Navigation
GDPR > 제28조. 프로세서
Download PDF

제28조 GDPR. 프로세서

1. 컨트롤러를 대신하여 처리가 이루어지는 경우, 컨트롤러는 적절한 기술 및 관리적 조치 이행을 통해 그 처리가 본 규정의 요건을 충족시키고, 정보주체의 권리를 보호하도록 충분한 보증을 제공하는 프로세서만 이용해야 한다.

2. 프로세서는 사전의 특정한 또는 일반적인 컨트롤러의 서면 승인 없이 타 프로세서를 고용할 수 없다. 일반적인 서면 승인의 경우, 프로세서는 컨트롤러에게 타 프로세서의 추가 또는 대체와 관련한 예정된 변경에 대해 고지하여, 컨트롤러가 이러한 변경에 반대할 기회를 제공해야 한다.

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraphs to article 28(2) GDPR:

8.5.6 Disclosure of subcontractors used to process PII

Control

The organization should disclose any use of subcontractors to process PII to the customer before use.

Implementation guidance

Provisions for the use of subcontractors to process PII should be included in the customer contract.

[…]


to read the full text

3. 프로세서의 처리는 컨트롤러와 관련하여 프로세서에게 구속력을 가지고, 처리의 주제와 지속기간, 처리의 성격과 목적, 개인정보의 유형과 정보주체의 범주, 컨트롤러의 의무와 권리를 규정하는 유럽연합 또는 회원국 법률에 따른 계약이나 기타 법률의 규제를 받는다. 그 계약 또는 기타 법률은 프로세서에 대하여 특히 다음 각 호와 같이 규정해야 한다.

(a) 프로세서는 컨트롤러의 서면 지시에 한하여 개인정보를 처리하며, 여기에는 제3국 또는 국제기구로의 개인정보 이전이 포함되며, 유럽연합 또는 프로세서에 적용되는 회원국 법률이 요구하는 경우는 제외한다. 이 경우, 프로세서는 처리 이전에 해당 법률요건을 컨트롤러에게 고지해야 하며, 해당 법률이 공익상의 중요한 이유로 그러한 통지를 금지하는 경우는 예외로 한다. 제3국 또는 국제기구로의 개인정보 이전에 관해서 등 컨트롤러의 문서화된 지시에 한하여 개인정보를 처리하나, 프로세서에게 적용되는 유럽연합 또는 회원국 법률로 요구되는 경우는 제외한다.

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(3)(a) GDPR:

8.2.2 Organization’s purposes

Control

The organization should ensure that PII processed on behalf of a customer are only processed for the purposes expressed in the documented instructions of the customer.

Implementation guidance

The contract between the organization and the customer should include, but not be limited to, the objective and time frame to be achieved by the service.

[…]


to read the full text

(b) 프로세서는 개인정보를 처리하도록 승인 받은 개인이 기밀유지를 약속하도록 보장하거나 적절한 법정 기밀유지의 의무를 적용 받도록 한다.

ISO 27701

ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 13.2.4.

Here is the relevant paragraph to article 28(3)(b) GDPR:

6.10.2.4 Confidentiality or non-disclosure agreements

Implementation guidance

The organization should ensure that individuals operating under its control with access to PII are subject to a confidentiality obligation. The confidentiality agreement, whether part of a contract or separate, should specify the length of time the obligations should be adhered to.

[…]


to read the full text

(c) 제32조에 따라 요구되는 모든 조치를 취한다.

Related

(d) 타 프로세서와 협력하기 위해서 제2항 및 제4항에 규정된 조건을 준수한다.

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(3)(d) GDPR:

8.5.7 Engagement of a subcontractor to process PII

Control

The organization should only engage a subcontractor to process PII according to the customer contract.

Implementation guidance

Where the organization subcontracts some or all of the processing of that PII to another organization, a written authorization from the customer is required prior to the PII processed by the subcontractor. This can be in the form of appropriate clauses in the customer contract, or can be a specific “one-off” agreement.

 

[…]


to read the full text

(e) 해당 처리의 성격을 참작하여, 제III장에 규정된 정보주체의 권리행사의 요청에 대응해야 하는 컨트롤러의 의무 이행을 위해, 가능한 경우, 적절한 기술적 및 관리적 조치를 통해 컨트롤러를 지원한다.

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(3)(e) GDPR:

8.3.1 Obligations to PII principals

Control

The organization should provide the customer with the means to comply with its obligations related to PII principals.

Implementation guidance

A PII controller’s obligations can be defined by legislation, by regulation and/or by contract. These obligations can include matters where the customer uses the services of the organization for implementation of these obligations.

[…]


to read the full text

(f) 처리의 성격과 프로세서에게 가용한 정보를 참작하여, 컨트롤러가 제32조에서 제36조에 따른 의무를 준수할 수 있도록 지원한다.

Related

(g) 컨트롤러의 선택에 따라, 처리와 관련된 서비스의 공급이 종료된 후, 유럽연합 또는 회원국 법률이 해당 개인정보의 보관을 요구하는 경우가 아니라면 모든 관련 개인정보를 삭제하거나 컨트롤러에게 반환하며, 기존의 사본을 삭제한다.

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(3)(g) GDPR:

8.4.2 Return, transfer or disposal of PII

Control

The organization should provide the ability to return, transfer and/or disposal of PII in a secure manner. It should also make its policy available to the customer.

Implementation guidance

At some point in time, PII can need to be disposed of in some manner. This can involve returning the PII to the customer, transferring it to another organization or to a PII controller (e.g. as a result of a merger), deleting or otherwise destroying it, de-identifying it or archiving it.

[…]


to read the full text

(h) 본 조에 규정된 의무의 준수를 입증하는데 필요한 일체의 정보를 컨트롤러에게 제공하고 점검 등의 컨트롤러 또는 컨트롤러가 위임한 타 감사자가 수행하는 감사를 허용하고 이에 기여한다.

ISO 27701

(h)호와 관련하여, 프로세서는 어떠한 지시가 본 규정 또는 기타 유럽연합 또는 회원국의 개인정보 보호 조문을 위반한다고 판단되는 경우 즉시 컨트롤러에게 이에 대해 통지해야 한다.

4. 프로세서가 컨트롤러를 대신하여 특정 처리 활동을 수행하기 위해 타 프로세서와 함께 일하는 경우, 제3항에 규정된 컨트롤러와 프로세서 간의 계약 또는 기타 법률에 명시된 동일한 개인정보 보호의 의무는 유럽연합 또는 회원국 법률에 따른 계약이나 기타 법률의 방식으로 관련 타 프로세서에게 부과되어야 하며, 특히 해당 처리가 본 규정의 요건을 충족시키는 방식으로 적절한 기술적 및 관리적 조치를 이행하는 것에 대해 충분한 보증을 제공해야 한다. 해당 타 프로세서가 본인의 개인정보 보호의 의무를 이행하지 않을 경우, 최초의 프로세서는 그 프로세서의 의무 이행에 대해 컨트롤러에게 전적인 책임을 져야 한다.

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(4) GDPR:

8.5.6 Disclosure of subcontractors used to process PII

Control

The organization should disclose any use of subcontractors to process PII to the customer before use.

Implementation guidance

Provisions for the use of subcontractors to process PII should be included in the customer contract.

[…]


to read the full text

5. 프로세서가 제40조의 승인된 행동강령 또는 제42조의 공인 인증 메커니즘을 준수하는 것은 본 조 제1항 및 제4항에 규정된 충분한 보증을 입증하는 요소로 활용될 수 있다.

6. 컨트롤러와 프로세서 간의 개별 계약을 침해하지 않고, 본 조 제3항 및 제4항에 규정된 계약 또는 기타 법률은 전적 또는 부분적으로 본 조 제7항 및 제8항에 규정된 정보보호 표준 계약조항(standard contractual clauses)에 근거할 수 있으며, 해당 계약 및 기타 법률이 제42조 및 제43조에 따라 컨트롤러 또는 프로세서에게 수여된 인증의 일부인 경우에도 그러하다.

7. 집행위원회는 본 조 제3항 및 제4항에 규정된 사안에 대하여, 제93조(2)에 규정된 심사 절차에 따라 정보보호 표준 계약조항을 규정할 수 있다.

Related

8. 감독기관은 본 조 제3항 및 제4항에 규정된 사안에 대하여, 제63조에 규정된 일관성 메커니즘에 따라 정보보호 표준 계약조항을 채택할 수 있다.

Related

9. 제3항 및 제4항에 규정된 계약이나 기타 법률은 전자 양식 등 서면으로 작성되어야 한다.

10. 제82조, 제83조, 제84조를 침해하지 않고, 프로세서가 처리의 목적 및 방법을 결정함으로써 본 규정을 위반하는 경우, 프로세서는 해당 처리와 관련하여 컨트롤러로 간주되어야 한다.

Related
Expert commentary ISO 27701 Recitals Guidelines & Case Law Leave a comment
Expert commentary

A processor is a person or an organization that processes personal data on behalf and under the authority of a controller [Articles 4(8) and 28(1)]. The term used in the English text of the General Data Protection Regulation (GDPR) remains difficult to apprehend by a non-legal audience, so it is useful to turn to other linguistic versions for a better understanding.

[…]


to read the full text

Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert
ISO 27701

ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to articles 28(5), 28(6), and 28(10) GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

[…]


to read the full text

Recitals

(81) 컨트롤러를 대신하여 프로세서 수행하는 처리와 관련하여, 이 규정을 준수하도록 보장하기 위해서, 프로세서에게 처리 활동을 위탁할 때, 컨트롤러는 전문적 지식, 신뢰성 및 자원과 특히 관련하여, 처리 보안 등, 이 규정의 요건을 맞출 수 있는 기술적 및 관리적 조치를 시행한다는 충분한 확신을 제공하는 프로세서만을 활용해야 한다. 프로세서의 승인된 행동강령이나 공인 인증 메커니즘에 대한 준수는 컨트롤러의 의무의 준수를 입증하는 요소로 이용될 수 있다. 프로세서의 개인정보 처리의 수행은 유럽연합 또는 회원국 법률에 규정된 계약 또는 기타 법률에 적용받아야 하며, 이를 통해 프로세서는 컨트롤러에게 구속되고, 처리 사안(subject-matter) 및 처리기간, 처리의 성격 및 목적, 개인정보 유형 및 정보주체의 범주를 규정하고 있어야하며, 수행되는 개인정보 처리 상황에서의 프로세서의 구체적인 업무 및 책임과 정보주체의 권리와 자유에 대한 위험요소를 고려해야 한다. 컨트롤러와 프로세서는 개별 계약 방식 또는 위원회가 채택하거나, 감독기관이 일관성 메커니즘에 따라 채택 후 위원회가 채택한 표준 계약 조항(standard contractual clauses) 방식 중 하나의 방식을 선택할 수 있다. 컨트롤러를 대신하여 처리를 완료한 후, 프로세서는, 컨트롤러의 선택에 따라, 관련 개인정보를 반환 또는 파기해야하지만, 프로세서가 적용받는 유럽연합 또는 회원국 법률에 따라 개인정보를 보관하라는 요구사항이 있는 경우는 예외로 한다.

Guidelines & Case Law Leave a comment
[js-disqus]