Navigation
GDPR > 제27조. 유럽연합 내에 설립되지 않은 컨트롤러 또는 프로세서의 대리인
Download PDF

제27조 GDPR. 유럽연합 내에 설립되지 않은 컨트롤러 또는 프로세서의 대리인

1. 제3조(2)가 적용되는 경우, 컨트롤러 또는 프로세서는 유럽연합 역내 대리인을 서면으로 지정해야 한다.

Related

2. 이 의무는 다음 각 호에 적용되지 않는다.

(a) 부정기적인 처리로서, 제9조(1)의 특별 범주의 개인정보의 처리 또는 제10조의 범죄경력 및 범죄행위에 관한 개인정보의 처리가 대규모로 이루어지지 않으며, 처리의 성격, 정황, 범위 및 목적을 고려할 시 자연인의 권리 및 자유에 위험을 초래할 가능성이 없는 경우

Related

(b) 공공당국 또는 기관

3. 대리인은 정보주체가 거주하고, 재화 또는 용역의 제공과 관련하여 해당 정보주체의 개인정보가 처리되거나 행동이 모니터링 되는 회원국 중 한 곳에 설립되어야 한다.

4. 대리인은 컨트롤러 또는 프로세서에 의해 위임되며, 컨트롤러 또는 프로세서와 함께, 또는 이들을 대신하여 본 규정을 준수하기 위한 목적으로 처리와 관련한 모든 사안에 대해 감독기관 및 정보주체와 교섭해야 한다.

5. 컨트롤러 또는 프로세서의 대리인 지정은 컨트롤러 또는 프로세서 본인에게 제기될 수 있는 법적 조치를 침해하지 않아야 한다.

ISO 27701 Recitals Leave a comment
ISO 27701

ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.

Here is the relevant paragraph to article 27 GDPR:

6.3.1.1 Information security roles and responsibilities

Implementation guidance

The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).

The organization should appoint one or more persons responsible for developing, implementing, maintaining and monitoring an organization-wide governance and privacy program, to ensure compliance with all applicable laws and regulations regarding the processing of PII.

[…]


to read the full text

Recitals

(80) 유럽연합 역외에 설립된 컨트롤러 또는 프로세서는 유럽 내의 정보주체의 개인정보를 처리하고, 이러한 처리활동이, 정보주체에게 지불을 요청한 여부와 상관없이, 해당 정보주체에게 재화와 서비스를 제공하는 것과 관련 있는 경우, 또는 유럽 내에서 발생하는 정보주체의 행동에 대한 감시와 관련 있는 경우, 해당 컨트롤러 또는 프로세서는 대리인을 지정해야 하지만, 처리가 간헐적이고(occasional), 대규모의 처리나 특별범주의 개인정보의 처리, 또는 형사기소나 범죄에 관련된 개인정보의 처리가 포함되지 않은 경우, 그리고 처리의 성격, 상황, 범위 그리고 목적을 고려했을 때 개인의 권리와 자유에 관해 위험요소를 초래할 가능성이 낮은 경우나 컨트롤러가 공공기관이나 기구인 경우는 예외로 한다. 대리인은 컨트롤러와 프로세서를 대신하여 행동해야 하며 감독기관이 지정할 수 있다. 대리인은 컨트롤러 또는 프로세서의 공식 위임서한을 통해 명확하게 지정되어 이 규정에 규정된 의무를 대신 이행한다. 이러한 대리인의 지정은 이 규정에 규정된 컨트롤러 또는 프로세서의 책임(responsibility and liability)에는 영향을 미치지 않는다. 해당 대리인은 컨트롤러에게 부여받은 권한에 따라 대리인으로써 업무를 수행해야하며, 여기에는 이 법을 준수하기 위해 적용된 모든 조치와 관련하여 관할 감독기관과 협력하는 것이 포함된다. 지정된 대리인은 컨트롤러 또는 프로세서가 규정을 준수하지 않은 경우, 집행절차를 적용받아야 한다.

Leave a comment
[js-disqus]