Navigation
GDPR > 제49조. 특정 상항에 대한 적용의 일부 제외
Download PDF

제49조 GDPR. 특정 상항에 대한 적용의 일부 제외

1. 제4조 제3항의 적정성 결정이나 의무적 기업 규칙 등 제46조에 따른 적정한 안전조치가 없는 경우, 제3국이나 국제기구로의 개인정보 이전은 다음 각 호의 조건에 따라서만 가능하다.

Related

(a) 적정성 결정 및 적절한 안전조치가 없음으로 인해 그 같은 개인정보의 이전이 정보주체에 초래할 수 있는 위험을 고지 받은 후 정보주체가 명시적으로 이전에 동의한 경우

(b) 정보주체와 프로세서 간의 계약을 이행하기 위해서나 정보주체의 요청으로 취한 계약 사전 조치를 이행하는 데 이전이 필요한 경우

(c) 정보주체의 이익을 위해 컨트롤러와 기타 자연인 또는 법인 간에 체결된 계약의 이행을 위해 이전이 필요한 경우

(d) 중요한 공익상의 이유로 정보이전이 필요한 경우

(e) 법적 권리의 확립, 행사, 방어를 위해 정보이전이 필요한 경우

(f) 정보주체가 물리적 또는 법률적으로 동의를 할 수 없는 경우, 정보주체 또는 타인의 생명과 관련한 주요 이익을 보호하기 위해 정보이전이 필요한 경우

(g) 개인정보가 유럽연합 또는 회원국 법률에 따라 정보를 공개할 목적이거나 일반 국민 또는 정당한 이익을 입증할 수 있는 제3자가 참조(조회)하기 위한 목적으로 만들어진 개인정보 기록부(register)로부터 유럽연합 또는 회원국 법률에 명시된 참조(조회)의 조건이 충족되는 범위 내에서 이전되는 경우

정보의 이전이 의무적 기업 규칙에 대한 규정 등 제45조나 제46조의 규정을 근거로 할 수 없고, 본 항 (a)-(g)호에 따른 특정 상황에서의 일부 제외가 적용되지 않는 경우, 정보이전이 반복적이지 않고, 한정된 숫자의 정보주체에만 적용되고 정보주체의 이익이나 권리 및 자유가 우선하지 않는 한 컨트롤러의 정당한 이익의 목적에 필요하며, 컨트롤러가 정보이전과 관련한 일체의 정황을 평가한 후 그 결과를 토대로 개인정보 보호에 적절한 안전조치를 제시하는 경우에만 제3국이나 국제기구로의 정보이전이 가능하다. 컨트롤러는 정보이전 사실을 감독기관에 고지해야 한다. 제13조 및 제14조에 명시된 정보 제공 이외에도 컨트롤러는 해당 이전 및 본인의 설득력 있는 정당한 이익에 관한 정보를 정보주체에 고지해야 한다.

Related

2. 제1항 (g)호에 따른 정보이전은 개인정보 기록부에 포함된 개인정보의 전부 또는 전체 범주와 관련되어서는 안 된다. 개인정보 기록부가 정당한 이익을 가진 자를 위한 참조(조회)의 목적으로 만들어진 경우, 정보의 이전은 해당인이 요청하는 경우 또는 이들이 수령인인 경우에만 가능해야 한다.

3. 제1항 첫 단락의 (a), (b), (c)호 및 두 번째 단락은 공공기관이 공권력을 행사하여 시행하는 업무에는 적용되어서는 안 된다.

4. 제1항 (d)호의 공익은 컨트롤러가 적용받는 유럽연합 또는 회원국 법률에서 인정되어야 한다.

5. 적정성 결정이 없을 경우, 유럽연합 또는 회원국 법률은 중요한 공익상의 이유로 특정 범주의 개인정보를 제3국이나 국제기구로 전송하는 것을 명시적으로 제한할 수 있다. 회원국들은 해당 규정을 집행위원회에 통보해야 한다.

6. 컨트롤러나 프로세서는 제30조의 기록부(records)에 본 조 제1항의 두 번째 단락에 명시된 평가 및 적절한 안전조치를 기록해야 한다.

Related
ISO 27701 Recitals Guidelines & Case Law Leave a comment
ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 49 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).

[…]


to read the full text

Recitals

(111) 규제기구의 절차 등 사법절차, 행정적 또는 법원 이외의 다른 절차에 관계없이, 정보주체가 명백한 동의를 제공한 경우이거나 정보이전이 계약 혹은 법적 권리와 관련하여 간헐적이고 필요할 경우와 같이 특정한 상황에서 이루어질 수 있는 정보이전에 대한 조항을 규정해야 한다. 유럽연합 또는 회원국 법률에서 규정하고 있는 공익상의 이유로 요구될 수 있는 정보이전 혹은 법에 따라 설립되고 정당한 이익을 가진 대중 혹은 사람들의 조회 목적으로 기록부(register)로부터 정보이전이 이루어지는 경우에 대한 조항도 규정해야 한다. 후자의 정보이전 시, 개인정보 기록부(register)에 포함된 개인정보 전체 또는 정보 범주 전체를 포함해서는 안 된다. 그리고 개인정보 기록부(register)가 정당한 이익을 가진 사람의 조회용도일 때, 해당인의 요청에 한해서 혹은 그들이 수령인이 될 경우, 정보주체의 이익 및 기본권을 전적으로 고려하여 정보이전이 이루어져야 한다.

(112) 적용의 일부 제외는 특히 중요한 공익상의 이유로 요구되고 필요한 개인정보의 이전에 적용되어야 한다. 전자의 사례는 경쟁 당국, 국세청 또는 관세청 간이나 금융 감독기관 간, 또는 사회보장 담당기관 간에 국제적인 정보교류가 이루어지는 경우이고 후자의 사례로는 전염병 접촉 경로 추적이나 스포츠 경기에서 도핑의 감소·근절을 위한 공공보건의 경우가 해당한다. 또한 정보주체가 동의를 제공할 수 없는 경우에는 정보주체나 제3자의 생명에 관한 이익을 위하여 필수적인 이익을 보호하는데 필요한 경우, 개인정보의 이전은 적법한 것으로 간주되어야 한다. 적정성 결정이 없을 경우, 유럽연합 또는 회원국 법률은 중요한 공익상의 이유로 특별 범주의 개인정보를 제3국이나 국제기구에 이전하는 것을 명시적으로 제한할 수 있다. 회원국은 이에 해당하는 규정을 집행위원회에 고지해야 한다. 신체적 또는 법적으로 동의를 할 수 없는 정보주체의 개인정보를 제네바협정으로 부과된 업무를 수행하기 위하여 또는 무력분쟁에 적용 가능한 국제 인도주의 법률을 준수하기 위해 인도주의적 성격의 국제기구로 이전하는 것은 중요한 공익상의 이유 또는 해당 정보주체의 생명에 관한 이익에 속하기 때문에 필요한 것으로 간주될 수 있다.

(113) 정보주체의 이익이나 권리 및 자유가 컨트롤러가 추구하는 정당한 이익보다 우선하지 않고, 컨트롤러가 개인정보 이전과 관련된 모든 정황을 평가한 후, 간헐적이고 한정된 숫자의 정보주체에 관한 정보이전은 컨트롤러가 추구하는 강력한 정당한 이익의 목적을 위해 가능할 수도 있다. 컨트롤러는 개인정보의 성격, 예정된 정보처리 작업(들)의 목적 및 지속기간, 개인정보 발송국가, 제3국 및 정보가 최종 이전되는 국가의 상황, 본인의 개인정보 처리와 관련해 개인의 기본권 및 자유를 보호하는데 적정한 안전장치를 특히 고려해야 한다. 이 같은 정보이전은 정보이전을 위한 기타 근거가 적용 가능하지 않은 나머지 경우에서만 가능하다. 과학 및 역사적 연구의 목적 또는 통계의 목적으로, 지식의 증진이라는 사회의 합당한 기대 또한 고려되어야 한다. 컨트롤러는 정보이전에 대하여 감독기관 및 해당 정보주체에 고지해야 한다.

(114) 어떤 경우에서도, 집행위원회가 제3국의 적정한 보호수준에 대해 아무런 결정을 내리지 않았을 경우, 컨트롤러나 프로세서는 일단 개인정보가 이전된 후 정보주체에게 유럽연합 내에서 시행되는 본인의 개인정보처리에 대한 구속력 있고 효과적인 권리를 제시하는 해결방안을 통해 정보주체가 계속적으로 기본권 및 안전조치의 혜택을 받도록 해야 한다.

(115) 일부 제3국은 회원국 소관의 자연인 및 법인의 개인정보 처리 활동을 직접 규제하기 위한 취지의 법률, 규정 및 기타 입법 기구를 채택한다. 여기에는 컨트롤러나 프로세서에게 개인정보의 이전이나 제공을 요구하는 제3국의 법원이나 재판소의 판결 또는 행정당국의 결정이 포함될 수 있다. 이 같은 판결이나 결정은 요청을 한 제3국과 유럽연합 또는 회원국 간에 시행 중인 사법공조조약 등의 국제협정에 기반을 두지 않는다. 이 같은 법률, 규정 및 기타 입법 기구의 역외 적용은 국제법에 위반될 수 있고 본 규정이 유럽연합 내에서 보장하는 개인에 대한 보호를 저해할 수 있다. 정보이전은 본 규정에 따른 제3국으로의 정보이전을 위한 조건을 만족시키는 경우에 한해서만 허용되어야 한다. 컨트롤러에 적용되는 유럽연합이나 회원국의 법률이 규정하는 공익상의 이유로 정보공개가 필요한 경우가 특히 이에 해당한다.

Guidelines & Case Law Leave a comment
[js-disqus]