제42조 GDPR. 인증
[…]
7. 인증은 최대 3년간 컨트롤러나 프로세서에게 발급되어야 하며 관련 요건이 계속적으로 충족되는 경우 동일한 조건에 따라 갱신될 수 있다. 제43조에 규정된 인증기관 또는 관련 감독기관은 인증 요건이 충족되지 않을 경우, 인증을 철회하여야 한다.
[…]
Source: http://www.pipc.go.kr/cmt/not/ntc/selectBoardArticle.do?nttId=5969&bbsId=BBSMSTR_000000000121&bbsTyCode=BBST03&bbsAttrbCode=BBSA03&authFlag=Y&pageIndex=6
(129) 유럽연합 전역에서의 본 규정의 일관성 있는 모니터링 및 집행을 보장하기 위해, 감독기관들은 각 회원국 내에서 동일한 업무 및 조사권, 시정권·제재 및 승인·자문 권한 등의 동일한 권한을 가져야 하고 이는 특히 개인이 제기한 민원의 경우 더욱 그러하며, 회원국 법률에 따른 검찰 기관이 본 규정의 위반사건을 사법 기관에 제소하고 소송 절차에 관여할 권한을 침해해서는 아니 된다. 이 같은 권한에는 금지 등 정보처리를 임시적으로 또는 완전히 제한하는 권한도 포함된다. 회원국들은 본 규정에 의해 개인정보 보호와 관련된 기타 업무를 규정할 수 있다. 감독기관의 권한은 유럽연합 또는 회원국 법률에 제시된 적절한 절차의 안전장치에 따라 공정하고 적정한 시간 내에 행사되어야 한다. 특히 각 조치는 개별 사안의 정황을 참작하여 본 규정의 준수를 보장함에 있어 적절하고 필요한 것이어야 하고, 개인에게 악영향을 끼칠 개별적 조치의 이행 전에 개개인의 발언할 권리를 존중하고 관계자에게 불필요한 비용 및 과도한 불편을 끼치는 것을 방지해야 한다. 부지(premises) 접근과 관련한 조사권한은 사전의 사법적 인가 등 회원국 절차법의 특정 요건에 부합하여 행사되어야 한다. 감독기관의 법적 구속력 있는 각각의 조치는 서면 형식으로 명료하고 명확해야 하고, 조치를 발부한 감독기관, 조치 발부일, 기관장의 서명 또는 기관장이 인가한 감독기관 구성원의 서명을 포함하며 조치의 사유를 설명하고 유효한 구제 권리에 대해 명시하여야 한다. 이것이 회원국의 절차법에 따른 추가 요건을 배제해서는 아니 된다. 법적 구속력 있는 결정의 채택은 그 결정을 채택한 감독기관의 회원국에서 사법 심리가 발생할 수 있음을 내포한다.
CJEU, Data Protection Commissioner/Facebook Ireland Ltd and Schrems, C-311/18 (2020).