제3조 GDPR. 영토의 범위
[…]
2. 본 규정은 개인정보의 처리가 다음 각 호와 관련되는 경우, 유럽연합 역내에 설립되지 않은 컨트롤러 또는 프로세서가 유럽연합 역내에 거주하는 정보주체의 개인정보를 처리할 때도 적용된다.
(a) 정보주체가 지불을 해야 하는지에 관계없이 유럽연합 역내의 정보주체에게 재화와 용역을 제공
(b) 유럽연합 역내에서 발생하는 정보주체의 행태를 모니터링
[…]
Source: http://www.pipc.go.kr/cmt/not/ntc/selectBoardArticle.do?nttId=5969&bbsId=BBSMSTR_000000000121&bbsTyCode=BBST03&bbsAttrbCode=BBSA03&authFlag=Y&pageIndex=6
(80) 유럽연합 역외에 설립된 컨트롤러 또는 프로세서는 유럽 내의 정보주체의 개인정보를 처리하고, 이러한 처리활동이, 정보주체에게 지불을 요청한 여부와 상관없이, 해당 정보주체에게 재화와 서비스를 제공하는 것과 관련 있는 경우, 또는 유럽 내에서 발생하는 정보주체의 행동에 대한 감시와 관련 있는 경우, 해당 컨트롤러 또는 프로세서는 대리인을 지정해야 하지만, 처리가 간헐적이고(occasional), 대규모의 처리나 특별범주의 개인정보의 처리, 또는 형사기소나 범죄에 관련된 개인정보의 처리가 포함되지 않은 경우, 그리고 처리의 성격, 상황, 범위 그리고 목적을 고려했을 때 개인의 권리와 자유에 관해 위험요소를 초래할 가능성이 낮은 경우나 컨트롤러가 공공기관이나 기구인 경우는 예외로 한다. 대리인은 컨트롤러와 프로세서를 대신하여 행동해야 하며 감독기관이 지정할 수 있다. 대리인은 컨트롤러 또는 프로세서의 공식 위임서한을 통해 명확하게 지정되어 이 규정에 규정된 의무를 대신 이행한다. 이러한 대리인의 지정은 이 규정에 규정된 컨트롤러 또는 프로세서의 책임(responsibility and liability)에는 영향을 미치지 않는다. 해당 대리인은 컨트롤러에게 부여받은 권한에 따라 대리인으로써 업무를 수행해야하며, 여기에는 이 법을 준수하기 위해 적용된 모든 조치와 관련하여 관할 감독기관과 협력하는 것이 포함된다. 지정된 대리인은 컨트롤러 또는 프로세서가 규정을 준수하지 않은 경우, 집행절차를 적용받아야 한다.
ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.
Here is the relevant paragraph to article 27 GDPR:
6.3.1.1 Information security roles and responsibilities
Implementation guidance
The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).
The organization should appoint one or more persons responsible for developing, implementing, maintaining and monitoring an organization-wide governance and privacy program, to ensure compliance with all applicable laws and regulations regarding the processing of PII.
[…]
Sign in
to read the full text