Navigation
GDPR > 제46조. 적정한 안전조치에 의한 이전
Download PDF

제46조 GDPR. 적정한 안전조치에 의한 이전

1. 제45조(3)에 의거한 결정이 없을 경우, 컨트롤러나 프로세서는 적정한 안전조치를 제공한 경우에 한하여, 정보주체가 행사할 수 있는 권리와 유효한 법적 구제책이 제공되는 조건으로 제3국 또는 국제기구에 개인정보를 이전할 수 있다.

Related

2. 제1항의 적정한 안전조치는 감독기관의 특별한 승인을 요하지 아니하고 다음 각 호에 의해 제공될 수 있다.

Recitals

(108) 적정성 결정이 없을 경우, 컨트롤러나 프로세서는 정보주체를 위한 적절한 안전장치를 통해 제3국에서의 정보보호의 미흡함을 보완하기 위한 조치를 취해야 한다. 이 같은 적절한 안전장치로는 의무적 기업규칙(binding corporate rules), 집행위원회가 채택한 정보보호 표준조항(standard data protection clauses), 감독기관이 채택한 정보보호 표준조항 또는 감독기관이 승인한 계약조항(contractual clauses)을 활용할 수 있다. 이 같은 안전장치를 통해 유럽연합 역내의 정보처리에 적절한 개인정보 보호의 요건 및 정보주체의 권리가 보장되도록 해야 하며, 안전장치에는 유럽연합 및 제3국내에서 시행 가능한 정보주체의 권리의 가용조치, 효과적인 행정적, 사법적 구제 조치를 모색하고 보상을 요청하는 등, 효과적인 법적 구제를 위한 가용조치 등이 포함된다. 이러한 안전장치는 특히 개인정보처리에 관련된 일반적인 원칙, 데이터보호 설계 및 기본설정의 원칙을 준수해야 한다. MOU 등 행정협정에 삽입될 규정이 정보주체에 시행가능하고 효과적인 권리를 제공한다는 근거에 따라, 공공기관이나 공공기구는 제3국에 설립된 공공기관이나 공공기구 혹은 이에 상응하는 의무나 기능을 지닌 국제기관으로 정보를 이전할 수 있다. 법적 구속력이 없는 행정 협정에 안전장치가 제시될 경우 관련 감독기관의 승인이 필요하다.

(109) 컨트롤러나 프로세서가 집행위원회나 감독기관이 채택한 정보보호 표준조항을 활용한다면, 컨트롤러나 프로세서가 당해 프로세서와 기타 프로세서 간의 계약 등, 보다 광범위한 계약에 정보보호 표준조항을 포함시키는 것은 금지되어야 하며, 또는 집행위원회나 감독기관이 채택한 정보보호 표준조항이 직·간접적으로 위배하지 않고 정보주체의 기본권이나 자유를 침해하지 않는다고 하여, 기타 조항이나 추가적인 안전장치를 더해서는 안 된다. 컨트롤러와 프로세서는 정보보호 표준조항을 보완하는 계약적 의무를 통해 추가적인 안전장치를 제공하도록 독려되어야 한다.

(b) 제47조에 따른 의무적 기업 규칙

Related

(c) 제93조(2)의 검토 절차에 따라 집행위원회가 채택한 정보보호 표준조항

(d) 감독기관이 채택하고 제93(2)조의 검토 절차에 따라 집행위원회가 승인한 정보보호 표준조항

Related

(e) 정보주체의 권리에 관한 것 등 적정한 안전조치를 적용하기 위한 것으로 법적 구속력 및 강제력이 있는 제3국의 컨트롤러나 프로세서의 약속을 포함한 제40조에 의거한 공인 행동강령

(f) 정보주체의 권리에 관한 것 등 적정한 안전조치를 적용하기 위한 것으로 법적 구속력 및 강제력이 있는 제3국의 컨트롤러나 프로세서의 약속을 포함한 제42조에 의거한 공인 인증 메커니즘

3. 제1항의 적정한 안전조치는 관할 감독기관의 승인을 거쳐 특히 다음 각 호를 통해서도 제공될 수 있다.

(a) 컨트롤러나 프로세서와 제3국이나 국제기구의 컨트롤러, 프로세서 또는 개인정보 수령인 간의 계약 조항

(b) 공공당국이나 기관 간의 행정 협정에 삽입될 것으로 강제력이 있고 유효한 정보주체의 권리를 포함한 규정

4. 감독기관은 본 조 제3항의 사례의 경우 제63조의 일관성 메커니즘을 적용해야 한다.

Related

5. 지침 95/46/EC의 제26조(2)를 근거로 한 회원국이나 감독기관의 승인은 필요한 경우 해당 감독기관이 수정, 대체, 철회할 때까지 유효해야 한다. 지침 95/46/EC의 제26조(4)를 근거로 집행위원회가 채택하는 결정은 필요한 경우 본 조 제2항에 따라 채택된 집행위원회 결정에 의해 수정, 대체 또는 철회될 때까지 유효해야 한다.

ISO 27701 Recitals Guidelines & Case Law Leave a comment
ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 46 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).

[…]


to read the full text

Recitals

(108) 적정성 결정이 없을 경우, 컨트롤러나 프로세서는 정보주체를 위한 적절한 안전장치를 통해 제3국에서의 정보보호의 미흡함을 보완하기 위한 조치를 취해야 한다. 이 같은 적절한 안전장치로는 의무적 기업규칙(binding corporate rules), 집행위원회가 채택한 정보보호 표준조항(standard data protection clauses), 감독기관이 채택한 정보보호 표준조항 또는 감독기관이 승인한 계약조항(contractual clauses)을 활용할 수 있다. 이 같은 안전장치를 통해 유럽연합 역내의 정보처리에 적절한 개인정보 보호의 요건 및 정보주체의 권리가 보장되도록 해야 하며, 안전장치에는 유럽연합 및 제3국내에서 시행 가능한 정보주체의 권리의 가용조치, 효과적인 행정적, 사법적 구제 조치를 모색하고 보상을 요청하는 등, 효과적인 법적 구제를 위한 가용조치 등이 포함된다. 이러한 안전장치는 특히 개인정보처리에 관련된 일반적인 원칙, 데이터보호 설계 및 기본설정의 원칙을 준수해야 한다. MOU 등 행정협정에 삽입될 규정이 정보주체에 시행가능하고 효과적인 권리를 제공한다는 근거에 따라, 공공기관이나 공공기구는 제3국에 설립된 공공기관이나 공공기구 혹은 이에 상응하는 의무나 기능을 지닌 국제기관으로 정보를 이전할 수 있다. 법적 구속력이 없는 행정 협정에 안전장치가 제시될 경우 관련 감독기관의 승인이 필요하다.

(109) 컨트롤러나 프로세서가 집행위원회나 감독기관이 채택한 정보보호 표준조항을 활용한다면, 컨트롤러나 프로세서가 당해 프로세서와 기타 프로세서 간의 계약 등, 보다 광범위한 계약에 정보보호 표준조항을 포함시키는 것은 금지되어야 하며, 또는 집행위원회나 감독기관이 채택한 정보보호 표준조항이 직·간접적으로 위배하지 않고 정보주체의 기본권이나 자유를 침해하지 않는다고 하여, 기타 조항이나 추가적인 안전장치를 더해서는 안 된다. 컨트롤러와 프로세서는 정보보호 표준조항을 보완하는 계약적 의무를 통해 추가적인 안전장치를 제공하도록 독려되어야 한다.

Guidelines & Case Law Leave a comment
[js-disqus]