1. 컨트롤러를 대신하여 처리가 이루어지는 경우, 컨트롤러는 적절한 기술 및 관리적 조치 이행을 통해 그 처리가 본 규정의 요건을 충족시키고, 정보주체의 권리를 보호하도록 충분한 보증을 제공하는 프로세서만 이용해야 한다.
3. 프로세서의 처리는 컨트롤러와 관련하여 프로세서에게 구속력을 가지고, 처리의 주제와 지속기간, 처리의 성격과 목적, 개인정보의 유형과 정보주체의 범주, 컨트롤러의 의무와 권리를 규정하는 유럽연합 또는 회원국 법률에 따른 계약이나 기타 법률의 규제를 받는다. 그 계약 또는 기타 법률은 프로세서에 대하여 특히 다음 각 호와 같이 규정해야 한다.
(a) 프로세서는 컨트롤러의 서면 지시에 한하여 개인정보를 처리하며, 여기에는 제3국 또는 국제기구로의 개인정보 이전이 포함되며, 유럽연합 또는 프로세서에 적용되는 회원국 법률이 요구하는 경우는 제외한다. 이 경우, 프로세서는 처리 이전에 해당 법률요건을 컨트롤러에게 고지해야 하며, 해당 법률이 공익상의 중요한 이유로 그러한 통지를 금지하는 경우는 예외로 한다. 제3국 또는 국제기구로의 개인정보 이전에 관해서 등 컨트롤러의 문서화된 지시에 한하여 개인정보를 처리하나, 프로세서에게 적용되는 유럽연합 또는 회원국 법률로 요구되는 경우는 제외한다.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraph to article 28(3)(a) GDPR:
8.2.2 Organization’s purposes
Control
The organization should ensure that PII processed on behalf of a customer are only processed for the purposes expressed in the documented instructions of the customer.
Implementation guidance
The contract between the organization and the customer should include, but not be limited to, the objective and time frame to be achieved by the service.
(EN) […]
(EN) Sign in
to read the full text
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 13.2.4.
Here is the relevant paragraph to article 28(3)(b) GDPR:
6.10.2.4 Confidentiality or non-disclosure agreements
Implementation guidance
The organization should ensure that individuals operating under its control with access to PII are subject to a confidentiality obligation. The confidentiality agreement, whether part of a contract or separate, should specify the length of time the obligations should be adhered to.
(EN) […]
(EN) Sign in
to read the full text
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraph to article 28(3)(d) GDPR:
8.5.7 Engagement of a subcontractor to process PII
Control
The organization should only engage a subcontractor to process PII according to the customer contract.
Implementation guidance
Where the organization subcontracts some or all of the processing of that PII to another organization, a written authorization from the customer is required prior to the PII processed by the subcontractor. This can be in the form of appropriate clauses in the customer contract, or can be a specific “one-off” agreement.
(EN) […]
(EN) Sign in
to read the full text
(e) 해당 처리의 성격을 참작하여, 제III장에 규정된 정보주체의 권리행사의 요청에 대응해야 하는 컨트롤러의 의무 이행을 위해, 가능한 경우, 적절한 기술적 및 관리적 조치를 통해 컨트롤러를 지원한다.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraph to article 28(3)(e) GDPR:
8.3.1 Obligations to PII principals
Control
The organization should provide the customer with the means to comply with its obligations related to PII principals.
Implementation guidance
A PII controller’s obligations can be defined by legislation, by regulation and/or by contract. These obligations can include matters where the customer uses the services of the organization for implementation of these obligations.
(EN) […]
(EN) Sign in
to read the full text
(g) 컨트롤러의 선택에 따라, 처리와 관련된 서비스의 공급이 종료된 후, 유럽연합 또는 회원국 법률이 해당 개인정보의 보관을 요구하는 경우가 아니라면 모든 관련 개인정보를 삭제하거나 컨트롤러에게 반환하며, 기존의 사본을 삭제한다.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraph to article 28(3)(g) GDPR:
8.4.2 Return, transfer or disposal of PII
Control
The organization should provide the ability to return, transfer and/or disposal of PII in a secure manner. It should also make its policy available to the customer.
Implementation guidance
At some point in time, PII can need to be disposed of in some manner. This can involve returning the PII to the customer, transferring it to another organization or to a PII controller (e.g. as a result of a merger), deleting or otherwise destroying it, de-identifying it or archiving it.
(EN) […]
(EN) Sign in
to read the full text
(h) 본 조에 규정된 의무의 준수를 입증하는데 필요한 일체의 정보를 컨트롤러에게 제공하고 점검 등의 컨트롤러 또는 컨트롤러가 위임한 타 감사자가 수행하는 감사를 허용하고 이에 기여한다.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraphs to article 28(3)(h) GDPR:
8.2.4 Infringing instruction
Control
The organization should inform the customer if, in its opinion, a processing instruction infringes applicable legislation and/or regulation.
Implementation guidance
The organization’s ability to verify if the instruction infringes legislation and/or regulation can depend on the technological context, on the instruction itself, and on the contract between the organization and the customer.
8.2.5 Customer obligations
Control
The organization should provide the customer with the appropriate information such that the customer can demonstrate compliance with their obligations.
Implementation guidance
The information needed by the customer can include whether the organization allows for and contributes to audits conducted by the customer or another auditor mandated or otherwise agreed by the customer.
(h)호와 관련하여, 프로세서는 어떠한 지시가 본 규정 또는 기타 유럽연합 또는 회원국의 개인정보 보호 조문을 위반한다고 판단되는 경우 즉시 컨트롤러에게 이에 대해 통지해야 한다.
4. 프로세서가 컨트롤러를 대신하여 특정 처리 활동을 수행하기 위해 타 프로세서와 함께 일하는 경우, 제3항에 규정된 컨트롤러와 프로세서 간의 계약 또는 기타 법률에 명시된 동일한 개인정보 보호의 의무는 유럽연합 또는 회원국 법률에 따른 계약이나 기타 법률의 방식으로 관련 타 프로세서에게 부과되어야 하며, 특히 해당 처리가 본 규정의 요건을 충족시키는 방식으로 적절한 기술적 및 관리적 조치를 이행하는 것에 대해 충분한 보증을 제공해야 한다. 해당 타 프로세서가 본인의 개인정보 보호의 의무를 이행하지 않을 경우, 최초의 프로세서는 그 프로세서의 의무 이행에 대해 컨트롤러에게 전적인 책임을 져야 한다.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraph to article 28(4) GDPR:
8.5.6 Disclosure of subcontractors used to process PII
Control
The organization should disclose any use of subcontractors to process PII to the customer before use.
Implementation guidance
Provisions for the use of subcontractors to process PII should be included in the customer contract.
(EN) […]
(EN) Sign in
to read the full text
Source: http://www.pipc.go.kr/cmt/not/ntc/selectBoardArticle.do?nttId=5969&bbsId=BBSMSTR_000000000121&bbsTyCode=BBST03&bbsAttrbCode=BBSA03&authFlag=Y&pageIndex=6
(EN) A processor is a person or an organization that processes personal data on behalf and under the authority of a controller [Articles 4(8) and 28(1)]. The term used in the English text of the General Data Protection Regulation (GDPR) remains difficult to apprehend by a non-legal audience, so it is useful to turn to other linguistic versions for a better understanding.
(EN) […]
(EN) Sign in
to read the full text
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.
Here is the relevant paragraph to articles 28(5), 28(6), and 28(10) GDPR:
5.2.1 Understanding the organization and its context
The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.
(EN) […]
(EN) Sign in
to read the full text
(81) 컨트롤러를 대신하여 프로세서 수행하는 처리와 관련하여, 이 규정을 준수하도록 보장하기 위해서, 프로세서에게 처리 활동을 위탁할 때, 컨트롤러는 전문적 지식, 신뢰성 및 자원과 특히 관련하여, 처리 보안 등, 이 규정의 요건을 맞출 수 있는 기술적 및 관리적 조치를 시행한다는 충분한 확신을 제공하는 프로세서만을 활용해야 한다. 프로세서의 승인된 행동강령이나 공인 인증 메커니즘에 대한 준수는 컨트롤러의 의무의 준수를 입증하는 요소로 이용될 수 있다. 프로세서의 개인정보 처리의 수행은 유럽연합 또는 회원국 법률에 규정된 계약 또는 기타 법률에 적용받아야 하며, 이를 통해 프로세서는 컨트롤러에게 구속되고, 처리 사안(subject-matter) 및 처리기간, 처리의 성격 및 목적, 개인정보 유형 및 정보주체의 범주를 규정하고 있어야하며, 수행되는 개인정보 처리 상황에서의 프로세서의 구체적인 업무 및 책임과 정보주체의 권리와 자유에 대한 위험요소를 고려해야 한다. 컨트롤러와 프로세서는 개별 계약 방식 또는 위원회가 채택하거나, 감독기관이 일관성 메커니즘에 따라 채택 후 위원회가 채택한 표준 계약 조항(standard contractual clauses) 방식 중 하나의 방식을 선택할 수 있다. 컨트롤러를 대신하여 처리를 완료한 후, 프로세서는, 컨트롤러의 선택에 따라, 관련 개인정보를 반환 또는 파기해야하지만, 프로세서가 적용받는 유럽연합 또는 회원국 법률에 따라 개인정보를 보관하라는 요구사항이 있는 경우는 예외로 한다.
(EN)
CJEU, Tietosuojavaltuutettu/Jehovan todistajat – uskonnollinen yhdyskunta (Jehovah’s Witnesses case), Opinion of Advocate General, C‑25/17 (2018).
CJEU, Tietosuojavaltuutettu/Jehovan todistajat – uskonnollinen yhdyskunta (Jehovah’s Witnesses case), C‑25/17 (2018).
Article 29 Working Party, Opinion 1/2010 on the concepts of “controller” and “processor” (2010).
EDPB, Guidelines on the Concepts of Controller, Processor and Joint Controllership Under Regulation (EU) 2018/1725 (2019).
EDPB, Opinion 14/2019 on the draft Standard Contractual Clauses submitted by the DK SA (Article 28(8) GDPR) (2019).
EDPB, Guidelines 7/2020 on the Concepts of Controller and Processor in the GDPR (2021).
CNIL, Guide for processors (2017) – Guidelines from the French Supervisory Authority that includes the template of Data Processing Agreement between controllers and processors.
Denmark Supervisory Authority, DK SA Standard Contractual Clauses for the purposes of compliance with art. 28 GDPR (2020).
DPC (Ireland), Guidance for Individuals who Accidentally Receive Personal data (2020).
ICO, Right of Access (2020).
ICO, Data sharing: a code of practice (2020).
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraphs to article 28(2) GDPR:
8.5.6 Disclosure of subcontractors used to process PII
Control
The organization should disclose any use of subcontractors to process PII to the customer before use.
Implementation guidance
Provisions for the use of subcontractors to process PII should be included in the customer contract.
(EN) […]
(EN) Sign in
to read the full text