ISO 27701
Recitals
(103) 집행위원회는 제3국이나 제3국의 영토 혹은 지정된(specified) 분야, 혹은 국제기관에서 적절한 수준이 개인정보보호를 보장하고 있다는 유효한 결정을, 유럽전체를 대신하여 내릴 수 있다. 따라서 유럽연합 전체는 이러한 보호수준을 보장한다고 간주되는 제3국이나 국제기관에 대해 법적 확실성과 균등성(uniformity)을 보장받을 수 있다. 이 경우, 해당 제3국이나 국제기관으로의 개인정보 이전은 추가적인 승인을 받을 필요 없이 진행될 수 있다. 또한 해당 제3국이나 국제기관에 사유를 설명하는 통지 및 성명서 전체를 전달한 후, 이러한 결정을 철회할 수 있다.
(104) 유럽연합 창설의 근거가 되는 인권보호 등의 기본적 가치에 따라, 집행위원회는, 제3국 또는 제3국의 영토나 규정된 분야에 대한 집행위원회의 평가에서, 해당 제3국이 법치주의, 국제인권 규범·기준 및 정의 구현, 그리고 공안·국방·국가안보 및 치안과 형법 등 자국의 전반적·분야별 법률을 준수하는지를 고려해야 한다. 제3국내의 영토나 지정된 분야에 대한 적정성 결정의 채택시에는 구체적인 정보처리 활동, 유효하고 적용 가능한 법적 기준 및 법률의 영역 등 해당 국가의 명확하고 객관적인 기준이 고려되어야 한다. 해당 제3국은 유럽연합 내에서 보장되는 수준에 상응하는 적정 수준의 개인정보 보호를 보장해야 한다. 이는 특히 개인정보가 하나 이상의 지정된 분야에서 처리될 경우 더욱 그러하다. 해당 제3국은 효과적이고 독립적인 개인정보보호 감독을 보장하고 회원국의 DPA와의 협력 메커니즘을 가능하게 해야 한다. 관련 정보주체는 효과적이고 행사 가능한 권리와 효과적인 행정적·사법적 구제방안을 제공받아야 한다.
(105) 제3국이나 국제기구가 체결한 국제협약과 별개로, 집행위원회는 해당 제3국이나 국제기구가 가입한 제도, 특히 개인정보 보호와 관련한 다자간·지역적 제도로부터 부여받은 의무 및 해당 의무의 이행을 고려해야 한다. 특히 1981년 1월 28일자 개인정보 자동처리 및 추가의정서에 대한 개인보호 유럽평의회 협약에 대한 제3국의 가입여부가 고려되어야 한다, 집행위원회는 제3국 또는 국제기구의 보호 수준을 평가 시, 각료이사회의 자문을 구해야 한다.
(106) 집행위원회는 제3국, 제3국내의 영토나 지정된 분야, 또는 국제기구의 정보 보호수준에 대한 적정성 결정이 제대로 작동하는지 모니터링하고 지침 95/46/EC의 제25조(6) 또는 제26조(4)를 근거로 채택된 결정이 제대로 작동하는지 모니터링 해야 한다. 집행위원회는 적정성 결정이 제대로 작동하는지 정기적인 검토를 위한 메커니즘을 규정해야 한다. 정기적인 검토는 해당 제3국이나 국제기구와 협의하여 해당 제3국이나 국제기구 내의 모든 관련 추이를 참작하여 시행되어야 한다. 감시 및 정기적 검토 시행의 목적으로 집행위원회는 유럽의회와 각료이사회, 그리고 기타 관련 기구의 의견 및 조사결과를 참작해야 한다. 집행위원회는 적정한 시간 내에 후속적인 결정들의 작동을 평가하고 그 결과를 유럽의회·각료이사회 규정서 (EU) No 182/2011에 규정된 위원회(Committee) [12], 유럽의회, 그리고 각료이사회에 보고해야 한다.
(107) 집행위원회는 제3국, 제3국내의 영토나 지정된 부문, 또는 국제기구가 더 이상 적정한 수준의 개인정보보호를 보장하지 않는다는 것을 인지할 수 있다. 이 경우, 구속력 있는 기업규칙(binding corporate rules) 등 적절한 안전장치에 근거하거나, 구체적 상황에 따른 적용제외(derogations)가 필요한 경우일 때를 제외하고는 해당 제3국이나 국제기구로의 개인정보 이전은 금지되어야 한다. 이 경우, 집행위원회와 해당 제3국이나 국제기구 간의 협의를 준비해야 한다. 집행위원회는 시기적절하게 관련 제3국이나 국제기구에 사유를 통보하고 상황 해결을 위한 협의에 들어가야 한다.
Guidelines & Case Law
Documents
Article 29 Working Party, Adequacy Referential (2018).
EDPS, Strategy for Union institutions, offices, bodies and agencies to comply with the ‘Schrems II’ Ruling (2020).
EDPB, Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data (2021).
EDPB, Recommendations 1/2021 on the Adequacy Referential under the Law Enforcement Directive (2021).
Case Law
CJEU, Schrems/Data Protection Commissioner, C-362/14 (2015).
CJEU, Draft Agreement between Canada and the European Union, opinion 1/15 (2017).
CJEU, Data Protection Commissioner/Facebook Ireland Ltd and Schrems, C-311/18 (2020).
ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 45 GDPR:
7.5.1 Identify basis for PII transfer between jurisdictions
Control
The organization should identify and document the relevant basis for transfers of PII between jurisdictions.
Implementation guidance
PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).
[…]
Sign in
to read the full text