 공개해야 한다.

[…]

제42조 GDPR. 인증

[…]

7. 인증은 최대 3년간 컨트롤러나 프로세서에게 발급되어야 하며 관련 요건이 계속적으로 충족되는 경우 동일한 조건에 따라 갱신될 수 있다. 제43조에 규정된 인증기관 또는 관련 감독기관은 인증 요건이 충족되지 않을 경우, 인증을 철회하여야 한다.

[…]

제43조 GDPR. 인증기관

[…]

3. 제1항 및 제2항의 인증기관의 인증은 제55조 또는 제56조에 따라 권한을 가지는 감독기관 또는 제63조에 따라 유럽 데이터보호이사회가 승인한 기준을 근거로 이루어져야 한다. 본 조 제1항 (b)호에 따른 인증의 경우, 본 요건은 규정(EC) 765/2008에서 예상되는 요건과 해당 인증기관의 방법과 절차를 기술하는 기술 규칙을 보완해야 한다.

[…]

제42조 GDPR. 인증

제43조 GDPR. 인증기관

[…]

8. 집행위원회는 제42조(1)항에 규정된 개인정보 보호 인증 메커니즘에 고려되어야 할 요건을 규정할 목적으로 제92조에 따라 위임 법률을 채택할 권한이 있다.

[…]

제12조 GDPR. 정보주체의 권리 행사를 위한 투명한 정보, 통지 및 형식

[…]

7. 제13조 및 제14조에 따라 정보주체에게 제공되는 정보는 예정된 처리에 대해 유의미한 개요를 제공하고자 표준화된 아이콘과 결합하여 가시적이고 이해하기 쉬우며 가독성이 뛰어난 방식으로 제공될 수 있다. 해당 아이콘이 전자 방식으로 제공되는 경우, 이는 기계 판독이 가능해야 한다.

[…]

제64조 GDPR. 유럽 데이터보호이사회 의견

1. 유럽 데이터보호이사회는 관할 감독기관이 다음의 조치 중 어느 한 가지를 채택하고자 할 경우 의견서를 발부해야 한다. 이를 위해 관할 감독기관은 다음의 경우 결정(안)을 유럽 데이터보호이사회에 제출해야 한다.

(a) 제35조(4)에 의거한 개인정보 보호 영향평가 요건을 따르는 데이터 처리 작업 목록을 채택하고자 할 경우

(b) 행동강령(안) 또는 행동강령 개정판이나 확장판이 본 규정을 준수하는지 여부의, 제40(7)조에 따른 사안에 관한 경우

(c) 제41조(3)에 의거한 기구 또는 제43조(3)에 의거한 인증 기구의 인증 기준을 승인하고자 할 경우

(e) 제46조(3) (a)호에 명시된 계약 조항을 승인하고자 할 경우

(f) 제47조에 규정된 의무적 기업 규칙을 승인하고자 할 경우

2. 특히 관할 감독기관이 제61조에 따른 상호 지원의 의무나 제62조에 따른 공동 작업의 의무를 준수하지 않는 경우, 감독기관, 유럽 데이터보호이사회 의장 또는 집행위원회는 의견수렴을 위해 하나 이상의 회원국에서의 일반적 적용 또는 효력 발생의 사안을 유럽 데이터보호이사회가 검토해 줄 것을 요청할 수 있다.

[…]

제65조 GDPR. 유럽 데이터보호이사회의 분쟁 해결

제66조 GDPR. 긴급성(시급성) 절차

제40조 GDPR. 행동강령

9. 집행위원회는 이행 법률을 통해 제8항에 따라 제출된 승인된 행동강령이나 개정 또는 확대 강령이 유럽연합 내 일반적인 효력을 가진다고 결정할 수 있다. 그 이행 법률은 제93조(2)에 규정된 심사 절차에 따라 채택되어야 한다.

[…]

제93조 GDPR. 위원회(Committee) 절차

1. 집행위원회(Commission)는 위원회(committee)의 지원을 받아야 한다. 이 위원회는 규정서 (EU) No 182/2011의 범위에 해당하는 위원회이다.

2. 본 항을 참조하는 경우, 규정서 (EU) No 182/2011의 제5조가 적용되어야 한다.

3. 본 항을 참조하는 경우, 규정서 (EU) No 182/2011의 제5조 및 제8조가 적용되어야 한다.

제76조 GDPR. 기밀성

1. 유럽 데이터보호이사회는 절차 규정에 규정된 바와 같이 필요하다고 판단하는 경우 이사회의 논의를 기밀로 해야 한다.

2. 유럽 데이터보호이사회 위원, 전문가 및 제3자의 대리인에게 제출된 문서의 열람은 유럽의회 및 각료이사회 규정서 (EC) No 1049/2001의 규제를 받는다 [21].