(108) 적정성 결정이 없을 경우, 컨트롤러나 프로세서는 정보주체를 위한 적절한 안전장치를 통해 제3국에서의 정보보호의 미흡함을 보완하기 위한 조치를 취해야 한다. 이 같은 적절한 안전장치로는 의무적 기업규칙(binding corporate rules), 집행위원회가 채택한 정보보호 표준조항(standard data protection clauses), 감독기관이 채택한 정보보호 표준조항 또는 감독기관이 승인한 계약조항(contractual clauses)을 활용할 수 있다. 이 같은 안전장치를 통해 유럽연합 역내의 정보처리에 적절한 개인정보 보호의 요건 및 정보주체의 권리가 보장되도록 해야 하며, 안전장치에는 유럽연합 및 제3국내에서 시행 가능한 정보주체의 권리의 가용조치, 효과적인 행정적, 사법적 구제 조치를 모색하고 보상을 요청하는 등, 효과적인 법적 구제를 위한 가용조치 등이 포함된다. 이러한 안전장치는 특히 개인정보처리에 관련된 일반적인 원칙, 데이터보호 설계 및 기본설정의 원칙을 준수해야 한다. MOU 등 행정협정에 삽입될 규정이 정보주체에 시행가능하고 효과적인 권리를 제공한다는 근거에 따라, 공공기관이나 공공기구는 제3국에 설립된 공공기관이나 공공기구 혹은 이에 상응하는 의무나 기능을 지닌 국제기관으로 정보를 이전할 수 있다. 법적 구속력이 없는 행정 협정에 안전장치가 제시될 경우 관련 감독기관의 승인이 필요하다.
(109) 컨트롤러나 프로세서가 집행위원회나 감독기관이 채택한 정보보호 표준조항을 활용한다면, 컨트롤러나 프로세서가 당해 프로세서와 기타 프로세서 간의 계약 등, 보다 광범위한 계약에 정보보호 표준조항을 포함시키는 것은 금지되어야 하며, 또는 집행위원회나 감독기관이 채택한 정보보호 표준조항이 직·간접적으로 위배하지 않고 정보주체의 기본권이나 자유를 침해하지 않는다고 하여, 기타 조항이나 추가적인 안전장치를 더해서는 안 된다. 컨트롤러와 프로세서는 정보보호 표준조항을 보완하는 계약적 의무를 통해 추가적인 안전장치를 제공하도록 독려되어야 한다.
Source: http://www.pipc.go.kr/cmt/not/ntc/selectBoardArticle.do?nttId=5969&bbsId=BBSMSTR_000000000121&bbsTyCode=BBST03&bbsAttrbCode=BBSA03&authFlag=Y&pageIndex=6
(108) 적정성 결정이 없을 경우, 컨트롤러나 프로세서는 정보주체를 위한 적절한 안전장치를 통해 제3국에서의 정보보호의 미흡함을 보완하기 위한 조치를 취해야 한다. 이 같은 적절한 안전장치로는 의무적 기업규칙(binding corporate rules), 집행위원회가 채택한 정보보호 표준조항(standard data protection clauses), 감독기관이 채택한 정보보호 표준조항 또는 감독기관이 승인한 계약조항(contractual clauses)을 활용할 수 있다. 이 같은 안전장치를 통해 유럽연합 역내의 정보처리에 적절한 개인정보 보호의 요건 및 정보주체의 권리가 보장되도록 해야 하며, 안전장치에는 유럽연합 및 제3국내에서 시행 가능한 정보주체의 권리의 가용조치, 효과적인 행정적, 사법적 구제 조치를 모색하고 보상을 요청하는 등, 효과적인 법적 구제를 위한 가용조치 등이 포함된다. 이러한 안전장치는 특히 개인정보처리에 관련된 일반적인 원칙, 데이터보호 설계 및 기본설정의 원칙을 준수해야 한다. MOU 등 행정협정에 삽입될 규정이 정보주체에 시행가능하고 효과적인 권리를 제공한다는 근거에 따라, 공공기관이나 공공기구는 제3국에 설립된 공공기관이나 공공기구 혹은 이에 상응하는 의무나 기능을 지닌 국제기관으로 정보를 이전할 수 있다. 법적 구속력이 없는 행정 협정에 안전장치가 제시될 경우 관련 감독기관의 승인이 필요하다.
(109) 컨트롤러나 프로세서가 집행위원회나 감독기관이 채택한 정보보호 표준조항을 활용한다면, 컨트롤러나 프로세서가 당해 프로세서와 기타 프로세서 간의 계약 등, 보다 광범위한 계약에 정보보호 표준조항을 포함시키는 것은 금지되어야 하며, 또는 집행위원회나 감독기관이 채택한 정보보호 표준조항이 직·간접적으로 위배하지 않고 정보주체의 기본권이나 자유를 침해하지 않는다고 하여, 기타 조항이나 추가적인 안전장치를 더해서는 안 된다. 컨트롤러와 프로세서는 정보보호 표준조항을 보완하는 계약적 의무를 통해 추가적인 안전장치를 제공하도록 독려되어야 한다.
(EN)
EDPS, Strategy for Union institutions, offices, bodies and agencies to comply with the ‘Schrems II’ Ruling (2020).
This document seeks to provide guidance as to the application of Articles 46 (2) (a) and 46 (3) (b) of the General Data Protection Regulation (GDPR) on transfers of personal data from EEA public authorities or bodies to public bodies in third countries or to international organisations, to the extent that these are not covered by an adequacy finding adopted by the European Commission.
EDPB, Government access to data in third countries (2022).
CJEU, Data Protection Commissioner/Facebook Ireland Ltd and Schrems, C-311/18 (2020).
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 46 GDPR:
7.5.1 Identify basis for PII transfer between jurisdictions
Control
The organization should identify and document the relevant basis for transfers of PII between jurisdictions.
Implementation guidance
PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).
…
Zaloguj się
aby uzyskać dostęp do pełnego tekstu