GDPR 유럽 의회와 의회의 규정 (EU) 2016/679

보안

GDPR 유럽 의회와 의회의 규정 (EU) 2016/679

AttractiveS 2017. 5. 25. 02:55

2016 년 4 월 27 일

개인 데이터의 처리와 그러한 데이터의 자유로운 이동에 관한 자연인의 보호 및 지침 95 / 46 / EC (일반 데이터 보호 규정)

(EEA 관련 텍스트 포함)

유럽 의회와 유럽 연합 (EU) 의회,

유럽 연합의 기능에 관한 조약 및 그 특히 제 16 조를 고려하면,

유럽위원회 (European Commission)의 제안을 고려하면,

입법안 초안이 국회에 전달 된 후,

유럽 경제 사회위원회 ( European Economic and Social Committee) ( 1 ) 의 의견을 고려하면 ,

지역위원회 ( 2 ) 의 의견을 고려하면 ,

일반 입법 ( 3 ) 에 따라 행동하는 경우,

이므로:

(1)

개인 정보 처리와 관련하여 자연인을 보호하는 것은 기본적인 권리입니다. 유럽 연합 기본 권리 헌장 (헌장) 제 8 조 (1) 및 유럽 연합 기능 조약 (TFEU) 제 16 조 (1)은 모든 사람이 그 또는 그녀에 관한 개인 데이터.

(2)

개인 정보의 처리와 관련하여 자연인의 보호에 관한 원칙 및 규칙은 국적이나 거주지가 무엇이든 그들의 기본적 권리와 자유, 특히 개인 정보 보호 권리를 존중해야합니다. 이 규정은 자유, 안보 및 정의와 경제 통합, 경제 및 사회 진보, 내부 시장 내 경제 및 복리의 강화 및 수렴에 기여하기위한 것이다. 자연인의

(삼)

유럽 의회와 이사회의 지침 95 / 46 / EC ( 4 ) 는 가공 활동에 대한 자연인의 기본적인 권리와 자유의 보호를 조화시키고 회원국 간의 개인 데이터의 자유로운 흐름을 보장하고자한다.

(4)

개인 정보 처리는 인류에게 봉사하도록 설계되어야합니다. 개인 정보 보호 권리는 절대적인 권리가 아닙니다. 사회에서의 기능과 관련하여 고려되어야하며 비례 성의 원칙에 따라 다른 기본권과 균형을 이루어야합니다. 이 규정은 모든 기본적 권리를 존중하며, 개인 및 가족 생활, 가정 및 커뮤니케이션, 개인 정보 보호, 사상, 양심 및 종교의 자유에 관한 존중, 특히 조약에 명시된 헌장에서 인정하는 자유 및 원칙을 준수합니다. 표현과 정보의 자유, 사업을 수행 할 자유, 효과적인 구제와 공정한 재판을받을 권리, 문화적, 종교적, 언어 적 다양성 등이 포함됩니다.

(5)

내부 시장의 기능으로 인한 경제적 사회적 통합은 개인 데이터의 국경 간 흐름을 상당히 증가 시켰습니다. 연방의 자연인, 협회 및 사업체를 포함한 공공 및 민간 주체 간의 개인 데이터 교환이 증가했습니다. 회원국의 국가 당국은 연합법에 의해 다른 회원국의 당국을 대신하여 업무를 수행하거나 업무를 수행 할 수 있도록 개인 정보를 협조하고 교환하도록 촉구 받고 있습니다.

(6)

급속한 기술 발전과 세계화로 인하여 개인 정보 보호에 새로운 도전이되었습니다. 개인 데이터의 수집 및 공유 규모가 크게 증가했습니다. 기술은 민간 기업과 공공 기관 모두가 자신의 활동을 추구하기 위해 전례없는 규모의 개인 데이터를 사용할 수있게합니다. 자연인은 점점 개인 정보를 공개적으로 또는 전 세계적으로 이용할 수있게합니다. 기술은 경제와 사회 생활을 모두 변화 시켰으며, 개인 데이터의 높은 수준의 보호를 보장하는 한편, 연합 내 개인 데이터의 자유로운 흐름과 제 3 국 및 국제기구로의 이전을 더욱 촉진해야합니다.

(7)

이러한 발전은 내부 시장에서 디지털 경제가 발전 할 수 있도록 신뢰를 구축하는 것이 중요하기 때문에 강력한 집행에 힘 입어 EU에서 강력하고 일관성있는 데이터 보호 프레임 워크를 필요로합니다. 자연인은 자신의 개인 정보를 관리해야합니다. 자연인, 경제 운영자 및 공공 당국을위한 법적 및 실질적인 확신이 강화되어야합니다.

(8)

이 규정이 회원국 법률에 따라 규칙의 제원이나 제한을 규정하는 경우, 회원국은 일관성과 국가 규정을 적용 대상자가 이해할 수 있도록하는 한,이 규정의 요소를 국내법에 통합 할 수 있습니다 .

(9)

지침 95 / 46 / EC의 목적과 원칙은 여전히 건전하지만 연합 전체의 데이터 보호 구현에서의 분열, 합법적 인 불확실성 또는 자연인의 보호에 심각한 위험이 있다는 대중의 인식을 특히 온라인 활동과 관련하여 회원국의 개인 정보 처리와 관련하여 자연인의 권리와 자유, 특히 개인 정보 보호 권리의 보호 수준의 차이는 연합을 통한 개인 데이터의 자유로운 흐름을 방지 할 수 있습니다. 이러한 차이는 EU 수준에서의 경제 활동 추구에 장애가되며, 경쟁을 왜곡하고 EU 법상 책임을 이행하지 못하게한다.

(10)

자연인의 일관되고 높은 수준의 보호를 보장하고 연합 내에서의 개인 정보의 흐름에 대한 장애물을 제거하기 위해, 그러한 데이터의 처리와 관련하여 자연인의 권리와 자유를 보호하는 수준은 모든 회원국에서 동등한 효력을 갖는다. 개인 정보 처리와 관련하여 자연인의 기본적인 권리와 자유를 보호하기위한 규칙의 일관되고 동등한 적용은 연합 전체에 걸쳐 보장되어야합니다. 법적인 의무를 준수하기위한 개인 정보의 처리와 관련하여 공공의 이익이나 통제자에게 부여 된 공식 권한 행사에서 수행 된 업무 수행을 위해, 회원국은이 규정의 적용을 추가로 규정하기위한 국가 규정을 유지하거나 도입 할 수 있어야한다. 지침 95 / 46 / EC를 구현하는 데이터 보호에 관한 일반법 및 수평 적 법률과 관련하여 회원국은보다 구체적인 조항이 필요한 분야에 여러 가지 부문 별 법률을 제정합니다. 이 규정은 또한 회원국이 개인 데이터의 특수 범주 ( '민감한 데이터')의 처리를 포함하여 규칙을 명기 할 수있는 기동 여유를 제공합니다. 그 정도까지,이 규정은 개인 정보 처리가 적법한 조건을보다 정확하게 결정하는 것을 포함하여 특정 처리 상황에 대한 상황을 설명하는 회원국 법을 배제하지 않습니다. 지침 95 / 46 / EC를 구현하는 데이터 보호에 관한 일반법 및 수평 적 법률과 관련하여 회원국은보다 구체적인 조항이 필요한 분야에 여러 가지 부문 별 법률을 제정합니다. 이 규정은 또한 회원국이 개인 데이터의 특수 범주 ( '민감한 데이터')의 처리를 포함하여 규칙을 명기 할 수있는 기동 여유를 제공합니다. 그 정도까지,이 규정은 개인 정보 처리가 합법적 인 조건을보다 정확하게 결정하는 것을 포함하여 특정 처리 상황에 대한 상황을 설명하는 회원국 법을 배제하지 않습니다. 지침 95 / 46 / EC를 구현하는 데이터 보호에 관한 일반법 및 수평 적 법률과 관련하여 회원국은보다 구체적인 조항이 필요한 분야에 여러 가지 부문 별 법률을 제정합니다. 이 규정은 또한 회원국이 개인 데이터의 특수 범주 ( '민감한 데이터')의 처리를 포함하여 규칙을 명기 할 수있는 기동 여유를 제공합니다. 그 정도까지,이 규정은 개인 정보 처리가 적법한 조건을보다 정확하게 결정하는 것을 포함하여 특정 처리 상황에 대한 상황을 설명하는 회원국 법을 배제하지 않습니다. ( '민감한 데이터')의 처리를 포함하여 모든 유형의 개인 데이터를 처리합니다. 그 정도까지,이 규정은 개인 정보 처리가 적법한 조건을보다 정확하게 결정하는 것을 포함하여 특정 처리 상황에 대한 상황을 설명하는 회원국 법을 배제하지 않습니다. ( '민감한 데이터')의 처리를 포함하여 모든 유형의 개인 데이터를 처리합니다. 그 정도까지,이 규정은 개인 정보 처리가 적법한 조건을보다 정확하게 결정하는 것을 포함하여 특정 처리 상황에 대한 상황을 설명하는 회원국 법을 배제하지 않습니다.

(11)

연합 전체에서 개인 정보를 효과적으로 보호하려면 개인 데이터의 처리 및 처리를 담당하는 사람의 데이터 주체 권리 및 의무에 대한 세부 사항을 강화하고 설정해야하며 규칙을 준수하고 모니터링 할 수있는 동등한 권한이 필요합니다 회원국의 개인 정보 보호 및 침해에 대한 동등한 제재를 위해

(12)

제 16 조 (2) TFEU는 유럽 의회와 이사회가 개인 정보의 처리 및 개인 정보의 자유로운 이동과 관련된 규칙에 관해 자연인 보호와 관련된 규칙을 정하도록 명령합니다.

(13)

내부 시장의 적절한 기능은 개인 데이터의 처리와 관련하여 자연인의 보호와 관련된 이유로 연방 내 개인 데이터의 자유로운 이동이 제한되거나 금지되지 않아야 함을 요구합니다. 중소기업의 특수한 상황을 고려하여이 규정은 기록 유지와 관련하여 직원이 250 명 미만인 조직에 대한 경감을 포함합니다. 또한, 동 기관 및기구, 그리고 회원국과 그 감독 당국은이 규정의 적용에있어 중소기업의 특수한 요구 사항을 고려하는 것이 바람직하다. 마이크로의 개념,

(14)

이 규정에 의해 제공되는 보호는 그들의 개인 정보 처리와 관련하여 자연인에게 그들의 국적 또는 거주지가 무엇이든간에 적용되어야합니다. 이 규정은 법인과 관련된 개인 데이터 및 특히 법인의 이름과 형식 및 법인의 연락처 정보를 비롯하여 법인으로 설정된 기업의 처리에 대해서는 다루지 않습니다.

(15)

우회의 심각한 위험을 방지하기 위해 자연인의 보호는 기술적으로 중립적이어야하며 사용 된 기술에 의존해서는 안됩니다. 자연인의 보호는 개인 정보가 포함되어 있거나 파일 시스템에 포함되도록 의도 된 경우 자동화 된 방법으로 처리하고 수동 처리로 적용해야합니다. 특정 기준에 따라 구조화되지 않은 파일 또는 파일 세트 및 표지는이 규정의 범위에 속하지 않아야합니다.

(16)

이 규정은 국가 안보에 관한 활동과 같은 기본권 및 자유의 보호 또는 연합법의 범위를 벗어나는 활동과 관련된 개인 데이터의 자유로운 흐름에 적용되지 않습니다. 이 규정은 연합의 외무 및 안보 정책과 관련하여 활동을 수행 할 때 회원국의 개인 정보 처리에는 적용되지 않는다.

(17)

유럽 의회와 이사회의 규정 (EC) No 45/2001 ( 6 ) 은 연합 기관, 단체, 기관 및 기관의 개인 데이터 처리에 적용됩니다. 이러한 개인 정보 처리에 적용되는 Regulation (EC) No 45/2001 및 기타 연합법은 본 규정에 설정된 원칙 및 규칙에 적용되고이 규정에 비추어 적용되어야합니다. 연합에서 강력하고 일관성있는 데이터 보호 체계를 제공하기 위해이 규정의 채택과 동시에 Regulation (EC) No 45/2001을 적용하여이 규정과 동시에 적용 할 수 있도록해야한다.

(18)

이 규정은 순전히 개인적인 또는 가정용 활동 과정에서 자연인이 개인 데이터를 처리하는 데 적용되지 않으며 따라서 전문적 또는 상업적 활동과 관련이 없습니다. 개인 또는 가정 활동에는 통신 및 주소 보유, 소셜 네트워킹 및 온라인 활동이 포함될 수 있습니다. 그러나이 규정은 개인 또는 가족 활동을 위해 개인 데이터를 처리하는 수단을 제공하는 컨트롤러 또는 프로세서에 적용됩니다.

(19)

공공 안전 위협에 대한 보호 및 방지를 포함하여 형사 범죄의 예방, 조사, 기소 또는 기소 또는 형사 처벌 목적을위한 주관청에 의한 개인 데이터 처리와 관련한 자연인 보호 그러한 데이터의 자유로운 이동은 특정 연합법의 주제입니다. 그러므로이 규정은 그러한 목적을위한 가공 활동에 적용해서는 안됩니다. 이러한 목적으로 사용되는 경우에는,이 규정에 따라 공공 기관에 의해 처리 된 개인 정보는, 이사회보다 구체적인 연합 (EU) 법률 행위, 즉 지침 (EU) 유럽 의회의 680분의 2,016에 의해 그리고 지배한다 ( 7 ) .

이 규정의 범위에 속하는 목적으로 권한있는 당국이 개인 데이터를 처리하는 것과 관련하여 회원국은이 규정의 규칙 적용에보다 구체적인 규정을 유지하거나 도입 할 수 있어야한다. 그러한 조항은 해당 회원국의 헌법, 조직 및 행정 구조를 고려하여 해당 목적 당국이 개인 데이터를 처리하는 구체적인 요구 사항을보다 정확하게 결정할 수 있습니다. 개인 기관에 의한 개인 정보 처리가 본 규정의 범위 내에있는 경우, 이 규정은 공적 보안과 예방, 조사, 탐지를 포함한 특정 중요 관심사를 보호하기 위해 민주 사회에서 필요하고 비례 한 조치를 구성 할 때 법률 상 특정 의무와 권리를 제한 할 수있는 특정 조건 하에서 회원국에 대한 가능성을 제공해야한다 또는 형사 처벌 또는 형사 처벌 (공공 안전 위협에 대한 보호 및 방지 포함)의 기소. 이는 돈세탁 방지 또는 법의학 실험실의 활동과 관련되어 있습니다. 여기에는 공공 보안에 대한 위협 방지 및 방지가 포함됩니다. 이는 돈세탁 방지 또는 법의학 실험실의 활동과 관련되어 있습니다. 여기에는 공공 보안에 대한 위협 방지 및 방지가 포함됩니다. 이는 돈세탁 방지 또는 법의학 실험실의 활동과 관련되어 있습니다.

(20)

이 규정은 특히 법원 및 기타 사법 기관의 활동에 적용되지만 연합 또는 회원국 법은 법원 및 기타 사법 당국의 개인 데이터 처리와 관련하여 처리 작업 및 처리 절차를 명시 할 수 있습니다. 감독 당국의 권한은 법원이 의사 결정을 포함한 사법 업무의 수행에서 사법부의 독립성을 보호하기 위해 법원이 사법 능력으로 행동 할 때 개인 정보 처리를 다루지 않아야합니다. 그러한 데이터 처리 작업의 감독을 회원국의 사법 제도 내의 특정 기관에 맡길 수 있어야하며, 특히이 규정의 규칙 준수를 보장해야하며,

(21)

이 규정은 이사회 지침 2000 유럽 의회의 / 31 / EC의 응용 프로그램과의 침해하지 않는다 ( 8 ) , (12)이 지침의 15 조에서 중개 서비스 제공자의 책임 규정의 특정있다. 그 지침은 회원국 간의 정보 사회 서비스의 자유로운 이동을 보장함으로써 내부 시장의 적절한 기능에 기여하고자한다.

(22)

연합 내 통제자 또는 프로세서의 설립과 관련된 맥락에서 개인 정보를 처리하는 것은 처리 자체가 연합 내에서 이루어지는 지 여부에 관계없이이 규정에 따라 수행되어야한다. 설립은 안정된 계약을 통해 효과적이고 실제적인 활동을 의미합니다. 그러한 약정의 법적 형식은 지점 또는 법적 성격을 지닌 자회사를 통한 것이 든간에 그 점에서 결정적인 요인이 아닙니다.

(23)

자연인이 본 규정에 따라 자격이 부여 된 보호를 박탈 당하지 않게하기 위해 연방 정부에 설립되지 않은 컨트롤러 또는 프로세서에 의해 연방에있는 데이터 주체의 개인 데이터 처리는 이 규정은 처리 활동이 지급과 연계되는지 여부와 관계없이 그러한 데이터 주체에 대해 상품이나 서비스를 제공하는 것과 관련이있는 경우에 적용됩니다. 그러한 컨트롤러 또는 프로세서가 유니온에있는 데이터 주체에게 상품 또는 서비스를 제공하는지 여부를 결정하기 위해 컨트롤러 또는 프로세서가 하나 이상의 회원국의 데이터 주체에 서비스를 제공하는 것을 고려해야하는지 여부를 확인해야합니다. 연합. 유니언의 컨트롤러, 프로세서 또는 중개자의 웹 사이트에 대한 접근성이 단순한 반면,

(24)

연합에 설립되지 않은 컨트롤러 또는 프로세서에 의해 연방에있는 데이터 주체의 개인 데이터 처리는 해당 데이터 주체의 행동을 모니터링 할 때이 규칙의 적용을받습니다 연합 내에서 이루어진다. 처리 활동이 데이터 주체의 행동을 모니터링하는 것으로 간주 될 수 있는지를 결정하기 위해, 자연인을 프로파일 링하는 것으로 구성된 개인 데이터 처리 기술의 잠재적 인 후속 사용을 포함하여 자연인이 인터넷에서 추적되는지 여부를 확인해야한다. 그 또는 그녀의 개인 취향, 행동 및 태도를 분석하거나 예측하기 위해서.

(25)

회원국 법이 국제 공법에 의해 적용되는 경우,이 규정은 회원국의 외교 공관이나 영사 기관과 같이 연합에 설립되지 않은 관제사에게도 적용되어야한다.

(26)

데이터 보호의 원칙은 식별되거나 식별 가능한 자연인에 관한 모든 정보에 적용되어야합니다. 가명 (pseudonymisation)을 거친 개인 정보는 추가 정보의 사용으로 자연인에게 귀속 될 수 있으며 식별 가능한 자연인에 대한 정보로 간주되어야합니다. 자연인이 식별 가능한지 여부를 결정하기 위해 컨트롤러 또는 다른 사람이 직접 또는 간접적으로 자연인을 식별하기 위해 사용하기에 합리적 일 가능성이있는 모든 수단을 고려해야합니다. 수단이 자연인을 식별하는 데 합리적으로 사용되는지 여부를 확인하기 위해 식별에 필요한 시간 및 비용과 같은 모든 객관적인 요소를 고려해야하며, 가공 및 기술 개발 당시 가능한 기술을 고려해야한다. 따라서 데이터 보호의 원칙은 익명의 정보, 즉 식별되거나 식별 가능한 자연인 또는 데이터 주체가 더 이상 식별 할 수없는 방식으로 익명으로 처리되는 개인 데이터와 관련이없는 정보에는 적용되지 않아야합니다. 따라서이 규정은 통계 또는 연구 목적을 비롯한 익명의 정보 처리에 적용되지 않습니다. 즉 식별되거나 식별 가능한 자연인이나 데이터 주체가 더 이상 식별 할 수 없도록 익명으로 처리 된 개인 데이터와 관련이없는 정보를 의미합니다. 따라서이 규정은 통계 또는 연구 목적을 비롯한 익명의 정보 처리에 적용되지 않습니다. 즉 식별되거나 식별 가능한 자연인이나 데이터 주체가 더 이상 식별 할 수 없도록 익명으로 처리 된 개인 데이터와 관련이없는 정보를 의미합니다. 따라서이 규정은 통계 또는 연구 목적을 비롯한 익명의 정보 처리에 적용되지 않습니다.

(27)

이 규정은 고인의 개인 데이터에는 적용되지 않습니다. 회원국은 사망 한 사람의 개인 데이터 처리에 관한 규칙을 제공 할 수 있습니다.

(28)

개인 데이터에 익명화를 적용하면 해당 데이터 주체의 위험을 줄이고 컨트롤러 및 프로세서가 데이터 보호 의무를 이행하는 데 도움이됩니다. 이 규정에서 명시 적으로 '가명 (pseudonymisation)'을 도입 한 것은 데이터 보호에 대한 다른 조치를 배제하는 것이 아닙니다.

(29)

개인 정보를 처리 할 때 가명을 적용하기위한 인센티브를 창출하기 위해 가명 처리의 척도는 일반적으로 분석을 허용하면서 해당 통제자가 해당 처리에 대해 본 규정을 보장하는 데 필요한 기술 및 조직적 조치를 취한 경우 가능해야합니다 개인 데이터를 특정 데이터 주체로 귀속시키기위한 추가 정보는 별도로 보관됩니다. 개인 데이터를 처리하는 컨트롤러는 동일한 컨트롤러 내에 권한이 부여 된 사람을 나타내야합니다.

(30)

자연인은 인터넷 프로토콜 주소, 쿠키 식별자 또는 무선 주파수 식별 태그와 같은 다른 식별자와 같은 장치, 응용 프로그램, 도구 및 프로토콜에 의해 제공되는 온라인 식별자와 연관 될 수 있습니다. 이로 인해 특히 서버가 수신 한 고유 한 식별자 및 기타 정보와 결합 할 때 자연인의 프로필을 작성하고 식별 할 수있는 흔적이 남을 수 있습니다.

(31)

세무 및 세관 당국, 재정 조사 기관, 독립 행정 기관 또는 증권 시장의 감독 및 감독을 담당하는 금융 시장 당국과 같이 공무 수행의 법적 의무에 따라 개인 정보가 공개되는 공공 당국 연방 또는 회원국의 법률에 따라 일반적인 관심사로 특정 조사를 수행하는 데 필요한 개인 데이터를받는 경우 수령인으로 간주되어서는 안됩니다. 공공 당국에 의해 발송 된 공개 요청은 항상 서면, 합리적 및 가끔 이루어져야하며 제출 시스템 전체 또는 파일 시스템 상호 연결로 이어지지 않아야합니다.

(32)

동의는 전자 수단을 포함하여 서면 진술서와 같이 개인 정보의 처리에 대한 데이터 주체의 동의에 대해 자유롭고 구체적이고 정보가 풍부하고 모호하지 않은 표시를 수립하는 분명한 긍정의 행동으로 주어져야합니다. 구두 진술서. 여기에는 인터넷 웹 사이트를 방문 할 때 상자에 체크 표시를하고 정보 사회 서비스에 대한 기술 설정 또는이 문맥에서 자신의 개인 데이터 처리 제안에 대한 데이터 주체의 동의를 분명히 나타내는 다른 성명이나 행동을 선택하는 것을 포함 할 수 있습니다. 침묵, 사전 체크 박스 또는 비활성은 동의를 구성해서는 안됩니다. 동의는 동일한 목적 또는 목적을 위해 수행 된 모든 처리 활동을 포함해야합니다. 처리가 여러 가지 목적을 가지고있을 때, 모든 것에 동의가 주어져야한다.

(33)

데이터 수집시 과학적 연구 목적으로 개인 데이터 처리의 목적을 완전히 식별하는 것은 종종 불가능합니다. 그러므로 데이터 연구 주제는 과학 연구에 대한 인정 된 윤리 기준을 준수 할 때 과학 연구의 특정 영역에 대한 동의를 허용해야합니다. 데이터 피험자는 의도 된 목적에 의해 허용되는 한도 내에서 특정 연구 분야 또는 연구 프로젝트 부분에 대해서만 동의 할 수있는 기회를 가져야합니다.

(34)

유전 데이터는 해당 자연인의 생물학적 시료, 특히 염색체, 데 옥시 리보 핵산 (DNA) 또는 리보 핵산 (RNA)의 분석으로 인해 발생하는 자연인의 유전 적 특성 또는 유전 적 특성과 관련된 개인 데이터로 정의해야합니다 ) 분석, 또는 동등한 정보를 얻을 수있는 다른 요소의 분석으로부터 얻을 수 있습니다.

(35)

건강과 관련된 개인 데이터에는 데이터 주체의 건강 상태에 관한 모든 데이터가 포함되어야하며, 데이터 주체의 과거, 현재 또는 미래의 신체적 또는 정신적 건강 상태와 관련된 정보를 나타냅니다. 여기에는 자연인에 대한 유럽 의회와 이사회의 지침 2011 / 24 / EU ( 9 ) 에서 언급 된 의료 서비스 등록 또는 제공 과정에서 수집 된 자연인에 대한 정보가 포함됩니다 . 건강 목적을 위해 자연인을 고유하게 식별하기 위해 자연인에게 할당 된 숫자, 기호 또는 특정; 유전 정보 및 생물학적 시료를 포함하여 신체 부위 또는 신체 물질의 시험 또는 검사에서 파생 된 정보 예를 들어 질병, 장애,

(36)

연합 내의 통제자의 주된 설립은 연합 내의 중앙 행정 기관의 장소가되어야한다. 단, 개인 데이터 처리의 목적과 수단에 대한 결정이 연합의 다른 통제관 설치에서 취해진 경우가 아니면 그 경우 다른 시설은 주요 시설로 간주되어야한다. 동맹국에서의 통제자의 주요 설립은 객관적인 기준에 따라 결정되어야하며, 안정된 준비를 통해 목적과 수단을 결정하는 주요 결정을 내리는 경영 활동의 효과적이고 실제적인 수행을 암시해야한다. 이 기준은 개인 데이터 처리가 해당 위치에서 수행되는지 여부에 따라 달라져서는 안됩니다. 개인 정보 또는 처리 활동을 처리하기위한 기술 수단 및 기술의 존재 및 사용은 그 자체로 주요 시설을 구성하지 않으므로 주요 시설에 대한 기준을 결정하지 않습니다. 가공업자의 주된 설립은 연합 중앙 사무소의 위치이거나 연합 사무국이없는 경우 연합에서 주요한 처리 활동이 이루어지는 장소이어야한다. 제어기와 가공업자가 모두 관련된 경우, 해당 주관청은 주된 감독 기관이있는 회원국의 감독 기관으로 남아 있어야하며, 그러나 가공업 자의 감독 당국은 해당 감독 당국으로 간주되어야하며 감독 당국은이 규정에 의해 제공된 협력 절차에 참여해야한다. 어떤 경우에도, 프로세서가 하나 이상의 시설을 가지고있는 회원국의 감독 당국 또는 결정 사항 초안이 관제사 만 관련된 관할 감독 당국으로 간주되어서는 안된다. 처리가 한 그룹의 사업체에 의해 수행되는 경우, 통제 사업의 주된 설립은 사업의 목적과 수단이 다른 사업에 의해 결정되는 경우를 제외하고는 사업 그룹의 주요 설립으로 간주되어야한다. 가공업자가 하나 이상의 시설을 가지고있는 회원국의 감독 당국이나 회원국은 의사 결정 초안이 통제인에만 관련된 경우에는 감독 당국으로 간주되어서는 안된다. 처리가 한 그룹의 사업체에 의해 수행되는 경우, 통제 사업의 주된 설립은 사업의 목적과 수단이 다른 사업에 의해 결정되는 경우를 제외하고는 사업 그룹의 주요 설립으로 간주되어야한다. 가공업자가 하나 이상의 시설을 가지고있는 회원국의 감독 당국이나 회원국은 의사 결정 초안이 통제인에만 관련된 경우 감독 당국으로 간주되어서는 안된다. 처리가 한 그룹의 사업체에 의해 수행되는 경우, 통제 사업의 주된 설립은 사업의 목적과 수단이 다른 사업에 의해 결정되는 경우를 제외하고는 사업 그룹의 주요 설립으로 간주되어야한다.

(37)

한 그룹의 사업체는 지배력있는 사업 및 통제 된 사업을 포괄해야하며, 사업을 수행하는 것은 소유권, 재정적 참여 또는 사업을 관리하는 규칙 등 다른 사업에 대해 지배적 인 영향을 미칠 수있는 사업이어야한다. 개인 정보 보호 규칙을 시행 할 권한. 소속 된 사업체의 개인 데이터 처리를 통제하는 사업은 해당 사업체와 함께 사업체 그룹으로 간주되어야합니다.

(38)

아동은 개인 데이터 처리와 관련하여 해당 위험, 결과 및 안전 장치 및 자신의 권리를 잘 모르기 때문에 개인 데이터와 관련하여 특정 보호를받을 가치가 있습니다. 특히, 이러한 특정 보호는 아동에게 직접 제공되는 서비스를 이용할 때 어린이에 관한 개인 데이터를 사용하여 성격이나 사용자 프로필을 마케팅하거나 창조하려는 목적으로 아동의 개인 데이터를 수집하는 데 적용됩니다. 자녀에게 직접 제공되는 예방 또는 상담 서비스와 관련하여 학부모 책임자의 동의가 필요하지 않아야합니다.

(39)

개인 정보의 처리는 적법하고 공정해야합니다. 자연인은 개인 정보가 수집, 사용, 협의 또는 기타 방법으로 처리되고 개인 데이터가 어느 정도 처리되는지에 대해 투명해야합니다. 투명성의 원칙은 그러한 개인 정보의 처리와 관련된 모든 정보와 의사 소통이 쉽게 접근 가능하고 이해하기 쉽고 명확하고 평이한 언어가 사용되어야한다고 요구합니다. 이 원칙은 특히 통제자의 신원과 처리 목적 및 관련 자연인에 대한 공정하고 투명한 처리를 보장하기위한 추가 정보와 개인의 확인 및 의사 소통을 얻을 수있는 권리에 관한 데이터 주체에 관한 정보 처리중인 데이터에 관한 데이터. 자연인은 개인 정보 처리와 관련하여 위험, 규칙, 보호 장치 및 권리를인지하고 이러한 처리와 관련하여 권리를 행사하는 방법을 알아야합니다. 특히, 개인 정보가 수집되는 특정 목적은 명시 적이며 합법적이어야하며 개인 정보 수집시 결정되어야합니다. 개인 정보는 적절하고 적절하며 처리 목적에 필요한 것에 한정되어야합니다. 특히 개인 정보가 저장되는 기간을 엄격하게 제한해야합니다. 개인 데이터는 처리의 목적이 다른 수단에 의해 합리적으로 충족 될 수없는 경우에만 처리되어야합니다. 개인 정보가 필요한 것보다 오래 보관되지 않도록하기 위해, 제어기는 지우거나 정기적 인 검토를 위해 시간 제한을 설정해야합니다. 부정확 한 개인 정보가 수정 또는 삭제 될 수 있도록 모든 합리적인 조치를 취해야합니다. 개인 데이터는 개인 데이터의 무단 액세스 또는 사용 및 처리에 사용 된 장비의 사용을 방지하는 것을 포함하여 개인 데이터의 적절한 보안 및 기밀성을 보장하는 방식으로 처리되어야합니다.

(40)

처리가 적법한 것으로 처리되기 위해서는 개인 데이터가 해당 데이터 주제의 동의 또는이 규칙 또는 언급 된 다른 연합 또는 회원국 법 중 어느 하나에 의해 법에 의해 정해진 다른 합법적 인 근거에 따라 처리되어야합니다 이 규정에서는 감독관이 법적 의무를 이행 할 필요성 또는 데이터 주체가 당사자 인 계약 이행의 필요성 또는 데이터 주체의 요청에 따라 조치를 취할 필요성을 포함하여 계약 체결

(41)

이 규정이 법적 근거 또는 입법 조치를 언급하는 경우, 이는 반드시 해당 회원국의 헌법에 따라 요구 사항을 침해하지 않고 의회가 채택한 입법 조치를 요구하지는 않습니다. 그러나 그러한 법적인 근거 나 입 법적 조치는 명확하고 정확해야하며, 유럽 연합 사법 재판소 판례법 ( '재판소')에 따라 그 적용 대상자에게 예측 가능해야한다. 유럽 인권 재판소와

(42)

처리가 데이터 주체의 동의를 기반으로하는 경우, 컨트롤러는 데이터 주체가 처리 작업에 동의했음을 입증 할 수 있어야한다. 특히, 다른 문제에 대한 서면 진술과 관련하여, 안전 조치는 데이터 주체가 동의 사실 및 범위에 대해 알고 있음을 보장해야한다. 이사회 지침 93 / 13 / EEC ( 10 )에 따라 컨트롤러에 의해 사전 공식화 된 동의 선언은 명확하고 평이한 언어를 사용하여 이해하기 쉽고 쉽게 접근 할 수있는 형태로 제공되어야하며 불공정 한 용어를 포함해서는 안됩니다. 정보 제공의 동의를 얻으려면 데이터 주체는 최소한 개인 정보가 의도 된 처리자의 신원 및 처리 목적을 알고 있어야합니다.

(43)

동의가 자유롭게 주어 지도록하기 위해 동의는 데이터 주체와 컨트롤러 사이에 명확한 불균형이있는 특정 경우, 특히 컨트롤러가 공개 된 특정 상황에서 개인 데이터 처리를위한 유효한 법적 근거를 제공해서는 안됩니다 그러므로 그 특정 상황의 모든 상황에서 자유롭게 동의가 이루어질 것 같지 않다. 동의는 개별적인 경우에 적절하다고 할지라도 다른 개인 데이터 처리 작업에 별도의 동의를 허용하지 않거나 서비스 제공을 포함하여 계약 이행이 종속적 인 경우 자유롭게 제공되지 않는다고 가정합니다 그러한 동의가 필요한 경우에도 동의서에

(44)

처리는 계약의 맥락에서 필요한 경우 또는 계약 체결 의사가있는 경우 합법적이어야합니다.

(45)

통제가 주체가되는 법적 의무 또는 공공의 이익이나 공식 권한 행사에서 수행 된 업무의 수행을 위해 처리가 필요한 경우, 처리는 연합에 근거가 있어야한다 또는 회원국 법. 이 규정은 각 개별 처리에 대한 특정 법률을 요구하지 않습니다. 통제자가 공공의 이익이나 공식적인 권한 행사에서 수행 된 업무 수행을 위해 필요한 처리 의무가있는 여러 가지 처리 작업의 기초로서의 법으로 충분할 수있다. 또한 연방 또는 회원국 법률에 따라 처리 목적을 결정해야합니다. 더욱이, 해당 법률은 개인 데이터 처리의 적법성을 규율하는이 규정의 일반 조건을 명시하고, 통제자를 결정하기위한 사양을 수립하며, 처리 대상 개인 데이터의 유형, 관련 데이터 주체, 개인 데이터가 목적 제한, 저장 기간 및 합법적이고 공정한 처리를 보장하기위한 기타 조치를 공개해야합니다. 연방 또는 회원국 법률이 공익 또는 공식 권한 행사에서 수행 된 작업을 수행하는 관청이 공적 기관 또는 공법이 적용되는 자연인 또는 법인이어야하는지, 또는 공중 보건 및 사회 보호와 같은 보건 목적 및 보건 의료 서비스 관리를 포함한 공공의 이익을 위해,

(46)

개인 데이터의 처리는 또한 데이터 주체 또는 다른 자연인의 삶에 필수적인 이해 관계를 보호해야 할 필요가있는 경우 합법적 인 것으로 간주되어야합니다. 다른 자연인의 중요한 관심사에 근거한 개인 데이터의 처리는 원칙적으로 처리가 다른 법적 근거에 근거 할 수없는 경우에만 이루어져야합니다. 어떤 종류의 가공은 공공의 이익을위한 중요한 근거와 데이터 주체의 중요한 이익 모두에 도움이 될 수 있습니다. 예를 들어, 전염병 및 전파의 감시 또는 인도주의 비상 사태의 경우를 포함하여 인도 주의적 목적을 위해 가공이 필요한 경우, 특히 자연 재해 및 인공 재해.

(47)

개인 데이터가 공개 될 수있는 컨트롤러 나 제 3 자의 컨트롤러를 포함하여 컨트롤러의 합법적 인 이해 관계는 데이터 주체의 이해 관계 또는 기본적 권리와 자유가 컨트롤러와의 관계를 기반으로하는 데이터 주체의 합리적인 기대치를 고려하여 재정의하지 않습니다. 그러한 정당한 관심은 예를 들어 데이터 주체가 클라이언트이거나 컨트롤러의 서비스와 같은 상황에서 데이터 주체와 컨트롤러간에 적절하고 적절한 관계가있는 경우에 존재할 수 있습니다. 어쨌든 합법적 인 이익의 존재는 데이터 주체가 그 목적을위한 처리가 발생할 수있는 개인 데이터 수집 시점 및 상황에서 합리적으로 기대할 수 있는지 여부를 포함하여 신중한 평가가 필요합니다. 데이터 주체의 이해 관계 및 기본적인 권리는 데이터 주체가 추후 처리를 합리적으로 기대하지 않는 상황에서 개인 데이터가 처리되는 경우 데이터 관 리자의 이익을 무시할 수 있습니다. 의회가 개인 데이터를 처리하는 공공 당국에 대한 법적 근거를 법률로 제정하는 것이므로 업무 수행에있어 공공 당국의 처리에 법적 근거를 적용하면 안됩니다. 사기 방지 목적으로 엄격하게 필요한 개인 데이터 처리는 관련 데이터 컨트롤러의 정당한 이익을 구성합니다. 직접 마케팅 목적으로 개인 데이터를 처리하는 것은 정당한 이익을 위해 수행 된 것으로 간주 될 수 있습니다.

(48)

중앙 단체 소속 단체 또는 기관의 일원 인 컨트롤러는 고객 또는 직원의 개인 데이터 처리를 포함하여 내부 관리 목적을 위해 사업 그룹 내에서 개인 데이터를 전송하는 것에 정당한 관심을 가질 수 있습니다. 기업 집단 내에서 개인 데이터를 제 3 국에 위치한 사업으로 이전하는 일반적인 원칙은 영향을받지 않습니다.

(49)

주어진 수준의 확신, 우연한 사건 또는 불법적 인 또는 악의적 인 행동으로 네트워크 및 정보 보안, 즉 네트워크 또는 정보 시스템의 능력에 저항하는 능력을 보장하기위한 목적으로 엄격하게 필요하고 비례하는 범위 내에서의 개인 데이터 처리 진위성, 무결성 및 기밀성을 손상시키고 공공 기관, 컴퓨터 응급 대응 팀 (CERTs), 컴퓨터 보안 (컴퓨터 보안) 팀이 제공하는 관련 네트워크 또는 시스템을 통해 제공되거나 해당 네트워크 및 시스템을 통해 액세스 할 수있는 보안 전자 통신 네트워크 및 서비스 제공 업체와 보안 기술 및 서비스 제공 업체가 제공하는 사고 대응 팀 (CSIRT)은 관련 데이터 컨트롤러의 정당한 관심사를 구성합니다. 예를 들어,

(50)

처음에 개인 정보가 수집 된 목적 이외의 목적으로 개인 정보를 처리하는 것은 개인 정보가 처음 수집 된 목적과 호환되는 경우에만 허용되어야합니다. 그러한 경우 개인 정보 수집을 허용하는 법적 근거가 필요하지 않습니다. 공공 이익을 위해 수행 된 작업 수행자 나 관제사에게 부여 된 공식 권한 행사에 필요한 작업 인 경우, 연합 또는 회원국 법률에 따라 추가 처리를 고려해야 할 작업과 목적을 결정하고 지정할 수 있습니다 양립성이 있고 합법적 인 공공의 이익을위한 보관 목적을위한 추가 처리, 과학적 또는 역사적 연구 목적 또는 통계적 목적은 합법적 인 합법적 인 공정 운영으로 간주되어야합니다. 개인 정보 처리를위한 연방 또는 회원국의 법률에 의해 제공된 법적 근거는 추가 처리를위한 법적 기반을 제공 할 수도 있습니다. 추가 처리의 목적이 개인 데이터가 처음 수집되는 목적과 양립 할 수 있는지 여부를 확인하기 위해 컨트롤러는 원래 처리의 적법성에 대한 모든 요구 사항을 충족 한 후에 특히 다음을 고려해야합니다. 그러한 목적과 의도 된 추가 처리의 목적 사이의 연결; 개인 데이터가 수집 된 맥락, 특히 추후 사용과 관련하여 컨트롤러와의 관계에 기초한 데이터 주체의 합리적인 기대; 개인 정보의 성격 데이터 주체에 대한 의도 된 추가 처리의 결과; 그리고 원래의 처리 작업과 의도 된 추가 처리 작업 모두에 적절한 안전 장치가 존재 함을 의미합니다.

데이터 주체가 동의를했거나 처리가 민주 사회에서 특히 일반 대중의 중요한 목적을 보호하기 위해 필요하고 비례적인 조치를 구성하는 연방 또는 회원국 법에 기반한 경우 컨트롤러는 추가 처리를 허용해야합니다 목적의 호환성에 관계없이 개인 데이터. 어떤 경우이든,이 규정에 명시된 원칙의 적용, 특히 다른 목적과 반대 할 수있는 권리를 포함하는 자신의 권리에 관한 정보의 정보를 보장해야한다. 통제자에 의한 형사 범죄 나 공안에 대한 위협을 지적하고 개별 사건 또는 관련 형사 사건이나 권한있는 당국에 대한 공공 안전 위협과 관련한 여러 경우에 관련 개인 정보를 전송하는 것은 합법적 인 이익을 추구하는 것으로 간주되어야한다 컨트롤러에 의해. 그러나 처리가 법적, 전문적 또는 기타 구속력있는 기밀 유지 의무와 호환되지 않는 경우 컨트롤러의 합법적 인 이익 또는 그러한 개인 데이터의 추가 처리에 대한 이러한 전송은 금지되어야합니다.

(51)

본질적으로 기본권과 자유와 관련하여 특히 민감한 개인 데이터는 처리 과정이 기본권과 자유에 중대한 위험을 초래할 수 있으므로 특정 보호를받을 가치가 있습니다. 이러한 개인 데이터에는 인종 또는 민족 출신을 나타내는 개인 데이터가 포함되어야하며,이 규정에서 '인종 기원'이라는 용어 사용은 별도의 인종의 존재를 판단하려고 시도하는 이론 연합에 의한 수락을 의미하지 않습니다. 사진 처리는 자연인의 고유 식별 또는 인증을 허용하는 특정 기술적 수단을 통해 처리 될 때만 생체 인식 데이터의 정의가 적용되므로 개인 데이터의 특수 범주를 처리하는 것으로 체계적으로 간주해서는 안됩니다. 이러한 개인 데이터는 회원국 법률이 데이터 보호에 대한 특정 조항을 규정 할 수 있음을 고려하여이 규정에 명시된 특정 경우에 처리가 허용되지 않는 한 처리되지 않아야합니다. 법적 의무 또는 공공의 이익을 위해 또는 관제사에게 부여 된 공식 권한 행사에서 수행 된 업무 수행을 위해 그러한 처리에 대한 특정 요구 사항 이외에, 특히 합법적 인 처리 조건과 관련하여이 규정의 일반 원칙 및 기타 규칙을 적용해야합니다. 개인 데이터의 그러한 특수한 범주를 처리하는 일반적인 금지에 대한 추론은 명시 적으로 제공되어야하며,

(52)

개인 정보의 특수 범주를 처리하는 것에 대한 금지로부터 탈퇴하는 것은 또한 연합 또는 회원국 법률에 규정되어 있고 적절한 보호 조치의 대상이 될 때 허용되어야합니다. 따라서 개인 정보 및 기타 기본 권리를 보호해야합니다. 특히 고용 법 분야의 개인 데이터 처리, 연금을 포함한 사회 보장법, 건강 보안, 모니터링 및 경고 목적, 전염병 예방 및 통제 및 기타 건강에 대한 심각한 위협. 건강 보험 제도의 혜택 및 서비스 청구를 해결하기 위해 사용 된 절차의 품질 및 비용 효율성을 보장하기 위해 공중 보건 및 보건 서비스 관리를 포함한 건강 목적을 위해 그러한 배제가 이루어질 수 있으며, 또는 공공의 이익, 과학적 또는 역사적 연구 목적 또는 통계 목적으로 보관 목적으로 사용되는 경우. 또한 법원 절차 또는 행정 절차 또는 법원 밖 절차에서 법적 요구의 수립, 행사 또는 방어를 위해 필요한 경우 이러한 개인 정보를 처리 할 수 있어야합니다.

(53)

공익 목적에 부합해야하는 연방 또는 회원국 법에 기초하고 공중 보건 분야에 대한 공공의 이익을 위해 수행 된 연구에 기반을두고 있습니다. 따라서 본 규정은 특정 요구와 관련하여 건강과 관련된 개인 데이터의 특수 범주를 처리하기위한 조화 된 조건을 제공해야하며, 특히 그러한 데이터의 처리가 합법적 인 대상자에 의해 특정 건강 관련 목적을 위해 수행되는 경우 직업적 기밀 의무. 연방 또는 회원국의 법률은 자연인의 기본적 권리와 개인 정보를 보호하기위한 구체적이고 적절한 조치를 제공해야합니다. 회원국은 유전자 데이터, 생물 측정 데이터 또는 건강과 관련된 데이터의 처리와 관련하여 제한을 포함하여 추가 조건을 유지하거나 도입 할 수 있어야합니다.

(54)

개인 데이터의 특수 범주 처리는 데이터 주체의 동의없이 공중 보건 영역에 대한 공공의 이익을 이유로 필요할 수 있습니다. 그러한 절차는 자연인의 권리와 자유를 보호하기 위하여 적절하고 구체적인 조치를 받아야한다. 규정 (EC) 유럽 의회 없음 2,008분의 1,338에와 이사회의 정의 그 맥락에서, '공중 보건'해석되어야한다 ( 11 ) , 건강, 이환율과 장애를 포함하여, 즉 건강 상태에 관련된 즉 모든 요소를 결정 요인은 건강 상태, 건강 관리 필요성, 건강 관리에 할당 된 자원, 보건 의료에 대한 보편적 접근, 건강 관리 지출 및 자금 조달 및 사망 원인에 영향을 미친다.

(55)

또한 공식적으로 인정 된 종교 단체의 헌법이나 국제 공법에 의해 규정 된 목표를 달성하기위한 목적으로 공무원이 개인 정보를 처리하는 것은 공익을 이유로 수행됩니다.

(56)

선거 활동 중 회원국의 민주주의 체제 운영은 정당이 국민의 정치적 견해에 관한 개인 정보를 수집하도록 요구하고 적절한 데이터 보호 조치가 수립된다면 공공의 이익을 이유로 그러한 정보의 처리가 허용 될 수있다 .

(57)

컨트롤러가 처리 한 개인 데이터가 컨트롤러가 자연인을 식별하도록 허용하지 않는 경우 데이터 관리자는이 규정의 조항을 준수하기위한 목적으로 데이터 주체를 식별하기 위해 추가 정보를 수집해야합니다. 그러나 통제자는 자신의 권리 행사를 지원하기 위해 데이터 주체가 제공 한 추가 정보를 거부해서는 안된다. 식별에는 데이터 주체의 디지털 식별이 포함되어야합니다. 예를 들어 데이터 주체가 데이터 컨트롤러가 제공하는 온라인 서비스에 로그인하는 데 사용되는 동일한 자격 증명과 같은 인증 메커니즘을 통해 확인해야합니다.

(58)

투명성의 원칙은 대중이나 데이터 주체를 대상으로하는 모든 정보가 간결하고 쉽게 접근 할 수 있으며 이해하기 쉽고 명확하고 평이한 언어 및 적절한 경우 시각화를 사용해야 함을 요구합니다. 이러한 정보는 전자 형식으로 제공 될 수 있습니다 (예 : 웹 사이트를 통해 일반인에게 전달되는 경우). 이것은 배우의 확산과 실습의 기술적 복잡성으로 인해 데이터 주체가 자신과 관련된 개인 데이터의 수집 여부, 대상, 대상 및 대상을 알거나 이해하는 것을 어렵게 만드는 상황에서 특히 관련이 있습니다. 온라인 광고의 경우 자녀가 특정 보호를받을 가치가 있다고 가정 할 때, 처리가 아동에게 진행되는 모든 정보와 의사 소통은,

(59)

이 규정에 따른 데이터 주체 권리의 행사를 용이하게하기위한 방법 (개인 데이터 액세스 및 수정 또는 삭제 및 권한 행사를 요청할 수있는 메커니즘 및 해당되는 경우 무료로 획득 할 수있는 방법 포함)이 제공되어야합니다 반대하다. 또한 컨트롤러는 특히 개인 정보가 전자적 수단으로 처리되는 경우 전자적으로 요청할 수있는 수단을 제공해야합니다. 컨트롤러는 부당한 지체없이 그리고 늦어도 1 개월 이내에 데이터 주체의 요청에 응답하고 컨트롤러가 이러한 요청을 준수하지 않을 이유를 제공해야합니다.

(60)

공정하고 투명한 처리의 원칙은 데이터 주체가 처리 작업의 존재와 그 목적을 알리도록 요구한다. 컨트롤러는 개인 데이터가 처리되는 특정 상황과 상황을 고려하여 공정하고 투명한 프로세싱을 보장하는 데 필요한 추가 정보를 데이터 주체에 제공해야합니다. 또한, 데이터 주체는 프로파일 링의 존재와 그러한 프로파일 링의 결과를 통보 받아야한다. 데이터 주체로부터 개인 데이터를 수집하는 경우, 데이터 주체는 개인 데이터 및 그 결과를 제공 할 의무가 있는지, 그러한 데이터를 제공하지 않는지에 대한 정보를 제공해야합니다. 이 정보는 표준화 된 아이콘과 함께 제공되어 쉽게 볼 수 있고, 이해하기 쉽고 명확하게 이해할 수있는 방식으로 의도 된 처리 과정을 의미있게 개괄적으로 설명한다. 아이콘이 전자적으로 표시되는 경우에는 기계가 읽을 수 있어야합니다.

(61)

데이터 주체와 관련된 개인 데이터 처리와 관련한 정보는 데이터 주체로부터 수집 할 때 또는 다른 출처에서 얻은 개인 데이터가 적절한 기간 내에 제공 될 때 제공되어야합니다 사건의 상황. 개인 데이터가 다른 수신자에게 합법적으로 공개 될 수있는 경우 개인 데이터가 처음 수신자에게 공개 될 때 데이터 주체에 정보를 제공해야합니다. 컨트롤러가 수집 한 목적 이외의 목적으로 개인 데이터를 처리하려는 경우 컨트롤러는 추가 처리 전에 다른 목적 및 기타 필요한 정보에 대한 정보를 제공해야합니다.

(62)

그러나 데이터 주체가 이미 정보를 보유하고있는 정보를 제공 할 의무를 부과 할 필요가 없으며, 개인 데이터의 기록 또는 공개가 법으로 명시 적으로 규정되거나 데이터 주체에 대한 정보 제공이 입증되는 경우 불가능하거나 불균형 한 노력이 필요합니다. 후자는 특히 공익, 과학적 또는 역사적 연구 목적 또는 통계 목적으로 보관 목적으로 가공이 수행되는 경우 일 수 있습니다. 이와 관련하여 데이터 주체의 수, 데이터의 수명 및 채택 된 적절한 안전 장치를 고려해야합니다.

(63)

데이터 주체는 자신과 관련하여 수집 된 개인 데이터에 대한 액세스 권한을 가져야하며 처리의 적법성을 인식하고 확인하기 위해 해당 권리를 쉽고 합리적인 간격으로 행사할 권리가 있어야합니다. 여기에는 데이터 주체가 자신의 건강과 관련된 데이터에 액세스 할 수있는 권리가 포함됩니다 (예 : 진단, 검사 결과, 의사의 치료 평가 및 제공된 치료 또는 중재와 같은 정보가 포함 된 의료 기록의 데이터). 따라서 모든 데이터 주체는 개인 데이터가 처리되는 목적, 가능한 경우 개인 데이터가 처리되는 기간, 개인 데이터의 수신자, 자동 개인 데이터 처리와 적어도 프로파일 링을 기반으로하는 경우 그러한 처리의 결과와 관련된 논리 가능한 경우 컨트롤러는 데이터 주체가 자신의 개인 데이터에 직접 액세스 할 수 있도록 보안 시스템에 원격 액세스를 제공 할 수 있어야합니다. 그러한 권리는 영업 비밀이나 지적 재산, 특히 소프트웨어를 보호하는 저작권을 포함하여 타인의 권리 또는 자유에 해를 끼쳐서는 안됩니다. 그러나 이러한 고려 사항의 결과는 모든 정보를 데이터 주체에 제공하는 것을 거부해서는 안됩니다. 컨트롤러가 데이터 주체에 관한 많은 양의 정보를 처리하는 경우, 컨트롤러는 정보가 전달되기 전에,

(64)

컨트롤러는 특히 온라인 서비스 및 온라인 식별자와 관련하여 액세스를 요청하는 데이터 주체의 신원을 확인하기 위해 모든 적절한 조치를 취해야합니다. 컨트롤러는 잠재적 인 요청에 대응할 수있는 유일한 목적으로 개인 데이터를 보유해서는 안됩니다.

(65)

데이터 주체는 자신의 정류에 관한 개인 데이터를 보유 할 권리와 그러한 데이터의 보유가이 규정 또는 연방 또는 주정부 법령을 위반하는 회원 법률을 침해 할 경우 '잊어 버릴 권리'를 가져야합니다. 특히 데이터 주체는 자신의 개인 데이터를 지우고 더 이상 처리 할 목적으로 개인 데이터가 필요하지 않은 곳에서 데이터를 지우거나 처리 할 수있는 권리가 있어야하며 데이터 주체가 철회 된 경우 그 또는 그녀의 개인 정보 처리가 본 규정을 준수하지 않는 경우에 한해서만 개인 정보를 처리 할 수 있습니다. 이 권리는 특히 데이터 주체가 아동으로서 동의를하고 처리와 관련된 위험을 완전히 인식하지 못하고 나중에 인터넷을 통해 이러한 개인 데이터를 제거하려는 경우에 관련됩니다. 데이터 주체는 자신이 더 이상 자식이 아니더라도이 권리를 행사할 수 있어야합니다. 그러나 개인 정보의 추가 보유는 표현의 자유와 정보의 권리 행사, 법적인 의무 준수, 공공의 이익을 위해 또는 공공의 이익을 위해 수행 된 업무 수행을 위해 필요한 경우 합법적이어야합니다 통제자에게 부여 된 공식 권한의 행사, 공중 보건 영역에 대한 공공의 이익, 공공의 이익을위한 보관 목적,

(66)

온라인 환경에서 잊혀 질 권리를 강화하기 위해 개인 정보를 공개 한 관제사가 그러한 개인 데이터를 처리하는 관제사에게 모든 데이터를 지우도록 알릴 의무가 있어야합니다. 링크 또는 복제 또는 복제를 허용하지 않습니다. 그렇게 할 때 해당 컨트롤러는 데이터 주제 요청의 개인 데이터를 처리하는 컨트롤러에 알리기 위해 기술적 수단을 포함하여 사용 가능한 기술 및 컨트롤러에서 사용할 수있는 수단을 고려하여 합리적인 단계를 취해야합니다.

(67)

개인 데이터 처리를 제한하는 방법에는 특히 선택된 데이터를 다른 처리 시스템으로 일시적으로 이동하거나 선택한 개인 데이터를 사용자가 사용할 수 없게하거나 웹 사이트에서 게시 된 데이터를 일시적으로 제거하는 것이 포함될 수 있습니다. 자동 서류 정리 시스템에서, 원칙적으로 처리의 제한은 기술적 인 수단에 의해 보장되어야하며, 이는 개인 정보가 추가 처리 작업의 대상이 아니며 변경 될 수 없다는 것을 의미합니다. 개인 정보의 처리가 제한된다는 사실은 시스템에 명확하게 표시되어야합니다.

(68)

자신의 데이터에 대한 통제를 강화하기 위해 개인 데이터의 처리가 자동화 된 수단에 의해 수행되는 경우 데이터 주체는 자신의 개인 데이터를 자신의 컨트롤러에 제공해야합니다. 구조화되고 일반적으로 사용되는 기계 가독성 있고 상호 운용 가능한 형식을 사용하고이를 다른 컨트롤러로 전송합니다. 데이터 제어기는 데이터 이식성을 가능하게하는 상호 운용 가능한 형식을 개발하도록 권장되어야한다. 이 권리는 데이터 주체가 자신의 동의하에 개인 데이터를 제공하거나 처리가 계약 이행을 위해 필요한 경우에 적용되어야합니다. 처리가 동의 또는 계약 이외의 법적 근거를 기반으로하는 경우 적용해서는 안됩니다. 본질적으로, 공무 수행에있어서 개인 정보를 처리하는 관제사에 대하여 그러한 권리를 행사해서는 안된다. 따라서 개인 데이터의 처리가 관제사가 법적 의무를 이행하기 위해 필요한 경우 또는 공공의 이익을 위해 수행되거나 업무 수행에 필요한 경우에는 적용되지 않아야합니다. 제어 장치. 데이터 주체의 개인 데이터를 전송하거나 수신 할 수있는 권리는 기술적으로 호환되는 처리 시스템을 채택하거나 유지할 의무가 없습니다. 특정 개인 정보 집합에서 하나 이상의 데이터 주체가 관련되는 경우, 개인 데이터를받을 권리는이 규정에 따라 다른 데이터 주체의 권리와 자유를 침해하지 않아야합니다. 또한,이 권리는 개인 데이터 삭제 및이 규정에 명시된 권리의 제한을 얻는 데 필요한 데이터 주체의 권리를 침해해서는 안되며 특히 데이터 주체에 관한 개인 데이터의 삭제를 의미하지 않아야합니다. 해당 계약 이행을 위해 개인 데이터가 필요한 한 그리고 계약 기간 동안 계약 이행을 위해 제공 한 것입니다. 기술적으로 가능할 경우 데이터 주체는 개인 데이터를 한 컨트롤러에서 다른 컨트롤러로 직접 전송할 수있는 권리가 있어야합니다. 그러한 권리는 개인 데이터 삭제 및이 규정에 명시된 권리의 제한을 얻는 데 필요한 데이터 주체의 권리를 침해해서는 안되며, 특히 데이터 보호와 관련된 개인 데이터의 삭제를 의미하지 않아야합니다. 해당 계약 이행을 위해 개인 데이터가 필요한 한 그리고 계약 기간 동안 계약 이행을 위해 제공 한 것. 기술적으로 가능할 경우 데이터 주체는 개인 데이터를 한 컨트롤러에서 다른 컨트롤러로 직접 전송할 수있는 권리가 있어야합니다. 그러한 권리는 개인 데이터 삭제 및이 규정에 명시된 권리의 제한을 얻는 데 필요한 데이터 주체의 권리를 침해해서는 안되며, 특히 데이터 보호와 관련된 개인 데이터의 삭제를 의미하지 않아야합니다. 해당 계약 이행을 위해 개인 데이터가 필요한 한 그리고 계약 기간 동안 계약 이행을 위해 제공 한 것. 기술적으로 가능할 경우 데이터 주체는 개인 데이터를 한 컨트롤러에서 다른 컨트롤러로 직접 전송할 수있는 권리가 있어야합니다. 개인 데이터가 해당 계약의 이행에 필요한 기간 동안 그리고 계약의 이행을 위해 제공 한 데이터 주체에 관한 개인 데이터의 삭제를 의미하지는 않습니다. 기술적으로 가능할 경우 데이터 주체는 개인 데이터를 한 컨트롤러에서 다른 컨트롤러로 직접 전송할 수있는 권리가 있어야합니다. 개인 데이터가 해당 계약의 이행에 필요한 기간 동안 그리고 계약의 이행을 위해 제공 한 데이터 주체에 관한 개인 데이터의 삭제를 의미하지는 않습니다. 기술적으로 가능할 경우 데이터 주체는 개인 데이터를 한 컨트롤러에서 다른 컨트롤러로 직접 전송할 수있는 권리가 있어야합니다.

(69)

공공 이익을 위해 또는 공무원에게 부여 된 공무원 권한 행사에서 수행 된 업무의 수행을 위해 또는 관제사 또는 제 3 자의 정당한 이해 관계를 근거로하여 처리가 필요하기 때문에 개인 데이터가 합법적으로 처리 될 수있는 경우, 그럼에도 불구하고 데이터 주체는 자신의 특정 상황과 관련된 개인 데이터 처리에 이의를 제기 할 권리가 있습니다. 관제사가 데이터의 주된 이해 관계 또는 기본 권리 및 자유보다 우선적 인 관심을 가지고 있음을 입증해야합니다.

(70)

직접 마케팅을 목적으로 개인 데이터가 처리되는 경우 데이터 주체는 해당 직접 마케팅과 관련된 정도의 프로파일 링을 비롯하여 초기 처리 또는 추가 처리와 상관없이 모든 처리 과정에 이의를 제기 할 수있는 권리를 보유해야합니다 시간과 무료. 이 권리는 명시 적으로 데이터 주체의주의를 끌고 다른 정보와 명확하고 별도로 제시되어야합니다.

(71)

데이터 주체는 결정의 대상이되지 않아야하며, 자동 처리만을 전제로하고 그에 관한 법적 효력을 발생 시키거나 이와 유사하게 그에게 상당한 영향을 미치는 조치와 관련된 개인적인 측면을 평가하는 조치를 포함 할 수있는 권리가 있어야합니다 또는 온라인 신용 신청의 자동 거절 또는 사람의 개입없이 전자 모집 관행과 같은 그녀에게 이러한 처리에는 자연인과 관련된 개인적인 측면을 평가하는 작업, 경제 상황, 건강, 개인적 취향 또는 데이터 주체의 성과와 관련된 측면을 분석하거나 예측하기위한 개인 데이터의 자동 처리의 형태로 구성된 '프로파일 링'이 포함됩니다. 이해 관계, 신뢰성 또는 행동, 위치 또는 움직임, 그와 관련된 법적 효력을 발생 시키거나 비슷한 영향을 미칩니다. 그러나 프로파일 링을 포함한 그러한 처리를 기반으로하는 의사 결정은 규정이 준수하는 사기 및 탈세 감시 및 예방 목적을 포함하여 해당 감독자가 적용되는 연합 또는 회원국 법률에 의해 명시 적으로 승인 된 경우 허용되어야하며, 통제 기관이 제공하는 서비스의 보안 및 신뢰성을 보장하거나 데이터 주체와 컨트롤러 간의 계약 체결 또는 수행에 필요한 경우 또는 데이터 주체가 제공 한 경우 그 또는 그녀의 명백한 동의. 어쨌든, 그러한 가공은 적절한 안전 조치를 받아야하며, 여기에는 데이터 주체에 대한 특정 정보와 인간 개입을 얻는 권리, 자신의 관점을 표현할 권리, 그러한 평가 후에 도달 한 결정에 대한 설명을 얻고 결정에 이의를 제기해야하는 권리가 포함되어야합니다. 그러한 조치는 아동에 관한 것이 아닙니다.

또는 그와 같은 효과를 갖는 조치를 초래할 수있다. 특수한 범주의 개인 데이터를 기반으로 한 자동 의사 결정 및 프로파일 링은 특정 조건에서만 허용되어야합니다.

(72)

프로파일 링은 처리 또는 데이터 보호 원칙에 대한 법적 근거와 같은 개인 데이터 처리에 적용되는 본 규정의 규칙을 따릅니다. 이 규정 ( '이사회')에 의해 설립 된 유럽 데이터 보호위원회 (European Data Protection Board)는 그러한 맥락에서 지침을 발급 할 수 있어야합니다.

(73)

연합 또는 회원국의 일반 대중의 이익, 특히 회원국 또는 회원국의 중요한 경제적 또는 재정적 이익의 기타 중요한 목적, 일반인의 이익을 이유로 보관 된 공영 등록부의 보관, 보관 된 추가 처리 전 (前) 전체주의 국가 체제 하에서의 정치적 행동이나 정보 보호 또는 사회 보장, 공중 보건 및 인도 주의적 목적을 포함한 타인의 권리와 자유에 관한 구체적인 정보를 제공하기위한 개인 정보. 그러한 제한은 헌장 및 인권과 기본적 자유 보호를위한 유럽 협약에 규정 된 요구 사항에 따라야한다. 특히 연방 또는 회원국의 중요한 경제적 또는 재정적 이익, 일반 대중의 이익을 이유로 보관 된 공문의 보관, 전 (前) 전체주의 국가 체제 하에서의 정치적 행동과 관련된 구체적인 정보를 제공하기위한 보관 된 개인 데이터의 추가 처리 공중 보건 및 인도 주의적 목적을 포함하여 데이터 주체의 보호 또는 타인의 권리와 자유를 보호합니다. 그러한 제한은 헌장 및 인권과 기본적 자유 보호를위한 유럽 협약에 규정 된 요구 사항에 따라야한다. 특히 연방 또는 회원국의 중요한 경제적 또는 재정적 이익, 일반 대중의 이익을 이유로 보관 된 공문의 보관, 전 (前) 전체주의 국가 체제 하에서의 정치적 행동과 관련된 구체적인 정보를 제공하기위한 보관 된 개인 데이터의 추가 처리 공중 보건 및 인도 주의적 목적을 포함하여 데이터 주체의 보호 또는 타인의 권리와 자유를 보호합니다. 그러한 제한은 헌장 및 인권과 기본적 자유 보호를위한 유럽 협약에 규정 된 요구 사항에 따라야한다. 전 (前) 전체주의 국가 체제 하에서의 정치적 행동이나 정보 보호 또는 사회 보장, 공중 보건 및 인도 주의적 목적을 포함한 타인의 권리 및 자유에 관한 특정 정보를 제공하기위한 보관 된 개인 데이터의 추가 처리. 그러한 제한은 헌장 및 인권과 기본적 자유 보호를위한 유럽 협약에 규정 된 요구 사항에 따라야한다. 전 (前) 전체주의 국가 체제 하에서의 정치적 행동이나 정보 보호 또는 사회 보장, 공중 보건 및 인도 주의적 목적을 포함한 타인의 권리와 자유에 관한 구체적인 정보를 제공하기위한 보관 된 개인 데이터의 추가 처리. 그러한 제한은 헌장 및 인권과 기본적 자유 보호를위한 유럽 협약에 규정 된 요구 사항에 따라야한다.

(74)

컨트롤러 또는 컨트롤러 대신 수행되는 개인 데이터 처리에 대한 컨트롤러의 책임 및 책임은 확립되어야합니다. 특히, 통제자는 적절하고 효과적인 조치를 시행하고 조치의 효과를 포함하여이 규정과 함께 처리 활동의 준수를 입증 할 수 있어야한다. 이러한 조치는 가공의 성격, 범위, 배경 및 목적과 자연인의 권리와 자유에 대한 위험을 고려해야한다.

(75)

가능성이 높거나 가벼운 자연인의 권리와 자유에 대한 위험은 신체적, 물질적 또는 물질적이지 않은 손해를 초래할 수있는 개인 정보 처리로 인해 발생할 수 있습니다. 특히 처리로 인해 차별, 신원 도용 사기, 재정적 손실, 명성의 손상, 전문 기밀로 보호되는 개인 정보의 기밀성 상실, 가명명 변경의 무단 전재 또는 기타 중대한 경제적 또는 사회적 불이익 데이터 주체가 자신의 개인 데이터에 대한 통제를 행사할 권리와 자유를 박탈 당하거나 금지 될 수있는 경우; 인종 또는 민족의 기원, 정치적 견해, 종교 또는 철학적 신념, 노동 조합 가입 및 유전 데이터 처리를 나타내는 개인 데이터가 처리되는 곳, 성생활이나 범죄 유죄 판결 및 범죄 또는 관련 보안 조치에 관한 건강 또는 자료에 관한 자료; 개인적 측면을 평가하거나 특히 개인 프로파일을 만들거나 사용하기 위해 작업, 경제적 상황, 건강, 개인 취향이나 관심사, 신뢰성 또는 행동, 위치 또는 움직임에서의 성과에 관한 분석 또는 예측; 특히 취약한 자연인의 개인 데이터가 처리되는 곳; 또는 처리에 많은 양의 개인 데이터가 관련되어 많은 수의 데이터 주체에 영향을 미치는 경우. 신뢰성 또는 행동, 위치 또는 움직임, 개인 프로필을 만들거나 사용하기 위해; 특히 취약한 자연인의 개인 데이터가 처리되는 곳; 또는 처리에 많은 양의 개인 데이터가 관련되어 많은 수의 데이터 주체에 영향을 미치는 경우. 신뢰성 또는 행동, 위치 또는 움직임, 개인 프로필을 만들거나 사용하기 위해; 특히 취약한 자연인의 개인 데이터가 처리되는 곳; 또는 처리에 많은 양의 개인 데이터가 관련되어 많은 수의 데이터 주체에 영향을 미치는 경우.

(76)

데이터 주체의 권리와 자유에 대한 위험의 가능성과 심각성은 처리의 성격, 범위, 상황 및 목적을 참조하여 결정되어야한다. 위험은 객관적인 평가를 토대로 평가되어야하며, 그에 따라 데이터 처리 작업에 위험 또는 높은 위험이 관련되는지 여부가 결정됩니다.

(77)

적절한 조치의 이행에 관한 지침, 특히 처리와 관련된 위험의 확인, 원산지, 자연, 가능성 및 중대성에 대한 평가, 그리고 위험을 완화하는 모범 사례는 특히 승인 된 행동 강령, 승인 된 인증, 이사회가 제공 한 지침 또는 데이터 보호 책임자가 제공 한 표시를 통해 제공 될 수 있습니다. 또한 이사회는 자연인의 권리와 자유에 대한 높은 위험을 초래하지 않을 것으로 판단되는 처리 작업에 관한 지침을 제정 할 수 있으며 이러한 위험을 처리하기에 충분한 조치가 무엇인지 나타낼 수 있습니다.

(78)

개인 정보 처리와 관련하여 자연인의 권리와 자유를 보호하기 위해서는이 규정의 요구 사항이 충족되는지 확인하기 위해 적절한 기술 및 조직적 조치가 취해 져야합니다. 이 규정의 준수를 입증 할 수 있도록 컨트롤러는 내부 정책을 채택하고 기본적으로 설계 및 데이터 보호를 통한 데이터 보호 원칙을 준수해야합니다. 이러한 조치는 특히 개인 데이터의 처리 최소화, 가능한 한 빨리 개인 데이터의 가명 화, 개인 데이터의 기능 및 처리와 관련된 투명성, 데이터 주체가 데이터 처리를 모니터링 할 수있게함으로써 컨트롤러가 보안 기능을 만들고 향상시킵니다. 개발, 설계, 개인 데이터 처리 또는 개인 데이터 처리를 기반으로하는 응용 프로그램, 서비스 및 제품을 선택하여 사용하여 제품, 서비스 및 응용 프로그램 제작자는 개발 및 설계시 데이터 보호 권한을 고려해야합니다 해당 제품, 서비스 및 응용 프로그램 및 최신 기술을 충분히 고려하여 컨트롤러 및 프로세서가 데이터 보호 의무를 이행 할 수 있는지 확인해야합니다. 설계 및 기본적으로 데이터 보호 원칙은 공개 입찰의 맥락에서 고려되어야합니다. 서비스 및 응용 프로그램은 해당 제품, 서비스 및 응용 프로그램을 개발 및 설계 할 때 최신 기술을 고려하여 데이터 보호 권리를 고려하여 컨트롤러 및 프로세서가 해당 데이터를 충족 할 수 있는지 확인해야합니다 보호 의무. 설계 및 기본적으로 데이터 보호 원칙은 공개 입찰의 맥락에서 고려되어야합니다. 서비스 및 응용 프로그램은 그러한 제품, 서비스 및 응용 프로그램을 개발 및 설계 할 때 그리고 최신 기술을 고려하여 컨트롤러 및 프로세서가 데이터를 충족시킬 수 있는지 확인하기 위해 데이터 보호 권리를 고려하도록 권장해야합니다 보호 의무. 설계 및 기본적으로 데이터 보호 원칙은 공개 입찰과 관련하여 고려해야합니다.

(79)

감독 당국의 감시 및 조치와 관련하여, 데이터 주체의 권리와 자유의 보호뿐만 아니라 감독자와 가공업자의 책임과 책임은이 규정에 따른 책임의 명확한 배정을 요구한다. 다른 컨트롤러와 공동으로 처리의 목적 및 수단을 결정하거나 컨트롤러 대신 처리 작업이 수행되는 위치를 결정합니다.

(80)

처리의 범위 및 목적 또는 컨트롤러가 공공 기관 또는 기관인 경우. 대리인은 컨트롤러 또는 프로세서 대신 행동해야하며 감독 당국에 의해 해결 될 수 있습니다. 대리인은이 규정에 따른 의무에 대해 대리인 또는 대리인의 서면 명령에 의해 명시 적으로 지정되어야한다. 그러한 대리인의 지명은 본 규정에 따른 제어기 또는 프로세서의 책임 또는 책임에 영향을 미치지 않습니다. 그러한 대리인은이 규정의 준수를 보장하기 위해 취해진 모든 조치와 관련하여 권한있는 감독 당국과 협력하는 것을 포함하여 감독관이나 가공업자로부터받은 위임 사항에 따라 업무를 수행해야한다.

(81)

제어기를 대신하여 프로세서에 의해 수행되는 처리와 관련하여이 규정의 요구 사항을 준수하기 위해 프로세서는 처리 활동을 위임 할 때 충분한 보증을 제공하는 프로세서, 특히 전문가의 지식, 신뢰성 및 자원을 활용하여 처리의 보안을 포함하여이 규정의 요구 사항을 충족시킬 기술적 및 조직적 조치를 이행해야합니다. 승인 된 행동 강령 또는 승인 된 인증 메커니즘에 대한 프로세서의 준수는 컨트롤러의 의무 준수를 입증하는 요소로 사용될 수 있습니다. 프로세서에 의한 처리의 수행은 연방 또는 회원국 법에 의거 한 계약 또는 기타 법적 행위에 의해 규율되어야하며, 프로세서의 특정 작업 및 책임을 고려하여 프로세서를 컨트롤러에 바인딩하고 처리의 주제 및 기간, 처리의 성격 및 목적, 개인 데이터 유형 및 데이터 주체 범주를 설정합니다. 수행 될 처리의 맥락과 데이터 주체의 권리와 자유에 대한 위험. 제어기와 프로세서는 집행위원회가 직접 채택하거나 일관성 메커니즘에 따라 감독 당국에 의해 채택 된 후 집행위원회가 채택한 개별 계약 또는 표준 계약 조항을 사용할 수있다. 컨트롤러를 대신하여 프로세싱이 완료된 후 프로세서는 컨트롤러의 선택에 따라 개인 데이터를 반환하거나 삭제해야하며,

(82)

이 규정의 준수를 입증하기 위해 컨트롤러 또는 프로세서는 책임하에 처리 활동 기록을 유지해야합니다. 각 컨트롤러와 프로세서는 감독 당국과 협조해야하며 요청시 해당 레코드를 사용할 수 있도록하여 해당 처리 작업을 모니터링 할 수 있도록해야합니다.

(83)

보안을 유지하고이 규정의 침해에 대한 처리를 방지하기 위해 컨트롤러 또는 프로세서는 처리에 내재 된 위험을 평가하고 암호화와 같은 위험을 완화하기위한 조치를 구현해야합니다. 이러한 조치는 보호되어야 할 개인 데이터의 위험 및 특성과 관련하여 최첨단 기술 및 구현 비용을 고려하여 기밀성을 포함한 적절한 보안 수준을 보장해야합니다. 데이터 보안 위험을 평가할 때 전송, 저장 또는 기타 처리 된 개인 데이터의 우발적 또는 불법적 파괴, 손실, 변조, 무단 공개 또는 액세스와 같은 개인 데이터 처리에 의해 나타나는 위험을 고려해야합니다. 특히 물리적, 물질적 또는 비 물질적 손상을 초래할 수 있습니다.

(84)

처리 작업이 자연인의 권리와 자유에 대한 높은 위험을 초래할 가능성이있는이 규정의 준수를 강화하기 위해 컨트롤러는 데이터 보호 영향 평가를 수행하여 특히, 그 위험의 기원, 성격, 특수성 및 심각성. 개인 데이터 처리가 본 규정을 준수 함을 입증하기 위해 취해야 할 적절한 조치를 결정할 때 평가 결과를 고려해야합니다. 데이터 보호 영향 평가에서 처리 작업에 사용 가능한 기술 및 구현 비용 측면에서 적절한 조치를 통해 컨트롤러가 완화 할 수없는 높은 리스크가있는 경우,

(85)

적절하고시의 적절하지 않은 방법으로 해결되지 않을 경우 개인 데이터에 대한 통제력 상실 또는 권리, 차별, 신분 도용 또는 사기의 제한과 같은 자연인의 신체적, 물질적 또는 비 물질적 피해를 초래할 수 있습니다 재정적 손실, 가명명의 무단 전직, 명성의 손상, 전문직 비밀로 보호되는 개인 정보의 기밀성 상실 또는 관련 자연인에 대한 기타 중대한 경제적 또는 사회적 불이익을 포함하지 않습니다. 따라서 컨트롤러가 개인 데이터 유출이 발생했다는 것을 알게되는 즉시 컨트롤러는 부당한 지체없이 가능한 한 감독 당국에 개인 데이터 유출을 알리고, 가능하다면이를 알게 된 후 72 시간 이내에 제어기는, 책임 원칙에 따라 개인 정보 침해가 자연인의 권리와 자유에 대한 위험을 초래하지 않을 것입니다. 그러한 통지가 72 시간 이내에 이루어질 수없는 경우, 지연 이유는 통지와 동반되어야하며 정보는 과도한 지연없이 단계적으로 제공 될 수 있습니다.

(86)

컨트롤러는 부당한 지체없이 개인 데이터 유출을 데이터 주체와 커뮤니케이션해야하며, 그 개인 데이터 유출로 인해 자연인의 권리와 자유가 위험을 초래할 수 있습니다 주의 사항. 의사 소통에는 잠재적 인 부작용을 완화하기 위해 관련 자연인에 대한 권장 사항은 물론 개인 데이터 유출의 성격을 기술해야합니다. 데이터 주체에 대한 그러한 의사 소통은 합리적으로 가능한 한 빨리, 감독 당국과 법 집행 당국과 같은 기타 관련 당국이 제공 한 지침을 존중하여 감독 당국과 긴밀히 협력하여 이루어져야한다. 예를 들어,

(87)

개인 정보 침해가 발생했는지 즉시 확인하고 감독 당국과 데이터 주체에 즉시 통보하기 위해 모든 적절한 기술적 보호 및 조직적 조치가 이행되었는지 여부를 확인해야합니다. 부당한 지체없이 통지가 이루어진 사실은 특히 개인 정보 유출의 성격과 중대성과 그 결과 및 데이터 주체에 대한 악영향을 고려하여 설정되어야합니다. 그러한 통보는이 규정에서 정한 임무 및 권한에 따라 감독 당국의 개입을 초래할 수있다.

(88)

개인 데이터 유출 통지에 적용되는 형식 및 절차와 관련된 세부 규칙을 설정하는 경우 개인 데이터가 적절한 기술적 보호 조치에 의해 보호되었는지 여부를 포함하여 해당 위반 상황을 적절하게 고려해야하며 신원 사기 또는 다른 형태의 오용. 더욱이 그러한 규칙과 절차는 조기 공개가 개인 정보 침해의 상황에 대한 조사를 불필요하게 방해 할 수있는 법 집행 당국의 정당한 이익을 고려해야합니다.

(89)

지침 95 / 46 / EC는 개인 데이터 처리를 감독 당국에 통보하는 일반적인 의무를 규정하고 있습니다. 그러한 의무는 행정적이고 경제적 인 부담을 초래하지만 모든 경우에 개인 정보 보호 개선에 기여하지는 않습니다. 따라서 그러한 무차별적인 통보 의무는 폐지되어야하며 대신 자연의 범위와 권리로 인하여 자연인의 권리와 자유에 대한 높은 위험을 초래할 수있는 가공 작업 유형에 초점을 맞춘 효과적인 절차와 메커니즘으로 대체되어야한다 , 맥락과 목적. 이러한 유형의 처리 작업은 특히 신기술 사용과 관련되거나 새로운 종류의 것으로 데이터 보호 영향 평가가 이전에 컨트롤러에 의해 수행되지 않은 작업 일 수 있습니다.

(90)

이러한 경우 처리의 성격, 범위, 배경 및 목적을 고려하여 고위험의 특정 가능성 및 심각성을 평가하기 위해 처리 전에 데이터 보호 영향 평가를 수행해야합니다. 위험의 원천. 그 영향 평가에는 특히 위험을 완화하고 개인 정보를 보호하며이 규정을 준수 함을 증명하기 위해 계획된 조치, 안전 장치 및 메커니즘이 포함되어야합니다.

(91)

자연 보호와 관련된 개인적인 측면에 대한 체계적이고 광범위하게 평가 한 후 특정 개인에 관한 결정을 내리기 위해 개인 데이터가 처리되는 곳에서 데이터 보호 영향 평가가 이루어져야합니다. 생체 인식 데이터 또는 범죄 유죄 판결 및 위반 또는 관련 보안 대책에 관한 데이터. 데이터 보호 영향 평가는 특히 광전자 장치를 사용하거나 권한있는 감독 당국이 처리가 권한에 대한 높은 위험을 초래할 가능성이 있다고 간주하는 기타 작업에 대해 공개적으로 액세스 할 수있는 영역을 대규모로 모니터링하는 데 동등하게 필요합니다 데이터 주체의 자유, 특히 데이터 주체가 권리를 행사하거나 서비스 또는 계약을 사용하지 못하게하거나 대규모로 체계적으로 수행되기 때문입니다. 개인 데이터 처리는 개인 의사, 다른 건강 관리 전문가 또는 변호사가 환자 또는 고객의 개인 데이터를 처리하는 경우 큰 규모로 간주되어서는 안됩니다. 이러한 경우 데이터 보호 영향 평가는 필수적이어서는 안됩니다.

(92)

데이터 보호 영향 평가의 대상이 단일 프로젝트보다 광범위 할 수있는 상황이 있습니다. 예를 들어 공공 기관이나 기관이 공통 응용 프로그램 또는 처리 플랫폼을 구축하려는 경우 또는 여러 컨트롤러가 계획하는 경우 산업 분야 또는 부문 전반에 걸쳐 또는 널리 사용되는 수평 적 활동을 위해 공통의 애플리케이션 또는 처리 환경을 도입하십시오.

(93)

공공 기관 또는 공공 기관의 업무가 수행되고 문제의 특정 처리 작업 또는 작업 집합을 규제하는 회원국 법의 채택과 관련하여 회원국은 법 집행을 수행 할 필요가 있다고 간주 할 수 있습니다 처리 활동에 앞서 그러한 평가.

(94)

데이터 보호 영향 평가에서 보호가 부재 한 경우 처리가 위험을 완화하기위한 보안 조치와 메커니즘이 자연인의 권리와 자유에 대한 높은 위험을 초래한다는 것을 나타내면 컨트롤러는 위험이 이용 가능한 기술 및 시행 비용면에서 합리적인 방법으로 완화 될 수 없기 때문에, 감독 당국은 처리 활동의 시작 전에 협의되어야한다. 그러한 고위험은 특정 유형의 가공과 가공의 범위와 빈도로 인해 발생할 수 있으며, 이는 또한 자연인의 권리와 자유에 대한 손해 나 간섭의 실현을 초래할 수 있습니다. 감독 당국은 특정 기간 내에 협의 요청에 응답해야합니다. 하나, 그 기간 내에 감독 당국의 반응이 없으면 처리 작업을 금지하는 권한을 포함하여이 규정에서 정한 업무 및 권한에 따라 감독 당국의 개입을 저해하지 않아야한다. 그 협의 과정의 일부로서 문제가되는 처리와 관련하여 수행 된 데이터 보호 영향 평가의 결과는 감독 당국, 특히 자연인의 권리와 자유에 대한 위험을 완화하기 위해 계획된 조치에 제출 될 수있다.

(95)

프로세서는 데이터 보호 영향 평가의 수행과 감독 당국의 사전 협의에 기인 한 의무 준수에 필요한 경우 그리고 요청에 따라 컨트롤러를 지원해야합니다.

(96)

감독 당국과의 협의는 의도 된 절차가 본 규정과 일치하도록하고 특히 위험을 완화하기 위해 개인 정보의 처리를 제공하는 입법 또는 규제 조치를 준비하는 과정에서 이루어져야한다. 데이터 주체와 관련된

(97)

법원이나 사법 당국이 사법부의 권한을 행사할 때를 제외하고 공공 기관이 처리를 수행하는 곳에서는 민간 부문에서 핵심적인 활동이 정기적 인 대규모로 데이터 주체를 체계적으로 모니터링하거나 컨트롤러 또는 프로세서의 핵심 활동이 대규모 개인 데이터 및 범죄 유죄 판결 및 범죄와 관련된 특수 범주의 처리로 구성되는 경우 전문 지식이있는 사람 데이터 보호법 및 관행은 컨트롤러 또는 프로세서가 본 규정의 내부 준수를 모니터링하도록 지원해야합니다. 민간 부문에서, 컨트롤러의 핵심 활동은 주요 활동과 관련이 있으며 보조 활동으로 개인 데이터 처리와 관련이 없습니다. 필요한 수준의 전문 지식은 특히 수행 된 데이터 처리 작업과 컨트롤러 또는 프로세서에서 처리 한 개인 데이터에 필요한 보호에 따라 결정되어야합니다. 이러한 데이터 보호 관리자는 컨트롤러의 직원이든 아니든간에 독립적 인 방식으로 직무 및 직무를 수행 할 수있는 위치에 있어야합니다.

(98)

제어기 또는 가공업 자의 범주를 나타내는 협회 또는 기타기구는이 규칙의 범위 내에서 수행 된 처리의 구체적인 특성을 고려하여 본 규정의 효과적인 적용을 용이하게하도록 행동 강령을 제정하도록 권장되어야한다 특정 부문 및 마이크로, 중소기업의 특수한 니즈가 포함됩니다. 특히, 그러한 행동 강령은 자연인의 권리와 자유에 대한 처리로 인해 생길 수있는 위험을 고려하여 컨트롤러와 프로세서의 의무를 조정할 수 있습니다.

(99)

행동 강령을 작성할 때, 또는 그러한 코드를 수정하거나 연장 할 때, 컨트롤러 나 프로세서의 범주를 나타내는 협회 및 기타 단체는 가능한 경우 데이터 주제를 포함하여 관련 이해 관계자와상의해야하며, 응답으로 제출 된 의견 및 의견을 고려해야합니다. 그러한 협의.

(100)

이 규정의 투명성 및 준수를 강화하기 위해 인증 메커니즘 및 데이터 보호 봉인 및 표시를 설정하여 데이터 주체가 관련 제품 및 서비스의 데이터 보호 수준을 신속하게 평가할 수 있도록해야합니다.

(101)

국제 무역 및 국제 협력의 확대를 위해서는 연합 및 국제기구 밖의 국가들과의 개인 데이터 흐름이 필요하다. 이러한 흐름의 증가는 개인 정보 보호와 관련하여 새로운 도전과 우려를 불러 일으켰습니다. 그러나 개인 정보가 연합으로부터 제 3 국 또는 국제기구의 통제자, 가공업자 또는 기타 수령자에게 이전되는 경우,이 규정에 의한 연합에서 보장 된 자연인의 보호 수준은 전진하는 경우를 포함하여 훼손되지 않아야한다 제 3 국 또는 국제기구의 개인 데이터를 컨트롤러, 동일 또는 다른 제 3 국 또는 국제기구의 프로세서에 전송할 수 있습니다. 어쨌든, 제 3 국 및 국제기구로의 이전은이 규정을 완전히 준수하는 경우에만 수행 될 수있다. 이 규정은 제 3 국 또는 국제기구에 개인 정보를 이전하는 것과 관련하여이 규정의 다른 규정에 따라 본 규정의 조건이 컨트롤러 또는 프로세서에 의해 준수되는 경우에만 수행 될 수 있습니다.

(102)

이 규정은 데이터 주체에 대한 적절한 안전 조치를 포함하여 개인 데이터의 이전을 규제하는 EU와 제 3 국가간에 체결 된 국제 협약을 침해하지 않습니다. 회원국은 제 3 국 또는 국제기구에 개인 정보를 이전하는 것과 관련된 국제 협약을 체결 할 수 있습니다. 단, 그러한 협정이 본 규정이나 기타 연합법의 조항에 영향을 미치지 않는 한, 그리고 회원국의 기본 권리에 대한 적절한 수준의 보호를 포함해야합니다. 데이터 과목.

(103)

집행위원회는 제 3 국, 제 3 국의 특정 영역 또는 국제기구 또는 국제기구가 적절한 수준의 데이터 보호를 제공함에 따라 전미 연합에 영향을 미치도록 결정할 수 있으며, 이에 따라 연방 차원에서 법적 확실성과 통일성을 제공한다. 제 3 국 또는 그러한 수준의 보호를 제공하는 것으로 간주되는 국제기구. 그러한 경우, 제 3 국 또는 국제기구로의 개인 정보의 이전은 추가적인 허가 없이는 발생할 수 있습니다. 집행위원회는 또한 제 3 국 또는 국제기구에 그 이유를 설명하고 그러한 결정을 취소하기위한 통지와 충분한 진술을 한 다음 결정할 수있다.

(104)

집행위원회는 연합이 창설 된 근본 가치, 특히 인권 보호에 따라 제 3 국 또는 제 3 국의 영역 또는 특정 부문에 대한 평가에서 다음 사항을 고려해야한다. 특정 제 3 국은 공권력, 국방 및 국가 안보 및 공공 질서 및 형법에 관한 법률을 포함하여 법의 지배, 정의에 대한 접근, 국제 인권 규범 및 표준, 그리고 일반 및 분야별 법을 존중합니다. 제 3 국의 영토 또는 특정 부문에 대한 타당성 결정의 채택은 특정 처리 활동 및 제 3 국에서 시행중인 적용 가능한 법적 표준 및 시행령의 범위와 같은 명확하고 객관적인 기준을 고려해야합니다. 제 3 국은 특히 개인 정보가 하나 또는 여러 개의 특정 분야에서 처리되는 경우에 보장되는 것과 동등한 보호 수준을 보장해야한다. 특히 제 3 국은 효과적인 독립적 인 데이터 보호 감독을 보장하고 회원국의 데이터 보호 기관과 협력 메커니즘을 제공해야하며 데이터 주체는 효과적이고 시행 가능한 권리와 효과적인 행정 및 사 법적 구제책을 제공 받아야합니다.

(105)

위원회는 제 3 국 또는 국제기구가 체결 한 국제 공약과는 별도로 제 3 국 또는 국제기구의 다자간 또는 지역 시스템 참여 특히 개인 정보 보호와 관련하여 발생하는 의무 사항을 고려해야한다. 그러한 의무 이행. 특히 개인 정보 자동 처리 및 추가 의정서와 관련하여 1981 년 1 월 28 일 유럽 의회 이사회에 대한 제 3 국의 가입이 고려되어야한다. 집행위원회는 제 3 국 또는 국제기구의 보호 수준을 평가할 때위원회와 협의해야한다.

(106)

집행위원회는 제 3 국, 영토 또는 제 3 국 내의 특정 부문 또는 국제기구의 보호 수준에 관한 결정 기능을 감시하고 제 25 조 (6) 항에 의거하여 채택 된 결정의 기능을 감시하거나 지침 95 / 46 / EC의 26 조 (4) 항. 적절성 결정에있어서, 집행위원회는 그들의 기능에 대한 주기적 검토 메커니즘을 제공해야한다. 이 정기 검토는 문제의 제 3 국 또는 국제기구와 협의하여 수행되어야하며 제 3 국 또는 국제기구의 모든 관련 개발을 고려해야한다. 정기적 인 검토를 감시하고 수행하기 위해, 위원회는 유럽 의회와 이사회뿐만 아니라 다른 관련 기관 및 출처의 견해와 결과를 고려해야한다. 위원회는 적절한 시간 내에, 후자의 의사 결정의 기능을 평가하고 규정 (EU)의 의미 없음 유럽 의회의 2,011분의 182와 이사회의 내위원회에 모든 관련 조사 결과를보고해야한다 ( 12 ) 에 따라 설립으로 이 규정을 유럽 의회와 이사회에 회부한다.

(107)

위원회는 제 3 국, 영토 또는 제 3 국의 특정 부문 또는 국제기구가 더 이상 적절한 수준의 데이터 보호를 보장하지 않음을 인정할 수 있습니다. 따라서 회사 규정 준수 및 적절한 상황에 대한 배제가 이루어진 적절한 보호 조치가 적용되는 이전과 관련된 본 규정의 요구 사항이 충족되지 않는 한, 제 3 국 또는 국제기구에 대한 개인 데이터의 이전이 금지되어야합니다. 이 경우 집행위원회와 제 3 국 또는 국제기구 간의 협의가 제공되어야한다. 위원회는 적시에 제 3 국 또는 국제기구에 이유를 알려야하며 상황을 개선하기 위해 협의를해야합니다.

(108)

타당성 결정이없는 경우, 컨트롤러 또는 프로세서는 데이터 주체에 대한 적절한 보호 수단을 통해 제 3 국에서 데이터 보호 부족을 보완하기위한 조치를 취해야합니다. 이러한 적절한 안전 장치는 구속력있는 기업 규칙,위원회가 채택한 표준 데이터 보호 조항, 감독 당국이 채택한 표준 데이터 보호 조항 또는 감독 당국이인가 한 계약 조항을 사용하는 것으로 구성 될 수 있습니다. 이러한 안전 장치는 집행 가능한 데이터 주체 권리의 유효성 및 효율적인 행정 또는 사법 구제 조치를 얻고 보상을 청구하는 것을 포함하는 효과적인 법적 구제 수단의 사용을 포함하여 데이터 보호 요구 사항 및 연방 내에서의 처리에 적합한 데이터 주체의 권리를 준수하도록 보장해야합니다. 연합 또는 제 3 국에서 특히 개인 데이터 처리와 관련된 일반 원칙, 설계 및 기본값에 의한 데이터 보호의 원칙을 준수해야합니다. 이관은 공공 당국 또는 제 3 국의 공공 기관이나 기관 또는 해당 업무 또는 기능을 가진 국제기구와 함께 수행 될 수있다. 여기에는 이해 각서와 같은 행정 약정에 삽입 될 조항을 포함하여 데이터 주체에 대한 시행 가능하고 효과적인 권리. 법적 구속력이없는 행정 약정에 안전 조치가 제공되는 경우 관할 감독 당국의 허가를 얻어야한다. 설계 및 기본적으로 데이터 보호 원칙 이관은 공공 당국 또는 제 3 국의 공공 기관 또는 기관 또는 해당 업무 또는 기능을 가진 국제기구와 함께 수행 될 수 있으며, 여기에는 이해 각서, 제공 합의서 데이터 주체에 대한 시행 가능하고 효과적인 권리. 법적 구속력이없는 행정 약정에 안전 조치가 제공되는 경우 관할 감독 당국의 허가를 얻어야한다. 설계 및 기본적으로 데이터 보호 원칙 이관은 공공 당국 또는 제 3 국의 공공 기관 또는 기관 또는 해당 업무 또는 기능을 가진 국제기구와 함께 수행 될 수 있으며, 여기에는 이해 각서, 제공 합의서 데이터 주체에 대한 시행 가능하고 효과적인 권리 법적 구속력이없는 행정 약정에 안전 조치가 제공되는 경우 관할 감독 당국의 허가를 얻어야한다. 양해 각서 (MOU)와 같은 행정 협약에 삽입 될 조항을 근거로하여 데이터 주체에 대한 집행 가능하고 효과적인 권리를 제공하는 것을 포함한다. 법적 구속력이없는 행정 약정에 안전 조치가 제공되는 경우 관할 감독 당국의 허가를 얻어야한다. 양해 각서 (MOU)와 같은 행정 협약에 삽입 될 조항을 근거로하여 데이터 주체에 대한 집행 가능하고 효과적인 권리를 제공하는 것을 포함한다. 법적 구속력이없는 행정 약정에 안전 조치가 제공되는 경우 관할 감독 당국의 허가를 얻어야한다.

(109)

컨트롤러 또는 프로세서가위원회 또는 감독 당국에 의해 채택 된 표준 데이터 보호 조항을 사용할 수있는 가능성은 컨트롤러 또는 프로세서가 표준 데이터 보호 조항을 더 넓은 계약에 포함시키지 않도록해야합니다 (예 : 프로세서와 위원회가 채택한 표준 계약 조항 또는 감독 당국이 직접 또는 간접적으로 모순되지 않거나 데이터 주체의 기본적인 권리 또는 자유를 침해하지 않는다는 조건으로 다른 조항 또는 추가 조항을 추가하지 않아도됩니다. 컨트롤러 및 프로세서는 표준 보호 조항을 보완하는 계약상의 약속을 통해 추가 안전 장치를 제공하도록 권장되어야합니다.

(110)

기업 집단 또는 공동 경제 활동에 종사하는 기업 그룹은 동맹국에서 동일한 기업 그룹 내의 조직 또는 기업 집단에 속한 기업으로의 국제 이전을 위해 승인 된 구속력있는 회사 규칙을 사용할 수 있어야합니다. 그러한 기업 규칙에는 개인 정보의 양도 또는 이전 범주에 대한 적절한 안전 장치를 보장하기위한 모든 필수 원칙 및 시행 가능한 권리가 포함된다.

(111)

데이터 주체가 명시적인 동의를 한 경우, 계약이나 법적 소송과 관련하여 때때로 이관이 필요한 경우, 사법 절차의 여부와 상관없이 이적 가능성이 제기되어야한다 규제 기관 이전 절차를 포함하여 행정 절차 또는 법원 밖 절차에서 또한 연합 또는 회원국 법에 의해 규정 된 공익의 중요한 근거가 법률에 의해 설립되고 일반인 또는 합법적 인 자에 의한 협의를 요하는 등록부에서 요구되는 경우 또는 이전이 가능한지에 대한 제공이 이루어져야한다 관심. 후자의 경우, 그러한 이전은 등록부에 포함 된 데이터의 전체 범주 또는 전체 범주를 포함해서는 안되며,

(112)

이러한 축소는 특히 경쟁 당국, 세무 관세 기관, 금융 감독 당국간, 사회 보장 문제를 다루는 서비스 간의 국제 데이터 교환의 경우와 같이 공공의 이익을 위해 중요한 데이터 교환에 필요하고 필요한 경우에 적용되어야한다. 예를 들어 전염성 질병에 대한 접촉 추적의 경우 또는 스포츠에서 도핑을 줄이거 나 없애기 위해 공중 보건을 위해. 또한 개인 데이터의 이전은 데이터 주체가 동의 할 수없는 경우 물리적 인 무결성 또는 생명을 비롯한 데이터 주체 또는 다른 사람의 중요한 이익에 필수적인 이해 관계를 보호해야 할 필요가있는 경우 합법적 인 것으로 간주되어야합니다. 적절한 결정이없는 경우, 조합 또는 회원국 법은, 중요한 관심을 이유로 제 3 국 또는 국제기구에 특정 범주의 데이터를 이전하는 것에 대한 제한을 명시 적으로 설정해야합니다. 회원국은 그러한 조항을위원회에 통보해야한다. 제네바 협약에 따른 현 업무를 수행하거나 무력 분쟁에 적용 가능한 국제 인도법을 준수하기 위해 신체적 또는 법적으로 동의 할 수없는 데이터 주체의 개인 데이터 조직의 국제 인도주의기구로 이전하는 것은 공공의 이익을 위해 중요한 이유가 있거나 데이터 주제의 중요한 관심사이기 때문에 필요한 것으로 간주됩니다. 회원국은 그러한 조항을위원회에 통보해야한다. 제네바 협약에 따른 현 업무를 수행하거나 무력 분쟁에 적용 가능한 국제 인도법을 준수하기 위해 신체적 또는 법적으로 동의 할 수없는 데이터 주체의 개인 데이터 조직의 국제 인도주의기구로 이전하는 것은 공공의 이익을 위해 중요한 이유로 간주되거나 데이터 주제의 중요 관심사이기 때문입니다. 회원국은 그러한 조항을위원회에 통보해야한다. 제네바 협약에 따른 현 업무를 수행하거나 무력 분쟁에 적용 가능한 국제 인도법을 준수하기 위해 신체적 또는 법적으로 동의 할 수없는 데이터 주체의 개인 데이터 조직의 국제 인도주의기구로 이전하는 것은 공공의 이익을 위해 중요한 이유로 간주되거나 데이터 주제의 중요한 관심사이기 때문입니다.

(113)

반복적이지 않고 제한된 수의 데이터 주체에만 관련된 것으로 인정 될 수있는 송금은 또한 그러한 이해 관계가 이해 관계 또는 권리와 자유에 의해 무시되지 않을 때 컨트롤러가 추구하는 강제적 인 합법적 이익의 목적으로 가능할 수 있습니다. 데이터 주체 및 컨트롤러가 데이터 전송을 둘러싼 모든 상황을 평가할 때. 관제사는 개인 데이터의 성격, 제안 된 처리 작업 또는 운영의 목적과 기간, 원산지 국가, 제 3 국 및 최종 목적지 국가의 상황을 특별히 고려해야하며, 개인 정보의 처리와 관련하여 자연인의 기본적인 권리와 자유를 보호하기위한 적절한 보호 장치. 그러한 이전은 다른 이전 근거가 적용될 수없는 잔여 케이스에서만 가능해야한다. 과학적 또는 역사적 연구 목적 또는 통계적 목적을 위해, 지식의 증가에 대한 사회의 합법적 기대가 고려되어야한다. 감독자는 감독 당국과 데이터 주체에게 이전에 대해 알려야한다.

(114)

어떤 경우에도위원회가 제 3 국에서 적절한 수준의 데이터 보호에 대한 결정을하지 않은 경우 컨트롤러 또는 프로세서는 데이터 주체가 자신의 데이터 처리와 관련하여 시행 가능하고 효과적인 권리를 제공하는 솔루션을 사용해야합니다. 일단 그러한 데이터가 이전되면 기본 권리와 보호로부터 계속 혜택을받을 수 있도록 통합됩니다.

(115)

일부 제 3 국은 회원국의 관할하에있는 자연인 및 법인의 처리 활동을 직접 규제하기위한 법, 규정 및 기타 법적 조치를 채택합니다. 여기에는 개인 데이터를 양도하거나 공개하기 위해 컨트롤러 또는 프로세서를 필요로하는 제 3 국의 행정 당국에 대한 법원 또는 법원의 판결이 포함될 수 있으며, 상호 합의 조약과 같은 국제 협약에 기초하지는 않습니다. 제 3 국과 연합 또는 회원국을 요청하는 것. 그러한 법률, 규정 및 기타 법적 행위의 비공개 신청은 국제법을 위반할 수 있으며 본 규정에 따라 연합에서 보장되는 자연인 보호를 방해 할 수있다. 이 규정은 제 3 국으로 이전하기위한 조건이 충족되는 경우에만 양도 할 수 있습니다. 특히, 컨트롤러가 적용되는 연방 또는 회원국 법에서 인정하는 중요한 공공의 이익을 위해 공개가 필요한 경우가있을 수 있습니다.

(116)

개인 데이터가 연방 국경을 넘어 국경을 넘어 이동하면 자연인이 데이터 보호 권리를 행사할 수있는 위험이 커질 수 있습니다. 특히 정보의 불법적 인 사용이나 공개로부터 자신을 보호해야합니다. 동시에 감독 당국은 국경 밖의 활동과 관련하여 불만을 조사하거나 조사를 수행 할 수 없다는 사실을 발견 할 수 있습니다. 국경 간 맥락에서 함께 노력하려는 그들의 노력은 불충분 한 예방 적 또는 교정 적 권력, 일관성없는 법적 제도 및 자원 제약과 같은 실용적인 장애물로 인해 방해받을 수있다. 따라서 정보 보호 감독 당국간의 긴밀한 협력을 촉진하여 정보를 교환하고 국제 대응 자와의 조사를 수행 할 필요가있다.

(117)

그들의 임무를 수행하고 완전한 독립성을 가지고 권한을 행사할 수있는 권한을 가진 회원국의 감독 당국 설립은 개인 데이터 처리와 관련하여 자연인 보호에 필수적인 요소입니다. 회원국은 그들의 헌법, 조직 및 행정 구조를 반영하기 위해 하나 이상의 감독 당국을 설립 할 수 있어야한다.

(118)

감독 당국의 독립성은 감독 당국이 재정 지출이나 사 법적 검토와 관련하여 통제 또는 감시 메커니즘을 적용받지 못한다는 의미가되어서는 안된다.

(119)

회원국이 여러 감독 당국을 설립하는 경우, 회원국은 일관성 메커니즘에 감독 당국의 효과적인 참여를 보장하는 메커니즘을 법으로 제정해야한다. 동 회원국은 다른 감독 당국, 이사회 및 집행위원회와의 신속하고 원활한 협력을 보장하기 위해기구에 그러한 당국의 효과적인 참여를위한 단일 접점으로서 기능하는 감독 당국을 특히 지정해야한다.

(120)

각 감독 당국은 상호 지원 및 연합 내의 다른 감독 당국과의 협력과 관련된 업무를 포함하여 임무 수행에 필요한 재정적, 인적 자원, 시설 및 기반 시설을 제공 받아야한다. 각 감독 당국은 전체 주 또는 국가 예산의 일부인 별도의 공립 연간 예산을 가져야합니다.

(121)

감독 당국의 구성원 또는 구성원에 대한 일반적 조건은 각 회원국의 법률에 따라 정해져 야하며, 특히 회원국이 의회, 정부 또는 정부 기관에 의해 투명 절차를 통해 임명되도록 규정해야한다. 정부, 수도원, 의회 또는 의회 의원의 제안 또는 회원국 법에 의거하여 위임 된 독립 기관의 제안에 따라 회원국의 국가 원수. 감독 당국의 독립성을 보장하기 위해 회원은 정직하게 행동해야하며 직무와 양립 할 수없는 행동을하지 말아야하며, 임기 중에는 이익이되는지 여부에 관계없이 양립 할 수없는 직업에 종사해서는 안됩니다 . 감독 당국은 자체 직원을 보유해야하며,

(122)

각 감독 당국은이 규정에 따라 권한을 행사하고 그것에 부여 된 임무를 수행하기 위하여 자국 회원국의 영토를 관할해야한다. 이것은 특히 자신의 회원국 영토 내에서 통제관 또는 프로세서를 설립하는 활동의 맥락에서의 처리, 공공 당국 또는 공공의 이익을 취하는 민간 단체가 수행 한 개인 데이터의 처리, 자국 영토에있는 데이터 주체에 영향을 미치거나 해당 지역에 거주하는 데이터 주체를 타겟팅 할 때 연합에 설립되지 않은 컨트롤러 또는 프로세서가 수행 한 처리. 여기에는 데이터 주체가 제기 한 불만 사항 처리, 본 규정의 적용에 대한 조사 수행 및 위험, 규칙,

(123)

감독 당국은이 규정에 따른 조항의 적용을 감시하고, 개인 정보의 처리와 관련하여 자연인을 보호하고, 개인 정보의 자유로운 흐름을 용이하게하기 위해 연합 전체에 일관되게 적용하는 데 기여해야한다. 내부 시장. 이를 위해 감독 당국은 회원국 간 상호 지원 제공에 관한 협상이나 협조에 대한 필요성없이 서로 및위원회와 협력해야한다.

(124)

개인 데이터의 처리가 연합 내 컨트롤러 또는 프로세서의 설립과 관련된 컨텍스트에서 발생하고 컨트롤러 또는 프로세서가 둘 이상의 회원국에 설립되거나 처리가 하나의 회원국, 컨트롤러 또는 프로세서의 주요 설립에 대한 감독 당국 또는 단일 설립에 대한 감독 당국의 영향을 크게 받거나 영향을 줄 가능성이있는 경우 또는 프로세서가 리드 권한으로 행동해야합니다. 제어기 또는 가공업자는 회원국의 영토 내에 시설을두고 있기 때문에 관련 당국과 협력해야하며, 자국 영토에 거주하는 데이터 주체가 실질적으로 영향을 받거나 불만 사항이 접수 되었기 때문입니다. 또한 해당 회원국에 거주하지 않는 데이터 주체가 불만 사항을 제기 한 경우 그러한 불만 사항이 접수 된 감독 당국은 해당 감독 당국이어야합니다. 이 규정의 적용을 다루는 모든 질문에 대한 가이드 라인을 발행하는 임무 내에서,위원회는 문제의 처리가 데이터 주체에 과도하게 영향을 미치는 지 여부를 확인하기 위해 고려해야 할 기준에 대한 지침을 특히 발행 할 수 있어야한다. 한 회원국 및 관련 이성 이의를 구성하는 내용 그러한 불만 사항이 접수 된 감독 당국은 관련 감독 기관이어야한다. 이 규정의 적용을 다루는 모든 질문에 대한 가이드 라인을 발행하는 임무 내에서,위원회는 문제의 처리가 데이터 주체에 과도하게 영향을 미치는 지 여부를 확인하기 위해 고려해야 할 기준에 대한 지침을 특히 발행 할 수 있어야한다. 한 회원국 및 관련 이성 이의를 구성하는 내용 그러한 불만 사항이 접수 된 감독 당국은 관련 감독 기관이어야한다. 이 규정의 적용을 다루는 모든 질문에 대한 가이드 라인을 발행하는 임무 내에서,위원회는 문제의 처리가 데이터 주체에 과도하게 영향을 미치는 지 여부를 확인하기 위해 고려해야 할 기준에 대한 지침을 특히 발행 할 수 있어야한다. 한 회원국 및 관련 이성 이의를 구성하는 내용

(125)

주관청은이 규정에 따라 부여 된 권한을 적용하는 조치에 관한 구속력있는 결정을 채택 할 능력이 있어야한다. 선임 당국의 역량에서, 감독 당국은 의사 결정 과정에서 관련 감독 당국과 긴밀히 협조하고 조정해야한다. 결정이 전체 또는 부분적으로 데이터 주체에 의한 불만을 거절하는 것이라면 그 결정은 불만이 제기 된 감독 당국에 의해 채택되어야한다.

(126)

이 결정은 주관청과 해당 감독 당국이 공동으로 합의해야하며, 주관청 또는 단일 사업장 설립자를 대상으로해야하며 감독관 및 감독관을 구속해야한다. 제어기 또는 가공업자는이 규정의 준수 및 연합의 처리 활동과 관련하여 주 감독 당국이 통 제국 또는 가공업 자의 주요 시설에 통고 한 결정의 이행을 보장하기 위해 필요한 조치를 취해야한다.

(127)

선임 감독 당국으로 활동하지 않는 각 감독 당국은 하나 이상의 회원국에서 통제자 또는 가공업자가 설립 된 현지 사례를 처리 할 능력이 있어야하지만 특정 처리의 주제는 단일 회원국에서 수행 된 처리에만 해당되며 예를 들어 회원국의 특정 고용 상황에서 직원의 개인 데이터 처리와 관련된 단일 회원국의 데이터 주체 만 포함합니다. 그러한 경우, 감독 당국은 그 문제에 대해 지체없이 감독 당국에 통보해야한다. 통보를받은 후 수석 감독 당국은, 감독 당국과 해당 감독 당국 간의 협력에 관한 조항에 따라 사건을 처리 할 것인가 ( '원 스톱 숍 메커니즘'), 또는이를 통보 한 감독 당국이 지방 차원에서 사건을 처리해야하는지 여부. 이 경우를 처리 여부를 결정할 때 결정의 효과적인 집행 보장하기 위해이를 통보 감독 당국의 회원국의 컨트롤러 또는 프로세서의 설립이 있는지, 리드 감독 당국은 고려해야한다 힘?이 - 컨트롤러 또는 프로세서. 주도 감독 당국이 사건을 처리하기로 결정한 경우,이를 통보 한 감독 당국은 결정 초안을 제출할 가능성이 있어야하며,

(128)

주관청이나 원 스톱 숍 메커니즘에 대한 규칙은 공공 기관이나 민간 단체가 공공의 이익을 위해 수행하는 경우에는 적용하지 않아야한다. 그러한 경우이 규정에 따라 권한을 행사할 권한을 가진 유일한 감독 당국은 공공 기관 또는 개인 기관이 설립 된 회원국의 감독 기관이어야한다.

(129)

연합 내에서이 규정의 일관된 모니터링 및 집행을 보장하기 위해 감독 당국은 각국 회원국 내에서 수사, 수정 권한 및 제재, 승인 및 자문 권한을 포함한 동일한 임무와 효과적인 권한을 가져야한다. 자연인의 불만 사례 및 회원국 법에 따른 검찰 당국의 권한을 침해하지 않는 한이 규정의 침해를 사법 당국의주의를 끌고 법적 소송 절차에 종사하게하는 것. 그러한 권한은 또한 가공에 대한 금지를 포함하여 일시적 또는 결정적인 제한을 가하는 권한을 포함해야한다. 회원국은이 규정에 따라 개인 정보 보호와 관련된 다른 업무를 지정할 수 있습니다. 감독 당국의 권한은 공정하고 합리적인 시간 내에 공정하고 공정하게 연합 및 회원국 법에 명시된 절차 상 안전 장치에 따라 행사되어야한다. 특히 각 법안은이 법규 준수 여부를 고려하여 적절하고 필요하며 비례해야하며 각각의 경우의 상황을 고려하여 불리한 영향을 줄 수있는 개인적 조치가 있기 전에 모든 사람의 권리를 존중해야합니다 해당 인물에 대한 불필요한 비용과 과도한 불편을 피하십시오. 전제에 대한 접근과 관련한 조사 권한은 이전의 사법 승인을 얻기위한 요건과 같이 회원국의 절차 적 법률의 특정 요구 사항에 따라 행사되어야한다. 감독 당국의 법적 구속력있는 측정은 서면으로 이루어져야하며, 명확하고 모호하지 않아야하며, 조치를 발행 한 감독 당국, 조치 일자, 헤드의 서명 또는 감독 당국의 구성원이어야한다. 그 또는 그녀가 승인 한 조치의 이유를 제시하고 효과적인 구제 수단의 권리를 언급하십시오. 이것은 회원국의 절차법에 따라 추가 요구 사항을 배제해서는 안됩니다. 법적 구속력을 갖는 결정의 채택은 결정을 채택한 감독 당국의 회원국에서 사 법적 재검토를 야기 할 수 있음을 의미한다. 또는 그 또는 그녀가 승인 한 감독 당국의 구성원이 조치의 이유를 제시하고 효과적인 구제 수단의 권리를 언급 할 수있다. 이것은 회원국의 절차법에 따라 추가 요구 사항을 배제해서는 안됩니다. 법적 구속력을 갖는 결정의 채택은 결정을 채택한 감독 당국의 회원국에서 사 법적 재검토를 야기 할 수 있음을 의미한다. 또는 그 또는 그녀가 승인 한 감독 당국의 구성원이 조치의 이유를 제시하고 효과적인 구제 수단의 권리를 언급 할 수있다. 이것은 회원국의 절차법에 따라 추가 요구 사항을 배제해서는 안됩니다. 법적 구속력을 갖는 결정의 채택은 결정을 채택한 감독 당국의 회원국에서 사 법적 재검토를 야기 할 수 있음을 의미한다.

(130)

불만이 제기 된 감독 당국이 수석 감독 기관이 아닌 경우, 본 감독 당국은이 규정에 명시된 협력 및 일관성 조항에 따라 불만 사항이 접수 된 감독 당국과 긴밀히 협조해야한다 . 그러한 경우, 주관청은 행정 벌금 부과를 포함하여 법적 효력을 발생시키기위한 조치를 취할 때 불만 사항이 제기 된 감독 당국의 견해를 최대한 고려해야하며, 권한있는 감독 당국과의 연락으로 자체 회원국의 영토에 대한 조사를 중단해야합니다.

(131)

다른 감독 당국이 관제사 또는 처리자의 처리 활동에 대한 주관청 권한을 담당해야하지만 불만의 구체적인 주제 또는 침해 가능성은 해당 항의가있는 회원국의 통제자 또는 처리자의 처리 활동에만 해당됩니다 해당 법령의 위반 가능성을 수반하는 상황에 대해 불만 사항을 수령하거나 기타 정보를 입수 한 감독 당국은 다른 회원국의 데이터 주체에 실질적으로 영향을 미치지 않거나 실질적으로 영향을 미치지 않을 것 컨트롤러와 우호적 인 합의, 그리고 이것이 실패한 것으로 판명되면, 모든 범위의 권한을 행사하십시오. 여기에는 다음 사항이 포함되어야합니다. 감독 당국 회원국의 영토 내에서 또는 해당 회원국 영토 내 데이터 주체에 관하여 수행되는 특정 절차 감독 당국 회원국의 영역에서 데이터 주체를 특별히 겨냥한 재화 또는 용역의 제공과 관련하여 수행되는 처리. 또는 회원국 법에 따른 관련 법적 의무를 고려하여 평가되어야하는 처리

(132)

감독 당국이 대중에게 제기 한 인식 제고 활동에는 특히 교육 관련 맥락에서 자연인뿐만 아니라 중소기업을 포함한 감독관과 감독관을 대상으로 한 구체적인 조치가 포함되어야한다.

(133)

감독 당국은 내부 시장에서이 규정의 일관된 적용 및 집행을 보장하기 위해 상호 작전을 수행하고 상호 지원을 제공해야한다. 상호 원조를 요청하는 감독 당국은 다른 감독 당국에 의하여 그 요청을 접수 한 후 1 개월 이내에 상호 원조 요청에 대한 응답을받지 아니하는 경우 잠정 조치를 채택 할 수있다.

(134)

각 감독 당국은 적절한 경우 다른 감독 당국과의 공동 운영에 참여해야한다. 요청 감독 당국은 특정 기간 내에 요청에 응답해야합니다.

(135)

이 규정을 연합 전체에 일관되게 적용하기 위해서는 감독 당국 간의 협력을위한 일관성있는 메커니즘이 수립되어야한다. 이 메커니즘은 특히 감독 당국이 여러 회원국의 상당 수의 데이터 주체에 실질적으로 영향을 미치는 처리 작업과 관련하여 법적 효력을 발생시키기위한 조치를 채택하려는 경우에 적용되어야합니다. 관련 감독 당국이나 집행위원회가 그러한 문제가 일관성 메커니즘에서 다루어 져야한다고 요구하는 경우에도 적용되어야한다. 그 메커니즘은위원회가 조약에 따라 권한을 행사할 때 취할 수있는 모든 조치를 저해하지 않아야한다.

(136)

일관성 메커니즘을 적용함에있어서 이사회는 결정된 기간내에 다수의 위원이 관련 감독 당국이나위원회에 의해 결정하거나 요청할 경우 의견을 표명해야한다. 이사회는 감독 당국간에 분쟁이있는 경우 법적 구속력있는 결정을 채택 할 수있는 권한을 부여 받아야한다. 그러한 목적으로, 감독 당국간의 의견 충돌이있는 명확히 규정 된 경우, 특히 주도 감독 당국과 감독 당국간의 협력 메커니즘이있는 경우, 원칙적으로 회원국의 2/3 다수결로 법적 구속력있는 결정을 내려야한다 특히이 규정의 침해 여부와 관련하여

(137)

데이터 주체의 권리를 강화하는 데 상당한 어려움이있을 수있는 위험이 존재할 때 특히 데이터 주체의 권리와 자유를 보호하기 위해 조치를 취해야하는 시급한 필요성이 있습니다. 그러므로 감독 당국은 3 개월을 넘지 않아야하는 특정 유효 기간으로 그 영역에서 정당화 된 잠정 조치를 채택 할 수 있어야한다.

(138)

그러한 메커니즘의 적용은 그 적용이 의무적 인 경우 감독 당국에 의한 법적 효력을 발생시키기위한 조치의 적법성을위한 조건이어야한다. 다른 국경 간 관련성의 경우, 주관청과 감독 당국 간의 협력 메커니즘이 적용되어야하며, 일관성 메커니즘을 촉발하지 않고 양자 간 또는 다자간 감독 당국 간 상호 지원 및 공동 작전이 수행되어야한다. .

(139)

이 규정의 일관된 적용을 장려하기 위해 이사회는 연합의 독립적 기관으로 설립되어야한다. 이사회는 그 목표를 성취하기 위해 법적 성격을 가져야한다. 이사회는 의장이 대표해야합니다. 지침 95 / 46 / EC에 의해 수립 된 개인 정보 처리와 관련하여 개인 보호에 대한 WP를 대신해야합니다. 각 회원국의 감독 당국 장 및 유럽 데이터 보호 감독자 또는 각자의 대표로 구성되어야한다. 위원회는 의결권이없는위원회의 활동에 참여해야하며 유럽 데이터 보호 감독자는 특정 의결권이 있어야합니다. 이사회는위원회에 자문을 포함하여 연합 내에서이 규정의 일관된 적용에 기여해야하며, 특히 제 3 국 또는 국제기구의 보호 수준 및 연합 전체의 감독 당국의 협력 증진에 관한 것이다. 이사회는 업무 수행시 독립적으로 행동해야합니다.

(140)

위원회는 유럽 데이터 보호 관리자가 제공 한 사무국의 지원을 받아야합니다. 이 규정에 의해 이사회에 부여 된 임무를 수행하는 데 관여하는 유럽 데이터 보호 관리자의 직원은위원회의 지시에 따라 업무를 수행하고 이사회 의장에게보고해야합니다.

(141)

모든 데이터 주체는 단일 감독 당국, 특히 자신의 상주 평의회 회원국에 불만을 제기 할 수있는 권리와 데이터 주체가 헌장 제 47 조에 따라 효과적인 사법 구제를받을 권리를 가져야한다 이 규정에 따른 권리가 침해되었거나 감독 당국이 불만 사항에 대해 행동하지 않고 불만을 부분적으로 또는 완전히 거부하거나 기각하거나 데이터 주체의 권리를 보호하기 위해 그러한 조치가 필요한 경우에는 행동하지 않는 것으로 간주합니다. 불만 사항에 대한 조사는 사법 심사를 거쳐 특정 사건에 적절한 범위 내에서 수행되어야합니다. 감독 당국은 합리적인 기간 내에 불만 사항의 진행과 결과를 데이터 주체에 알려야합니다. 이 사건이 다른 감독 당국과 추가 조사 또는 조정을 필요로하는 경우, 데이터 정보에 중간 정보를 제공해야합니다. 불만 제출을 용이하게하기 위해 각 감독 당국은 다른 의사 소통 수단을 제외시키지 않고도 전자적으로 완료 할 수있는 불만 제기 양식을 제공하는 등의 조치를 취해야합니다.

(142)

데이터 주체가이 규정에 따른 권리가 침해되었다고 간주하는 경우, 회원국의 법에 따라 구성된 비영리 단체, 단체 또는 단체를 위임 할 권리를 가져야하며, 공공의 이익에 중점을두고 감독 당국에 불만을 제기하기 위해 개인 정보를 보호하는 분야에서 활동하는 법정 목적은 데이터 주체를 대신하여 사법 구제의 권리를 행사하거나 제공된 경우 회원국 법에 따라 데이터 주체를 대신하여 보상을받을 권리를 행사하십시오. 회원국은 그러한 단체, 기관 또는 단체가 데이터 주체의 위임 사항과 상관없이 해당 회원국에 불만 사항을 접수 할 수있는 권리를 부여 할 수 있으며, 이 규정을 침해하는 개인 데이터를 처리 한 결과로 데이터 주체의 권리가 침해되었다고 간주 할 이유가있는 효과적인 사 법적 구제책에 대한 권리. 해당 단체, 조직 또는 협회는 데이터 주체의 위임에 상관없이 데이터 주체를 대신하여 보상을 요구할 수 없습니다.

(143)

모든 자연인 또는 법인은 제 263 조 TFEU에 규정 된 조건에 따라 사법 재판소에서 이사회의 결정을 무효화하기위한 조치를 취할 권리가 있습니다. 그러한 결정의 주소로서 당해 감독 당국은 제 263 조 TFEU에 따라 통보 된 후 2 개월 이내에 조치를 취해야한다. 이사회의 결정이 관제사, 프로세서 또는 불만 사항에 직접적으로 관련되어있는 경우, 후자는 TFEU 263 조에 따라 이사회 웹 사이트에 게시 한 후 2 개월 이내에 결정에 대한 무효 심판을 제기 할 수 있습니다. TFEU 263 조에 따라이 권리를 침해하지 않고, 각 자연인 또는 법인은 해당 개인에 관한 법적 효력을 발생시키는 감독 당국의 결정에 대하여 관할 법원에 대하여 효과적인 사 법적 구제 조치를 취하여야한다. 그러한 결정은 특히 감독 당국의 조사, 시정 및 권한 부여 권력 행사 또는 불만 사항의 해소 또는 거절에 관한 것이다. 그러나 효과적인 사법 구제에 대한 권리는 감독 당국이 발행 한 의견이나 조언과 같이 법적 구속력이없는 감독 당국이 취한 조치를 포함하지 않는다. 감독 당국에 대한 절차는 감독 당국이 설립 된 회원국의 법원에 제기되어야하며, 해당 회원국의 절차 법률에 따라 수행되어야한다.

감독 당국이 불만 사항을 기각하거나 기각 한 경우, 이의 제기자는 동일한 회원국의 법원에 소송 절차를 제기 할 수 있습니다. 이 규정의 적용과 관련한 사 법적 구제와 관련하여, 제 267 조 TFEU에 규정 된 경우에 판결을 내리는 데 필요한 질문에 대한 결정을 고려하는 국내 법원은 법원에 이 규정을 포함하여 연방법 해석에 대한 예비 판정을 내리는 법무부 장관. 또한 이사회의 결정을 이행하는 감독 당국의 결정이 국가 법원에 제기되고 이사회의 결정의 타당성이 문제가되는 경우, 해당 법원은 이사회의 결정을 선포 할 권한이 없으며, 무효이지만 결정을 무효로 간주하는 사법 재판소에 의해 해석 된 제 267 조 TFEU에 따라 법원에 유효성의 문제를 회부해야한다. 그러나 국내 법원은 그 결정의 무효화를위한 조치를 취할 기회가있는 자연인 또는 법인의 요청에 따라 이사회의 결정의 타당성에 대한 질문을 제기 할 수 없다. 그 결정에 관련되었지만, TFEU 263 조에 규정 된 기간 내에 그렇게하지 않았다.

(144)

법원이 감독 당국의 결정에 대한 절차를 압수 한 경우 동일한 처리자 또는 처리기의 처리와 관련하여 동일한 주제와 같은 동일한 처리와 관련된 절차 또는 동일한 원인을 이전에 제기했다고 믿을만한 이유가 있습니다 다른 회원국의 관할 법원에서 그러한 관련 절차의 존재를 확인하기 위해 해당 법원에 연락해야합니다. 관련 절차가 다른 회원국의 법원에 계류중인 경우, 법원이 아닌 다른 법원은 절차를 계속 진행할 수 있으며, 당사자 중 한 사람의 요청에 따라 해당 법원이 관할권을 가지면 먼저 압류 된 법원을 찬성하는 관할권을 거부 할 수 있습니다 문제의 소송 절차와 관련 법률은 그러한 관련 절차의 통합을 허용합니다.

(145)

컨트롤러 또는 프로세서에 대한 소송 절차의 경우, 컨트롤러가 구성원의 공공 기관이 아닌 경우 컨트롤러 또는 프로세서가 시설을 보유하고있는 회원국 또는 데이터 주체가있는 회원국의 법원 앞에 조치를 취할 수있는 선택권이 있어야합니다 공권력을 행사하는 국가.

(146)

컨트롤러 또는 프로세서는이 규정을 침해하는 결과로 인해 사람이 겪을 수있는 손상을 보상해야합니다. 컨트롤러 또는 프로세서는 손상의 원인이 아닌 것으로 판명되면 책임을 면제해야합니다. 손해의 개념은이 규정의 목적을 완전히 반영하는 방식으로 법원의 판례에 비추어 광범위하게 해석되어야한다. 이는 연방 또는 회원국 법률에서 다른 규칙을 위반하여 파생 된 손해 배상을 침해하지 않습니다. 이 규정을 침해하는 처리에는 본 규정 및이 규정의 규정을 명시하는 회원국 법률에 따라 채택 된 위임 및 이행 행위를 침해하는 절차도 포함됩니다. 데이터 피험자는 그들이 겪은 피해에 대해 완전하고 효과적인 보상을 받아야합니다. 컨트롤러 또는 프로세서가 동일한 처리에 관여하는 경우, 각 컨트롤러 또는 프로세서는 전체 손상에 대해 책임을 져야합니다. 그러나 회원국 법에 따라 동일한 사법 절차에 참여하는 경우, 처리에 의해 야기 된 손해에 대해 각 컨트롤러 또는 프로세서의 책임에 따라 보상을 배분할 수 있습니다. 단, 데이터 주체의 완전하고 효과적인 보상 피해를 입은 사람은 보장됩니다. 모든 보상을 지불 한 모든 컨트롤러 또는 프로세서는 이후 동일한 처리에 관여 된 다른 컨트롤러 또는 프로세서에 대해 상환 절차를 시작할 수 있습니다. 각 컨트롤러 또는 프로세서는 전체 손상에 대해 책임을 져야합니다. 그러나 회원국 법에 따라 동일한 사법 절차에 참여하는 경우 처리에 의해 야기 된 손해에 대해 각 컨트롤러 또는 프로세서의 책임에 따라 보상을 배분할 수 있습니다. 단, 데이터 주체에 대한 완전하고 효과적인 보상 피해를 입은 사람은 보장됩니다. 완전한 보상을 지불 한 모든 컨트롤러 또는 프로세서는 이후 동일한 처리에 관여 된 다른 컨트롤러 또는 프로세서에 대해 상환 절차를 시작할 수 있습니다. 각 컨트롤러 또는 프로세서는 전체 손상에 대해 책임을 져야합니다. 그러나 회원국 법에 따라 동일한 사법 절차에 참여하는 경우, 처리에 의해 야기 된 손해에 대해 각 컨트롤러 또는 프로세서의 책임에 따라 보상을 배분할 수 있습니다. 단, 데이터 주체의 완전하고 효과적인 보상 피해를 입은 사람은 보장됩니다. 모든 보상을 지불 한 모든 컨트롤러 또는 프로세서는 이후 동일한 처리에 관여 된 다른 컨트롤러 또는 프로세서에 대해 상환 절차를 시작할 수 있습니다. 손해를 입은 데이터 주체의 완전하고 효과적인 보상이 보장된다면, 처리로 인해 야기 된 손해에 대해서는 각 컨트롤러 또는 프로세서의 책임에 따라 보상을 배분할 수 있습니다. 완전한 보상을 지불 한 모든 컨트롤러 또는 프로세서는 이후 동일한 처리에 관여 된 다른 컨트롤러 또는 프로세서에 대해 상환 절차를 시작할 수 있습니다. 손해를 입은 데이터 주체의 완전하고 효과적인 보상이 보장된다면, 처리로 인한 손해에 대해 각 컨트롤러 또는 프로세서의 책임에 따라 보상을 배분할 수 있습니다. 완전한 보상을 지불 한 모든 컨트롤러 또는 프로세서는 이후 동일한 처리에 관여 된 다른 컨트롤러 또는 프로세서에 대해 상환 절차를 시작할 수 있습니다.

(147)

관할권에 대한 특정 규칙이이 규정에 포함되어있는 경우, 특히 보상을 포함한 사 법적 구제 조치를 요구하는 절차와 관련하여 컨트롤러 또는 프로세서에 대한 유럽 의회 규정 1215/2012 및 유럽 의회의 일반 관할권 규칙 이사회 ( 13 ) 는 그러한 특정 규칙의 적용을 저해해서는 안됩니다.

(148)

이 규정의 집행을 강화하기 위해이 규정에 따라 감독 당국에 의해 부과 된 적절한 조치에 추가하여 또는 대신에이 규정의 모든 침해에 대해 행정 벌금을 포함한 벌금이 부과되어야한다. 경미한 침해의 경우 또는 부과 될 가능성이있는 벌금이 자연인에게 불균형 한 부담이되는 경우, 벌금형 대신 견책이 내려 질 수 있습니다. 그러나 침해의 성격, 중력 및 지속 기간, 침해의 의도적 인 성격, 피해를 완화하기위한 조치, 책임 정도 또는 이전의 모든 위반 사항, 침해 사실을 알게 된 방식 감독 당국, 컨트롤러 또는 프로세서에 대해 지시 된 조치 준수, 행동 강령 준수 및 기타 악화 또는 완화 요인. 행정상의 벌금을 포함한 벌칙의 부과는 효과적인 사법 보호 및 정당한 절차를 포함하여 연합법 및 헌장의 일반 원칙에 따라 적절한 절차 상 보호 장치의 대상이되어야한다.

(149)

회원국은이 규정의 제한에 따라 채택 된 국가 규칙의 침해를 포함하여이 규정의 침해에 대한 형사 처벌에 관한 규칙을 정할 수 있어야한다. 그러한 형사 처벌은이 규정의 침해를 통해 얻은 이익의 박탈을 허용 할 수 있습니다. 그러나, 국가의 규칙 위반에 대한 행정 처벌의 형사 처벌의 부과의 원칙의 위반으로 이어질 안 일사 부재리 사법 재판소에 의해 해석으로.

(150)

이 규정의 위반에 대한 행정 처벌을 강화하고 조화시키기 위해 각 감독 당국은 행정 벌금을 부과 할 권한을 가져야한다. 이 규정은 특정 상황의 모든 관련 상황을 고려하여 침해와 관련 행정 벌금을 설정하기위한 상한선 및 기준을 명시해야한다. 성격, 중력 및 지속 기간, 그리고 본 규정에 따른 의무 이행을 보장하고 침해의 결과를 예방하거나 완화하기 위해 취해진 조치를 포함한다. 사업에 행정 비서가 부과되는 경우, 사업은 그러한 목적을 위해 제 101 조 및 제 102 조 TFEU에 따라 착수하는 것으로 이해되어야한다. 착수하지 않은 사람들에게 행정 벌금이 부과되는 경우, 감독 당국은 적절한 금액의 과태료를 고려할 때 회원국의 전반적인 소득 수준과 그 사람의 경제적 상황을 고려해야한다. 일관성 메커니즘은 또한 행정 벌금을 일관되게 적용하는 데 사용될 수 있습니다. 회원국은 공공 당국이 행정 벌금에 처해야하는지 여부와 그 정도를 결정해야합니다. 행정 벌금을 부과하거나 경고를하는 것은 감독 당국의 다른 권한이나이 규정에 따른 기타 벌칙의 적용에는 영향을 미치지 않는다.

(151)

덴마크와 에스토니아의 법 제도는이 규정에서 정한 행정 벌금을 허용하지 않습니다. 행정 벌금에 관한 규칙은 덴마크에서 벌금이 형사법으로 관할 법원에 의해 부과되며 에스토니아에서는 벌금이 경범죄 절차의 틀 안에서 감독 당국에 의해 부과되는 방식으로 적용될 수있다. 해당 회원국에서의 규칙 적용은 감독 당국에 의해 부과 된 행정 벌금과 동등한 효과를 갖는다. 그러므로 관할 법원은 벌금을 부과하는 감독 당국의 권고를 고려해야한다. 어쨌든, 부과 된 벌금은 효과적이고, 비례하며, 모욕적이어야합니다.

(152)

이 규정이 행정 처벌을 조화시키지 않거나, 다른 경우, 예를 들어이 규정을 심각하게 위반 한 경우와 같이, 회원국은 효과적이고 비례 적이며 강제적 인 처벌을 제공하는 제도를 시행해야한다. 형사 또는 행정 처벌의 성격은 회원국 법에 따라 결정되어야합니다.

(153)

회원국 법률은 본 규정에 따라 개인 정보를 보호 할 수있는 권리가있는 언론, 학술, 예술 및 문학적 표현을 포함한 표현 및 정보의 자유를 규율하는 규칙을 조화시켜야합니다. 저널리즘 목적으로 만 또는 학문적, 예술적 또는 문학적 표현의 목적으로 만 개인 데이터를 처리하는 것은 개인 데이터 보호 권리를 필요에 따라 조정할 권리가있는 경우 본 규정의 특정 조항을 면제하거나 면제해야합니다. 헌장 제 11 조에 명시된 바와 같이 표현과 정보의 자유. 이는 특히 시청각 분야 및 언론사 및 언론 기관의 개인 데이터 처리에 적용되어야합니다. 따라서, 회원국은 기본 권리의 균형을 유지하기 위해 필요한 면제 및 배제 조항을 정하는 입법 조치를 채택해야합니다. 회원국은 일반 원칙, 데이터 주체의 권한, 컨트롤러 및 프로세서, 제 3 국 또는 국제기구에 대한 개인 데이터의 이전, 독립 감독 당국, 협력 및 일관성 및 특정 데이터에 대한 면책을 채택해야합니다. 처리 상황. 그러한 면제 또는 훼손이 한 회원국마다 다른 경우, 해당 관할권이있는 회원국의 법이 적용되어야합니다. 모든 민주 사회에서 표현의 자유에 대한 권리의 중요성을 고려하기 위해서는 언론과 같은 자유에 관한 개념을 광범위하게 해석 할 필요가있다.

(154)

이 규정은이 규정을 적용 할 때 공식 문서에 대한 공개 접근 원칙을 고려하도록 허용합니다. 공문서에 대한 공공 접근은 공공의 이익으로 간주 될 수 있습니다. 공공 기관이나 공공 기관이 보유하고있는 문서의 개인 데이터는 공적인 기관이나 공공 기관이 대상으로하는 연방 또는 회원국 법에 따라 공개 될 경우 해당 기관이나 기관이 공개 할 수 있어야합니다. 그러한 법률은 공식 문서에 대한 대중의 접근과 공공 부문 정보의 재사용을 개인 정보 보호 권리와 조화시켜야하므로 본 규정에 따라 개인 정보를 보호 할 권리와 필요한 화해를 제공 할 수 있습니다. 공공 기관 및 기관에 대한 언급은 해당 맥락에서 문서에 대한 공공 접근에 관한 회원국의 법이 적용되는 모든 기관 또는 기타 기관을 포함해야합니다. 유럽 의회와 이사회 ( 14 ) 의 지침 2003 / 98 / EC는 그대로 유지되며 연방 및 회원국 법의 규정에 따라 개인 정보 처리와 관련하여 자연인의 보호 수준에 영향을 미치지 않으며, 특히이 규정에서 정한 의무와 권리를 변경하지 않는다. 특히,이 지침은 개인 정보 보호에 대한 접근 체제로 인해 액세스가 제외되거나 제한된 문서에 적용해서는 안되며,

(155)

'근로 협약'을 포함하는 회원국의 법률 또는 단체 협약은 고용 상황에서 특히 고용 환경에서의 개인 데이터를 기초로 처리 될 수있는 조건에 대한 고용인의 개인 데이터 처리에 관한 구체적인 규칙을 제공 할 수 있습니다 고용 계약의 목적, 법률 또는 단체 협약에 의해 정해진 의무의 면제, 작업의 관리, 계획 및 조직, 직장에서의 평등과 다양성, 건강에 관한 사항 직장에서의 안전, 그리고 운동과 즐거움의 목적을 위해, 개인 또는 집단적으로, 고용과 관련된 권리와 이익에, 그리고 고용 관계의 종결을 목적으로합니다.

(156)

공공의 이익, 과학적 또는 역사적 연구 목적 또는 통계적 목적으로 보관 목적으로 개인 데이터를 처리하는 것은 본 규정에 따라 데이터 주체의 권리와 자유에 대한 적절한 보호 조치를 받아야합니다. 이러한 안전 장치는 특히 데이터 최소화 원칙을 보장하기 위해 기술 및 조직적 조치를 취해야합니다. 공공의 이익, 과학적 또는 역사적 연구 목적 또는 통계적 목적으로 보관 목적으로 개인 데이터를 추가 처리하는 것은 컨트롤러가 해당 목적을 달성 할 타당성을 더 이상 허용하지 않거나 더 이상 허용하지 않는 데이터를 처리함으로써 수행되어야합니다. 적절한 보호 장치가 존재하는 경우 데이터 주체 식별 (예 : 데이터의 가명 (pseudonymisation)). 회원국은 공공의 이익, 과학적 또는 역사적 연구 목적 또는 통계적 목적으로 보관 목적으로 개인 데이터를 처리하기위한 적절한 보호 장치를 제공해야합니다. 회원국은 정보 요구 사항 및 정정, 삭제, 잊어 버림, 처리 제한, 데이터 휴대성에 관한 권리와 관련하여 특정 조건 하에서 특정 조건 하에서 데이터 주체, 규격 및 배제에 대한 적절한 안전 장치를 제공 할 수있는 권한이 있어야한다. 공공의 이익, 과학적 또는 역사적 연구 목적 또는 통계 목적으로 보관 목적으로 개인 데이터를 처리 할 때 반대합니다. 문제의 조건과 안전 장치는 데이터 처리 주체가 데이터 처리를 위해 개인 데이터 처리를 최소화하기위한 기술적 및 조직적 조치와 함께 특정 처리에서 추구하는 목적을 고려하여 적절할 경우 해당 데이터를 처리하는 특정 절차를 수반 할 수 있습니다. 비례 및 필수 원칙. 과학적 목적을위한 개인 데이터 처리는 임상 시험과 같은 기타 관련 법규를 준수해야합니다.

(157)

레지스트리의 정보를 연결함으로써 연구원은 심혈관 질환, 암 및 우울증과 같은 광범위한 의학적 조건에 대해 큰 가치를 지닌 새로운 지식을 얻을 수 있습니다. 레지스트리를 기반으로하면 더 큰 인구를 끌어 들이기 때문에 연구 결과가 향상 될 수 있습니다. 사회 과학 분야에서 연구원은 등록 기관을 기반으로 한 연구를 통해 실업과 교육과 같은 여러 사회적 조건과 다른 생활 조건 간의 장기적인 상관 관계에 대한 필수 지식을 얻을 수 있습니다. 레지스트리를 통해 얻은 연구 결과는 지식 기반 정책의 수립 및 구현, 많은 사람들의 삶의 질 향상 및 사회 서비스의 효율성 향상을위한 견고하고 고품질의 지식을 제공합니다. 과학 연구를 촉진하기 위해,

(158)

보관 목적으로 개인 데이터가 처리되는 경우,이 규정은 사망 한 사람들에게 적용해서는 안됨을 명심하면서 해당 처리에도 적용되어야합니다. 공공의 이익 기록을 보유하고있는 공공 기관 또는 공공 기관 또는 개인 기관은 연방 또는 회원국 법에 의거하여, 연방 또는 회원국의 법령에 따라 접근 할 수있는 서비스를 제공해야하며, 연방, 주 또는 지방 정부의 법률에 따라 서비스를 획득, 보존, 평가, 설명, 전달, 홍보, 일반 대중의 이익을위한 지속적인 가치 기록. 회원국은 또한 전 (前) 전체주의 국가 체제 하에서의 정치적 행동, 인종 학살, 인류에 대한 범죄, 특히 홀로 코스트 (Holocaust)의 정치적 행동과 관련된 구체적인 정보를 제공하기위한 목적으로 아카이브 목적을위한 개인 정보의 추가 처리를 제공 할 수있는 권한이 부여되어야한다. 또는 전쟁 범죄.

(159)

과학적 연구를 위해 개인 데이터가 처리되는 경우,이 규정은 해당 처리에도 적용되어야합니다. 이 규정의 목적 상 과학 연구 목적을위한 개인 데이터의 처리는 예를 들어 기술 개발 및 시연, 기초 연구, 응용 연구 및 사설 연구를 포함한 광범위한 방식으로 해석되어야합니다. 또한 유럽 연구 영역 달성에 관한 TFEU 179 (1) 조에 의거 한 EU의 목적을 고려해야한다. 과학적 연구 목적은 공중 보건 영역에 대한 공공의 이익을 위해 수행 된 연구도 포함해야한다. 과학적 연구 목적으로 개인 데이터를 처리하는 특수성을 충족시키기 위해, 특히 과학 연구 목적의 맥락에서 개인 정보의 공개 또는 기타 공개와 관련하여 특정 조건을 적용해야합니다. 특히 건강 관련 과학 연구의 결과가 데이터 주체의 이익을위한 추가 조치의 이유를 제시한다면, 본 규정의 일반 규칙은 그러한 조치를 고려하여 적용되어야한다.

(160)

개인 데이터가 역사적인 연구 목적으로 처리되는 경우이 규정은 해당 처리에도 적용되어야합니다. 여기에는이 규정이 사망 한 사람에게 적용되어서는 안된다는 것을 염두에 두면서 계보 연구를위한 계보 연구가 포함되어야합니다.

(161)

임상 시험에서의 과학적 연구 활동 참여에 동의하기 위해 유럽 의회와 이사회의 Regulation (EU) No 536/2014의 관련 규정 ( 15 ) 을 적용해야한다.

(162)

개인 정보가 통계 목적으로 처리되는 경우이 규정이 해당 처리에 적용되어야합니다. 연방 또는 회원국 법률은 본 규정의 범위 내에서 통계 내용, 액세스 제어, 통계 목적을위한 개인 데이터 처리를위한 사양 및 데이터 주체의 권리와 자유를 보호하고 통계 기밀 유지를 보장하기위한 적절한 조치를 결정해야합니다 . 통계적 목적이란 통계 조사 또는 통계 결과 산출에 필요한 개인 데이터의 수집 및 처리를 의미합니다. 이러한 통계 결과는 과학적 연구 목적을 포함하여 다른 목적으로 사용될 수 있습니다. 통계 목적은 통계 목적으로 처리 한 결과가 개인 데이터가 아니라 데이터를 집계하는 것을 의미하며,

(163)

EU와 공식 통계 자료 수집을 위해 연방 및 국가 통계 당국이 수집하는 기밀 정보는 보호되어야한다. 유럽 통계는 제 338 (2) TFEU에 명시된 통계 원칙에 따라 개발, 생산 및 보급되어야하며 국가 통계는 또한 회원국 법을 준수해야합니다. 유럽 의회와 이사회의 Regulation (EC) No 223/2009 ( 16 ) 는 유럽의 통계에 대한 통계적 기밀성에 대한 추가 사양을 제공합니다.

(164)

감독 당국이 개인 데이터에 대한 액세스 및 그들의 전제에 대한 접근을 획득하기 위해 감독관 또는 권한자의 권한과 관련하여 회원국은이 규정의 범위 내에서 전문가 또는 기타 동등한 것을 보호하기위한 특정 규칙을 법으로 채택 할 수있다 개인 비밀 보호의 의무와 개인 정보 보호 권리를 조화시키기 위해 필요한 경우 비밀 유지 의무를 이행해야합니다. 이것은 연방법에 의해 요구되는 전문직 비밀에 관한 규칙을 채택 할 기존 회원국의 의무를 침해하지 않습니다.

(165)

이 규정은 제 17 조 TFEU에서 인정한 바와 같이 회원국의 교회 및 종교 단체 또는 공동체의 기존 헌법에 따른 지위를 존중하고 존중하지 않습니다.

(166)

본 규정의 목적, 즉 자연인의 기본적 권리와 자유, 특히 개인 정보 보호 권리를 보호하고 연합 내 개인 데이터의 자유로운 이동을 보장하기 위해 행동을 채택 할 수있는 권한 제 290 조에 따라 TFEU는위원회에 위임되어야한다. 특히 인증 메커니즘에 대한 기준 및 요구 사항, 표준화 된 아이콘으로 제시 할 정보 및 그러한 아이콘을 제공하는 절차와 관련하여 위임 된 행위가 채택되어야한다. 집행위원회가 전문가 수준을 포함하여 준비 작업 중에 적절한 협의를 수행하는 것이 특히 중요하다. 집행위원회는 위임 된 법령을 준비하고 작성하는 과정에서 동시에,

(167)

이 규정의 시행을위한 일정한 조건을 보장하기 위해이 규정에 의해 규정 될 때 집행 권한이 집행위원회에 부여되어야한다. 그러한 권한은 규정 (EU) No 182/2011에 따라 행사되어야합니다. 이러한 맥락에서위원회는 중소기업을위한 구체적인 조치를 고려해야한다.

(168)

검사 절차는 컨트롤러와 프로세서 사이 및 프로세서 사이의 표준 계약 조항에 대한 구현 행위의 채택을 위해 사용되어야한다. 행동 규범; 인증을위한 기술 표준 및 메커니즘; 제 3 국, 제 3 국 내의 영토 또는 특정 부문, 또는 국제기구에 의해 제공되는 적절한 보호 수준; 표준 보호 절; 구속력있는 기업 규칙에 대한 감독자와 감독자 간의 전자적 수단에 의한 정보 교환을위한 형식과 절차; 상호 원조; 감독 당국간 및 감독 당국과 이사회 간의 전자 수단에 의한 정보 교환을위한 약정.

(169)

집행위원회는 제 3 국, 제 3 국 내의 영토 또는 특정 부문 또는 국제기구가 적절한 수준의 보호를 보장하지 못하고 절박한 긴급 사유가 요구되는 증거가있는 즉시 적용 가능한 이행 행위를 채택해야합니다.

(170)

이 규정의 목적, 즉 동등한 수준의 자연인 보호와 연합을 통한 개인 데이터의 자유로운 흐름을 보장하기 위해서는 회원국이 충분히 달성 할 수 없으며, 오히려 연합 차원에서 더 잘 달성 될 경우 EU는 유럽 연합 조약 (TEU) 제 5 조에 명시된 보조 원칙에 따라 조치를 채택 할 수있다. 해당 조항에 명시된 비례 원칙에 따라이 규정은 그 목적을 달성하기 위해 필요한 것을 초과하지 않습니다.

(171)

지침 95 / 46 / EC는이 규정에서 폐지되어야한다. 이 규정의 적용 일자에 이미 진행중인 처리는이 규정이 효력을 발생한 후 2 년 내에이 규정에 부합되어야한다. 처리가 지침 95 / 46 / EC에 따른 동의를 기반으로하는 경우, 동의가 제공된 방식이 본 규정의 조건과 일치 할 경우 데이터 주체가 다시 동의 할 필요는 없으며, 이 규정의 적용 일자 이후에 제어기가 그러한 처리를 계속할 수 있도록 허용해야한다. Directive 95 / 46 / EC에 근거한 감독 당국의 채택 된위원회 결정 및 권한 부여는 수정, 대체 또는 폐지 될 때까지 유효합니다.

(172)

유럽 데이터 보호 관리자는 Regulation (EC) No 45/2001의 28 (2) 조에 따라 협의하고 2012 년 3 월 7 일 ( 17 ) 에 의견을 전달했습니다 .

(173)

이 규정 은 유럽 의회의 2002 / 58 / EC 지침에 명시된 것과 동일한 목적을 가진 특정 의무의 대상이 아닌 개인 데이터의 처리 와 관련하여 기본적인 권리와 자유의 보호와 관련된 모든 문제에 적용되어야 합니다 . 위원회의 ( 18 ) 컨트롤러의 의무와 자연인의 권리를 포함. 이 규정과 지침 2002 / 58 / EC 간의 관계를 명확히하기 위해 해당 지침을 적절히 개정해야합니다. 이 규정이 채택되면 Directive 2002 / 58 / EC는 특히이 규정의 일관성을 보장하기 위해 검토되어야하며,

이 규정을 채택했습니다 :