2. 감독기관이 제1항의 예정된 처리가 본 규정을 위반할 것이라는 의견을 제시하는 경우로서 특히 컨트롤러가 위험을 충분히 파악하거나 완화하지 못한 경우, 감독기관은 자문 요청을 접수한지 8주의 기간 내에 해당 컨트롤러에게 서면 형식의 권고를 제공해야 하고, 해당하는 경우 프로세서에게도 제공해야 하며, 제58조에 규정된 어느 권한이라도 사용할 수가 있다. 해당 기간은 예정된 처리의 복합성을 고려하여 6주까지 연장될 수 있다. 감독기관은 자문 요청을 접수한 후 한 달 내에 컨트롤러에게, 그리고 해당하는 경우 프로세서에게도 지연의 사유와 함께 그 같은 기간 연장에 대해 알려야 한다. 그 기간은 감독기관이 자문의 목적으로 요청한 정보를 입수할 때까지 연기될 수 있다.
[…]
(m) 제40조에 의거한 행동강령 마련을 장려하고 의견을 제시하며, 제40조(5)에 따라 충분한 안전조치를 제공하는 행동강령을 승인
1. 회원국, 감독기관, 유럽 데이터보호이사회, 집행위원회는 다양한 처리 부문의 명확한 특징과 영세 및 중소기업의 특정 요구를 고려하여 본 규정을 적절히 적용하기 위한 취지의 행동강령을 입안하도록 장려한다.
[…]
5. 행동강령을 작성하거나 기존 강령을 개정 또는 확대할 의도인 본 조 제2항의 협회 또는 기타 기관은 제55조에 따른 권한을 가지는 감독기관에 강령 초안이나 개정 또는 확대 강령을 제출해야 한다. 감독기관은 강령 초안이나 개정 또는 확대 강령이 본 규정에 부합하는지 여부에 대한 의견을 제시하고 적정한 안전조치를 제공한다고 판단되는 경우, 해당 초안이나 개정 또는 확대 강령을 승인해야 한다.
[…]
(n) 제42조(1)에 따른 개인정보 보호 인증 메커니즘과 개인정보 보호 인장 및 상표의 제정 장려 및 제42조(5)에 의거한 인증 기준을 승인
1. 회원국과 감독기관, 유럽 데이터보호이사회, 집행위원회는 컨트롤러가 시행하는 처리 작업이 본 규정을 준수하고 있음을 입증하기 위한 목적으로 특히 유럽연합의 차원의 개인정보보호 인증 메커니즘, 개인정보보호 인장 및 마크의 수립을 장려해야 한다. 영세기업이나 중소기업의 특정 요구도 참작되어야 한다.
[…]
5. 본 조문에 따른 인증은 제58조(3)항에 따른 관련 감독기관이나 제63조에 따른 유럽 데이터보호이사회가 승인한 기준을 토대로, 제43조의 인증기관 또는 관련 감독기관이 발급할 수 있다. 해당 기준이 유럽 데이터보호이사회에 의해 승인되는 경우, 이는 공동 인증인 유럽 데이터보호 인장(European Data Protection Seal)으로 이어질 수 있다.
(a) 예정된 처리작업(들)이 본 규정의 조문을 위반할 가능성이 높은 것에 대해 컨트롤러 또는 프로세서에게 경고 발령
(b) 예정된 처리작업(들)이 본 규정의 조문을 위반한 경우, 컨트롤러 및 프로세서를 견책
(c) 컨트롤러 및 프로세서가 본 규정에 따라 본인의 권리를 행사하고자 하는 정보주체의 요청을 따를 것을 지시
(d) 컨트롤러 또는 프로세서에게 처리작업(들)이 본 규정의 조문을 준수하도록 지시하며, 적절한 경우, 구체적인 방식과 구체적인 기간 내에 하도록 지시
(e) 정보주체에게 개인정보 침해에 대해 통지하도록 프로세서에게 지시
(f) 처리에 대한 금지 등, 임시 또는 확정적 제한 부과
(g) 제16조, 제17조, 제18조에 따른 처리의 수정이나 삭제 또는 제한을 지시하고, 제17조(2) 및 제19조에 따라 개인정보를 제공받는 수령인들에게 이러한 행동조치에 대한 통지를 지시
(h) 인증의 요건이 충족되지 않거나 더 이상 충족되지 않는 경우, 인증을 철회하거나 인증기관에게 제42조 및 제42조에 의거하여 발급된 인증을 철회하라고 지시하거나 인증기관에게 인증을 발급하지 않도록 지시
(i) 각 개별 상황별 정황에 따라 본 조항에 규정된 조치를 부과하거나, 이와 함께 또는 이것 대신, 제83조에 따른 행정적 벌금을 부과
(j) 제3국 또는 국제기구의 수령인으로의 정보 이동의 중지를 지시
[…]
(v) 개인정보 보호와 관련된 기타 업무 수행
2. 각 감독기관은 다른 통지 수단을 배제하지 않고, 전자 양식으로도 작성 가능한 민원 제출 양식 등의 조치로 제1항 (f)호에 규정된 민원의 제출을 용이하게 한다.
3. 각 감독기관의 업무 수행에 대한 비용은 정보주체의 경우 무료이며, 해당되는 경우, 데이터보호담당관도 무료이다.
4. 특히 요청의 반복적인 성격으로, 요청이 명백하게 근거가 없거나 지나칠 경우, 해당 감독기관은 행정적 비용에 근거한 합리적인 비용을 청구할 수 있거나 해당 요청에 대한 응대를 거절할 수 있다. 해당 감독기관은 관련 요청이 명백하게 근거가 없거나 과도한 성격임을 입증할 책임을 지닌다.
(123) 감독기관은 본 규정에 따른 조문의 적용을 모니터링하고 유럽연합 전역에 일관적인 적용이 되도록 함으로써 개인정보 처리와 관련한 개인을 보호하고 역내시장 내에서 개인정보의 자유로운 이동을 용이하게 해야 한다. 그 같은 목적으로 감독기관은 상호지원 제공이나 협력에 대해 회원국 간에 협정을 맺을 필요 없이 상호 간에, 그리고 집행위원회와 협력해야 한다.
(132) 대중을 대상으로 한 감독기관의 인식제고 활동에는 개인과 영세·중소기업 등의 컨트롤러와 프로세서를 겨냥한 구체적인 조치, 특히 교육적인 측면의 조치가 포함되어야 한다.