보안

GDPR 1장 ~ 4장 번역

AttractiveS 2017. 5. 25. 03:01


1

일반 조항

 


1

 

주제 및 목표

 

1.이 규정은 개인 정보의 자유로운 이동과 관련하여 개인 정보의 처리 및 규칙에 관한 자연인의 보호와 관련된 규칙을 규정합니다.

2.이 규정은 자연인의 기본적 권리와 자유, 특히 개인 정보 보호 권리를 보호합니다.

3. 연합 내의 개인 정보의 자유로운 이동은 개인 정보의 처리와 관련하여 자연인의 보호와 관련된 사유로 제한되거나 금지되지 아니한다.


2

 

재질 범위

 

1.이 규정은 개인 정보를 전적으로 또는 부분적으로 자동화 된 방법으로 처리하고 개인 정보 시스템을 구성하거나 파일 시스템의 일부를 구성하는 자동화 된 개인 정보 수단 이외의 처리에 적용됩니다.

2.이 규정은 개인 정보 처리에는 적용되지 않습니다.

(에이)

연합법의 범위를 벗어나는 활동 중에;

()

TEU Title V 2 장의 범위에 속하는 활동을 수행 할 때 회원국에 의해;

(기음)

순전히 개인적인 또는 가정 활동의 과정에서 자연인에 의해;

()

수사, 검거 또는 형사 처벌 또는 형사 처벌의 목적을위한 주무 당국에 의한 공공 안전 위협에 대한 보호 및 방지를 포함한다.

3. 조합 기관, 단체, 기관 및 기관의 개인 데이터 처리를 위해 Regulation (EC) No. 45/2001이 적용됩니다. 이러한 개인 정보 처리에 적용되는 Regulation (EC) No 45/2001 및 기타 연합법은 제 98 조에 따라이 규정의 원칙 및 규칙에 적용됩니다.

4.이 규정은 지침 2000 / 31 / EC의 적용, 특히 그 지침 제 12 조 내지 제 15 조의 중개 서비스 제공자의 책임 규정을 침해하지 않아야한다.


3

 

지역 범위

 

1.이 규정은 연방에서 처리가 이루어지는 지 여부와 상관없이 연합 내 통제자 또는 처리자의 설립 활동과 관련하여 개인 정보를 처리하는 데 적용됩니다.

2.이 규정은 연합에 속해 있지 않은 연합 또는 관리인이 연합에있는 데이터 주체의 개인 데이터 처리에 적용되며, 그 처리 활동은 다음과 관련이있다 :

(에이)

연방의 데이터 주체에 데이터 주체의 지급이 필요한지 여부와 관계없이 재화 또는 용역 제공 또는

()

그들의 행동이 연합 내에서 일어나는 한 그들의 행동을 감시하는 것.

3.이 규정은 연합에 설립되지 않은 컨트롤러에 의한 개인 데이터 처리에 적용되지만, 회원국 법이 공공 국제법에 따라 적용되는 장소에 적용됩니다.



4

 

정의

 

이 규정의 목적 상 :

(1)

'개인 데이터'는 식별되거나 식별 가능한 자연인 ( '데이터 주체')과 관련된 모든 정보를 의미합니다. 식별 가능한 자연인은 특히 이름, 식별 번호, 위치 데이터, 온라인 식별자와 같은 식별자 또는 신체적, 생리 학적, 신체적, 정신적, 신체적, 신체적, 자연인의 유전 적, 정신적, 경제적, 문화적 또는 사회적 정체성;

(2)

'처리'란 수집, 기록, 조직, 구조화, 저장, 개조 또는 변경, 검색, 협의 등과 같은 자동화 된 수단을 불문하고 개인 데이터 또는 개인 데이터 집합에 대해 수행되는 모든 작업 또는 작업 집합을 의미합니다. 전송, 보급 또는 다른 방법으로 이용 가능, 정렬 또는 조합, 제한, 삭제 또는 파기에 의한 사용, 공개;

()

'처리 제한'은 장래에 처리를 제한하기 위해 저장된 개인 데이터를 표시하는 것을 의미합니다.

(4)

'프로파일 링'이란 자연인과 관련된 특정 개인적 측면을 평가하기위한 개인 데이터의 사용으로 구성된 개인 데이터의 자동 처리의 모든 형태를 의미합니다. 특히 직장에서의 자연인의 성과, 경제적 상황, 건강, 개인 선호, 관심, 신뢰성, 행동, 위치 또는 움직임;

(5)

'가명 (pseudonymisation)'은 추가 정보를 사용하지 않고도 개인 데이터가 특정 데이터 주체에 더 이상 귀속 될 수 없도록하는 방식으로 개인 데이터를 처리하는 것을 의미하며, 추가 정보는 별도로 보관되며 기술 및 조직 조치가 적용됩니다 개인 정보가 식별되거나 식별 가능한 자연인에게 귀속되지 않도록 보장합니다.

(6)

'파일링 시스템'은 중앙 집중식, 분산 형 또는 기능적 또는 지리적 기반의 분산 여부에 관계없이 특정 기준에 따라 액세스 할 수있는 모든 구조화 된 개인 데이터를 의미합니다.

(7)

'통제자'라 함은 개인 정보의 처리 목적 및 수단을 결정하는 자연인 또는 법인, 공공 기관, 대리인 또는 타인과 단독으로 또는 공동으로 타 기관을 의미한다. 그러한 처리의 목적과 수단이 연방 또는 회원국 법률에 의해 결정되는 경우, 해당 지명자 또는 지명을위한 특정 기준은 연합 또는 회원국 법에 따라 제공 될 수있다.

(8)

'프로세서'란 컨트롤러를 대신하여 개인 데이터를 처리하는 자연인 또는 법인, 공공 기관, 대행사 또는 기타 기관을 의미합니다.

(9)

'수취인'은 제 3자가 아닌 개인 정보가 공개 된 자연인 또는 법인, 공공 기관, 대행사 또는 다른 기관을 의미합니다. 그러나 연방 또는 회원국 법에 따라 특정 조사의 틀에서 개인 정보를받을 수있는 공공 기관은 수령인으로 간주되지 않습니다. 해당 공공 당국에 의한 해당 데이터의 처리는 처리 목적에 따라 해당 데이터 보호 규칙을 준수해야합니다.

(10)

' 3 '는 데이터 주체, 컨트롤러, 프로세서 및 컨트롤러 또는 프로세서의 직접적인 권한하에 개인 데이터를 처리 할 권한이있는 사람 이외의 자연인 또는 법인, 공공 기관, 기관 또는 단체를 의미합니다.

(11)

데이터 주체의 '동의'는 진술 또는 명확한 차별 철회 조치로 자신과 관련된 개인 데이터의 처리에 동의 함을 의미하는 데이터 주체의 희망에 대한 자유롭고 구체적이며 정보가 풍부하고 모호하지 않은 표시를 의미합니다 또는 그녀;

(12)

'개인 정보 유출'은 전송, 저장 또는 기타 처리 된 개인 정보의 우발적 또는 불법적 인 파기, 분실, 변경, 무단 공개 또는 액세스로 이어지는 보안 위반을 의미합니다.

(13)

'유전 정보'는 자연인의 생리학이나 건강에 관한 고유 한 정보를 제공하는 자연인의 유전 적 특성 또는 유전 적 특성과 관련된 개인 데이터를 의미하며 특히 자연계의 생물학적 시료 분석을 통해 얻어집니다 문제의 사람;

(14)

'생체 인식 데이터'는 자연인의 신체적, 생리 학적 또는 행동 적 특성과 관련된 특정 기술적 처리로 인해 발생하는 개인 데이터를 말하며, 얼굴 이미지 나 망원경 데이터와 같은 자연인의 고유 한 식별을 허용하거나 확인합니다.

(15)

'건강 관련 데이터'란 자신의 건강 상태에 대한 정보를 밝히는 건강 관리 서비스 제공을 포함하여 자연인의 신체적 또는 정신적 건강과 관련된 개인 데이터를 의미합니다.

(16)

'주요 설립'은 다음을 의미합니다 :

(에이)

하나 이상의 회원국에 시설이있는 통제자에 대하여, 연합 내의 중앙 행정 기관의 장소로서, 개인 데이터 처리의 목적과 수단에 관한 결정이 연합 내 통제자의 다른 설립과 후자의 설립은 그러한 결정을 이행 할 권한을 가지며, 그러한 결정을 내린 사업장은 주요한 시설로 간주되어야한다.

()

하나 이상의 회원국에 사업장을두고있는 사업자, 연방 중앙 사무소의 소재지, 또는 연방 정부에 중앙 행정 기관이없는 경우 연합의 중앙 처리 장치를 설립하는 중앙 처리 장치의 설립 프로세서 설립 활동의 맥락은이 규정에 따라 프로세서가 특정 의무를 부담하는 한도 내에서 발생합니다.

(17)

'대표자'는 동맹국에 설립 된 자연인 또는 법인으로서 제 27 조에 따라 서면으로 통제자 또는 가공업 자에 의해 지정되며이 규정에 따른 각자의 의무와 관련하여 관제사 또는 가공업자를 대표한다.

(18)

'기업'이란 경제 활동에 정기적으로 관여하는 파트너십 또는 협회를 포함하여 법적 형태와 상관없이 경제 활동에 종사하는 자연인 또는 법인을 의미합니다.

(19)

'기업 집단'은 지배력있는 사업 및 통제 된 사업을 의미한다.

(20)

'구속력있는 회사 규칙'은 회원국 내에서 하나 이상의 제 3 국의 컨트롤러 또는 프로세서로 개인 데이터를 전송 또는 전송하기 위해 회원국 영토에 설립 된 컨트롤러 또는 프로세서가 준수하는 개인 데이터 보호 정책을 의미합니다. 기업 집단 또는 공동 경제 활동에 종사하는 기업 집단;

(21)

'감독 당국'은 제 51 조에 따라 회원국이 설립 한 독립적 인 공공 기관을 의미한다.

(22)

'감독 당국'은 다음과 같은 이유로 개인 데이터 처리에 관여하는 감독 당국을 의미한다.

(에이)

제어기 또는 가공업자는 감독 당국의 회원국 영토에 설립된다.

()

해당 감독 당국의 회원국에 거주하는 데이터 주체는 처리로 인해 실질적으로 영향을 받거나 실질적으로 영향을받을 수 있습니다. 또는

(기음)

그 감독 당국에 불만이 제기되었다.

(23)

'국경 간 처리'는 다음 중 하나를 의미합니다.

(에이)

하나 이상의 회원국에서 컨트롤러 또는 프로세서가 설립 된 연합 내의 한 컨트롤러 또는 프로세서의 여러 회원국의 시설 활동과 관련하여 이루어지는 개인 데이터의 처리. 또는

()

하나 이상의 회원국에서 데이터 주체에 실질적으로 영향을 미치거나 또는 실질적으로 영향을 미칠 가능성이 있거나 영향을 미칠 수있는 개인 데이터 처리 - 연합 내의 통제자 또는 프로세서의 단일 설립 활동의 맥락에서 발생.

(24)

'적절하고 합리적인 이의'는이 규정의 침해 여부 또는 컨트롤러 또는 프로세서와 관련하여 예상되는 조치가이 규정을 준수하는지 여부에 대한 결정 초안에 대한 이의를 의미하며, 이는 위험에 대한 중요성을 명확히 보여줍니다. 데이터 주체의 기본 권리와 자유 및 적용 가능한 경우 연합 내에서의 개인 데이터의 자유 흐름에 관한 결정 초안;

(25)

'정보 사회 서비스는' 1의 점 (B)에 정의 된 서비스를 의미한다 (1) 지침 (EU) 유럽 의회와 이사회의 1,535분의 2,015  ( 19 ) ;

(26)

'국제기구'라 함은 공적 국제법에 의해 규율되는기구 및 그 하부 조직 또는 둘 이상의 국가 간의 협의에 기초하거나 또는 그 기초로 설립 된 기타기구를 말한다.



2

원칙

 

5

 

개인 정보 처리 원칙

 

1. 개인 데이터는 다음과 같습니다.

(에이)

( '적법성, 공정성 및 투명성')과 관련하여 적법하고 합법적으로 처리되어야한다.

()

명시 적, 합법적 및 합법적 인 목적으로 수집되며 이러한 목적과 양립 할 수없는 방식으로 더 이상 처리되지 않습니다. 공공의 이익, 과학적 또는 역사적 연구 목적 또는 통계적 목적으로 보관 목적을위한 추가 처리는 최초 목적과의 양립이 불가능한 것으로 간주되지 않는다 ( '목적 제한').

(기음)

적절하고 적절하며 처리 목적에 관련하여 필요한 것에 한정된다 ( '데이터 최소화').

()

정확하고 필요한 경우 최신 정보를 유지합니다. 지체없이 개인 정보가 정확하고 지워지거나 수정 될 수 있도록 모든 합당한 조치를 취해야합니다.

(이자형)

개인 데이터가 처리되는 목적을 위해 필요한 것 이상으로 데이터 주체를 식별 할 수있는 형식으로 유지되어야한다. 개인 데이터는 개인 데이터가 공공의 이익, 과학적 또는 역사적 연구 목적 또는 통계적 목적으로 보관 목적으로 만 처리 될 수있는 한, 해당 기술 및 조직의 구현에 따라 제 89 (1) 항에 따라 더 오랜 기간 동안 저장 될 수 있습니다. 데이터 주체의 권리와 자유를 보호하기 위해이 규정에서 요구하는 조치 ( '저장 제한');

(에프)

적절한 기술 또는 조직 조치 ( '무결성 및 기밀 유지')를 사용하여 권한이 없거나 불법적 인 처리 및 실수로 인한 손실, 파괴 또는 손상으로부터 보호하는 것을 포함하여 개인 데이터의 적절한 보안을 보장하는 방식으로 처리됩니다.

2. 제어기는 제 1 ( '책임')에 대한 책임을지고 그 준수를 입증 할 수 있어야한다.


6

 

처리의 합법성

 

1. 다음 중 적어도 하나가 적용되는 경우에만 처리가 합법적이어야합니다.

(에이)

데이터 주체는 하나 이상의 특정 목적을 위해 자신의 개인 데이터를 처리하는 데 동의했다.

()

처리는 데이터 주체가 당사자 인 계약을 수행하거나 계약 체결 전에 데이터 주체의 요청으로 조치를 취하기 위해 필요합니다.

(기음)

처리가 필요한 감독자의 법적 의무 준수를 위해 필요하다.

()

데이터 주체 또는 다른 자연인의 중요한 이익을 보호하기 위해 처리가 필요합니다.

(이자형)

공공의 이익을 위해 또는 감독관에게 부여 된 공무원의 권한 행사에서 수행 된 업무 수행을 위해 필요한 처리는;

(에프)

처리는 개인 데이터의 보호를 필요로하는 데이터 주체의 이해 관계 또는 기본적 권리와 자유에 의해 그러한 이해 관계가 무시되는 경우를 제외하고는 컨트롤러 또는 제 3자가 추구하는 정당한 이해 관계의 목적에 필요합니다. 주제는 어린이입니다.

1 (f) 항은 공공 기관이 업무 수행시 수행하는 처리에는 적용되지 않는다.

2. 회원국은 제 1 항의 (c) (e) 항을 준수하기위한 처리와 관련하여이 규정의 규칙을 적용하기위한보다 구체적인 조항을 유지하거나 도입 할 수있다. 9 장에 규정 된 기타 특정 처리 상황을 포함하여 합법적이고 공정한 처리를 보장하기위한 조치.

3. 1 항의 (c) (e)에 언급 된 처리의 기초는 다음에 의해 규정되어야한다.

(에이)

연합법; 또는

()

컨트롤러가 적용되는 회원국 법.

처리의 목적은 법적 근거 또는 제 1 항의 (e) 항에 언급 된 처리와 관련하여 공공의 이익이나 공무원의 수행에서 수행 된 업무 수행을 위해 필요하다. 컨트롤러에있는 권한. 그러한 법적 근거는 특히이 규정의 규칙 적용에 적용 할 수있는 특정 조항을 포함 할 수있다. 특히 컨트롤러에 의한 적법성을 관리하는 일반 조건; 처리 대상 데이터 유형; 관련 데이터 주체; 개인 데이터가 공개 될 수있는 대상 및 목적, 목적 제한; 저장 기간; 및 처리 작업 및 처리 절차, 이는 제 9 장에 규정 된 기타 특정 가공 상황과 같은 합법적이고 공정한 처리를 보장하기위한 조치를 포함한다. 연합 또는 회원국 법률은 공익 목적을 달성하고 추구하는 합법적 인 목표에 비례해야합니다.

4. 개인 정보가 수집 된 목적 이외의 목적을위한 처리가 데이터 주체의 동의 또는 목적을 보호하기 위해 민주적 인 사회에서 필요하고 비례적인 조치를 구성하는 연합 또는 회원국 법에 근거하지 않는 경우 제 23 조 제 1 항에 언급 된 통제자는 다른 목적을위한 처리가 개인 정보가 최초 수집되는 목적과 양립 할 수 있는지를 확인하기 위하여 특히 다음을 고려하여야한다.

(에이)

개인 정보가 수집 된 목적과 의도 된 추가 처리의 목적 사이의 링크;

()

개인 데이터가 수집 된 상황, 특히 데이터 주체와 컨트롤러 간의 관계에 관한 내용

(기음)

특히 개인 데이터의 특수 범주가 제 9 조에 따라 처리되는지 여부 또는 제 10 조에 따라 범죄 유죄 판결 및 범죄와 관련된 개인 데이터가 처리되는지 여부

()

데이터 주체에 대한 의도 된 추가 처리의 가능한 결과;

(이자형)

적절한 보호 책의 존재. 암호화 또는 가명을 포함 할 수있다.


7

 

동의 조건

 

1. 처리가 동의에 기초한 경우, 통제자는 데이터 주체가 자신의 개인 데이터 처리에 동의했음을 입증 할 수 있어야한다.

2. 데이터 주체의 동의가 서면 선언의 맥락에서 다른 문제와 관련되어있는 경우, 동의 요청은 다른 사안과 명확하게 구별되는 방식으로 이해하기 쉽고 쉽게 접근 할 수있는 형태로 제시되어야한다. 명확하고 평이한 언어. 이 규정의 침해를 구성하는 선언의 일부는 구속력을 갖지 않는다.

3. 데이터 주체는 언제든지 자신의 동의를 철회 할 권리를 가진다. 동의 철회는 철회 전에 동의에 근거한 가공의 적법성에 영향을 미치지 아니한다. 동의를하기 전에 데이터 주체에이를 통보해야한다. 동의를 철회하는 것은 쉬울 것입니다.

4. 동의가 자유롭게 주어 졌는지 여부를 평가할 때, 특히 서비스 제공을 포함한 계약 이행이 개인 정보 처리에 대한 동의를 조건으로 하는지 여부를 최대한 고려해야한다. 그 계약의 성능.


8

 

정보 사회 서비스와 관련된 아동의 동의에 적용되는 조건

 

1. 6 (1)의 요점 (a)가 적용되는 경우, 정보 사회 서비스를 아동에게 직접 제공하는 것과 관련하여, 아동의 개인 정보 처리는 아동이 최소 16 세 이상인 경우 합법적이어야한다 . 아동의 나이가 16 세 미만인 경우, 그러한 처리는 아동에 대한 부모의 책임의 소유자가 동의하거나 허가 한 경우에만 합법적이어야합니다.

회원국은 법으로 13 세 이하가 아니라면 그러한 목적을 위해 더 낮은 연령을 제공 할 수 있습니다.

2. 관제사는 이용 가능한 기술을 고려하여 자녀에 대한 부모의 책임의 소유자가 동의 또는 승인 한 경우를 확인하기 위해 합리적인 노력을해야합니다.

3. 1 항은 아동과 관련하여 계약의 타당성, 형성 또는 효과에 관한 규칙과 같이 회원국의 일반 계약법에 영향을 미치지 아니한다.


9

 

특수한 개인 데이터 처리

 

1. 인종 또는 민족의 출신, 정치적 견해, 종교적 또는 철학적 신념, 노동 조합 가입 및 유전자 정보 처리, 자연인을 고유하게 식별하기위한 생체 인식 데이터, 건강 또는 데이터 관련 데이터 처리 자연인의 성생활이나 성적 취향은 금지됩니다.

2. 1 항은 다음 중 하나에 해당하는 경우에는 적용하지 아니한다.

(에이)

데이터 주체는 1 또는 2 이상의 명시된 목적을 위해 그러한 개인 정보의 처리에 명시 적 동의를하였으나, 단락 1에서 언급 된 금지 사항이 데이터 주체에 의해 해제 될 수 없다고 연방법 또는 회원국 법률이 규정 한 경우는 예외입니다.

()

처리는 연방 또는 회원국 법에 의해 승인 된 한 의무 사항을 이행하고 취업 및 사회 보장 및 사회 보장법 분야의 통제자 또는 데이터 주체의 구체적인 권리를 행사할 목적으로 필요하다. 데이터 주체의 기본적 권리와 이익에 대한 적절한 안전 장치를 제공하는 회원국 법에 따른 단체 협약;

(기음)

처리는 데이터 주체 또는 데이터 주체가 물리적으로 또는 법적으로 동의를 할 수없는 다른 자연인의 중요한 이익을 보호하기 위해 필요합니다.

()

가공은 정치, 철학적, 종교적 또는 노동 조합 목표를 지닌 재단, 협회 또는 기타 비영리기구의 적절한 보호 조치와 합법적 인 활동의 과정에서 그리고 처리는 전적으로 회원과 관련이있는 조건에서 수행됩니다 또는 전 체 구성원 또는 그 목적과 관련하여 정기적으로 연락을 취한 개인 및 개인 데이터가 데이터 주체의 동의없이 해당 기관 외부에 공개되지 않은 경우.

(이자형)

처리는 데이터 주체에 의해 명시 적으로 공개 된 개인 데이터와 관련됩니다.

(에프)

처리는 법적 청구의 설립, 행사 또는 방어 또는 법원이 사법 능력으로 행동 할 때마다 필요하다.

()

처리는 목적에 부합하는 연합 또는 회원국 법에 기초하여 실질적인 공익을 이유로 필요하며 데이터 보호 권리를 존중하고 기본 권리와 안전을 보호하기위한 적절하고 구체적인 조치를 제공한다. 데이터 주체의 이익.

(h)

처리는 예방 적 또는 직업 의학의 목적, 직원의 근무 능력 평가, 의료 진단, 보건 또는 사회 케어 또는 치료의 제공 또는 보건 또는 사회 케어 시스템 및 서비스의 관리를 위해 필요하다. 연방 또는 회원국의 법률 또는 보건 전문가와의 계약에 의거하여 제 3 항에 언급 된 조건 및 안전 조치의 적용을 받는다.

(나는)

의료에 대한 심각한 국경 위협으로부터 보호하거나 의료 및 의약품 또는 의료 기기의 품질 및 안전성에 대한 높은 기준을 보장하는 것과 같은 공중 보건 영역에 대한 공공의 이익을 이유로 연방에서의 처리가 필요하다. 또는 데이터 주체의 권리와 자유, 특히 전문 비밀을 보호하기위한 적절하고 구체적인 조치를 제공하는 회원국 법률;

(j)

가공은 목적에 부합하는 연합 또는 회원국 법에 기초한 공익, 과학적 또는 역사적 연구 목적 또는 통계적 목적으로 보관하는 데 필요하며, 추구 목적에 비례하여 제 89 (1) 항에 따른 권리의 본질을 존중한다. 데이터 보호를 제공하고 데이터 주체의 기본권과 이익을 보호하기위한 적절하고 구체적인 조치를 제공합니다.

3. 1 항에 언급 된 개인 데이터는 제 2 항의 (h) 항에 언급 된 목적을 위해 연합 데이터 또는 회원국에 의한 전문 비밀 유지 의무의 대상으로 또는 그 책임하에 처리 될 때 처리 될 수있다 국가 권한있는 단체 또는 다른 사람에 의해 설립 된 법률 또는 규칙으로 연방 또는 회원국의 법률 또는 국가의 권한있는 기관이 제정 한 규칙에 따라 기밀 유지 의무가 있습니다.

4. 회원국은 유전자 데이터, 생물 측정 데이터 또는 건강 관련 데이터의 처리와 관련하여 제한을 포함하여 추가 조건을 유지하거나 도입 할 수있다.


10

 

범죄 유죄 판결 및 범죄와 관련된 개인 데이터 처리

 

6 1 항에 근거한 범죄 유죄 판결 및 범죄 또는 관련 보안 조치와 관련된 개인 데이터의 처리는 공무원의 통제하에 수행되어야하며, 또는 연방 또는 회원국 법에 의해 적절한 보호 조치를 제공하는 절차가 승인 된 경우에만 수행되어야합니다. 데이터 주체의 권리와 자유. 형사 판결의 모든 포괄적 인 기록은 공식 기관의 통제하에 보관해야합니다.


11

 

식별이 필요없는 처리

 

1. 컨트롤러가 개인 데이터를 처리하는 목적이 컨트롤러에 의한 데이터 주체의 식별을 필요로하지 않거나 더 이상 요구하지 않는 경우 컨트롤러는 데이터 주체를 식별하기 위해 추가 정보를 유지, 획득 또는 처리 할 의무가 없습니다 이 규정을 준수하기위한 유일한 목적으로

2.이 조 제 1 항에 언급 된 경우 제어기가 자료 주체를 식별 할 수있는 위치에 없다는 것을 입증 할 수있는 경우, 제어기는 가능한 경우 자료 주체에게이를 알릴 것이다. 그러한 경우 제 15 조 내지 제 20 조는 자료 주체가 그 조약에 따라 자신의 권리를 행사할 목적으로 자신의 신원 확인을 가능하게하는 추가 정보를 제공하는 경우를 제외하고는 적용하지 않는다.




3

데이터 주체의 권한

 


섹션 1

투명성 및 양식

 


12

 

데이터 주체의 권리 행사를위한 투명한 정보, 커뮤니케이션 및 양식

 

1. 관제사는 제 13 조 및 제 14 조에 언급 된 모든 정보와 처리에 관한 제 15 조 내지 제 22 조 및 제 34 조에 따른 정보를 간결하고, 투명하며, 알기 쉽고, 접근하기 쉬운 형태로, 특히 어린이에게 구체적으로 언급 된 모든 정보에 대한 평이한 언어. 정보는 서면으로 또는 적절한 경우 전자 수단을 포함하는 다른 수단으로 제공되어야합니다. 데이터 주체가 요청할 경우 데이터 주체의 신원이 다른 방법으로 입증 된 경우 정보를 구두로 제공 할 수 있습니다.

2. 관제사는 제 15 조에서 제 22 조까지의 데이터 주체 권리의 행사를 용이하게한다. 11 (2) 항에 언급 된 경우, 관할권자는 자신의 권리 행사를 위해 데이터 주체의 요청에 대한 행동을 거부해서는 안된다 제어기가 데이터 주체를 식별 할 수있는 위치에 있지 않다는 것을 입증하지 않는 한 제 15 조에서 제 22 조까지

3. 관제사는 제 15 조 내지 제 22 조에 따른 요청에 대하여 취한 조치에 관한 정보를 과도한 지체없이 요청 접수 후 1 개월 이내에 데이터 주체에게 제공하여야한다. 이 기간은 요구 사항의 복잡성과 수를 고려하여 필요한 경우 2 개월 연장 될 수 있습니다. 관제사는 데이터 주체에게 지연 사유와 함께 요청이 접수 된 후 1 개월 이내에 그러한 연장을 통보하여야한다. 데이터 주체가 전자 형식 수단으로 요청하는 경우, 정보는 가능한 한 데이터 수단에 의해 요구되지 않는 한 전자 수단에 의해 제공되어야한다.

4. 컨트롤러가 데이터 주체의 요청에 대해 조치를 취하지 않으면 컨트롤러는 지체없이 그리고 늦어도 요청을 접수 한 지 1 개월 이내에 조치를 취하지 않은 이유와 감독 당국에 불만을 제기하고 사 법적 구제책을 찾는다.

5. 13 조 및 제 14 조에 따라 제공되는 정보와 제 15 조 내지 제 22 조 및 제 34 조에 따라 취해진 모든 의사 소통 및 조치는 무료로 제공되어야한다. 특히 반복적 인 특성으로 인해 데이터 주제의 요청이 명백히 근거가 없거나 과도한 경우 컨트롤러는 다음 중 하나를 수행 할 수 있습니다.

(에이)

정보 또는 의사 전달을 제공하거나 요청 된 조치를 취하는 행정 비용을 고려하여 합당한 수수료를 부과한다. 또는

()

요청에 대한 행동을 거부합니다.

관제사는 명백히 근거가 없거나 과도한 요청의 성격을 입증 할 책임을진다.

6. 관제사가 제 15 조 내지 제 21 조에 언급 된 요청을 한 자연인의 신원에 대해 합당한 의문을 갖는 제 11 조를 침해 함이없이 통제자는 데이터 주체의 신원을 확인하는 데 필요한 추가 정보의 제공을 요청할 수있다 .

7. 13 조와 제 14 조에 따라 데이터 주체에게 제공 될 정보는 쉽게 볼 수 있고, 알기 쉽고, 명확하게 읽을 수있는 방법으로 의도 된 처리 과정의 의미있는 개요를 제공하기 위해 표준화 된 아이콘과 함께 제공 될 수 있습니다. 아이콘이 전자적으로 제시되는 곳에서는 기계 판독이 가능해야합니다.

8.위원회는 아이콘에 의해 제시 될 정보와 표준화 된 아이콘을 제공하는 절차를 결정할 목적으로 제 92 조에 따라 위임 된 행위를 채택 할 권한이있다.


섹션 2

정보 및 개인 정보 액세스

 


13

 

데이터 주체로부터 개인 데이터를 수집하는 경우 제공해야 할 정보

 

1. 데이터 주체와 관련된 개인 데이터가 데이터 주체로부터 수집되는 경우 컨트롤러는 개인 데이터가 수집 될 때 데이터 주체에게 다음 모든 정보를 제공해야합니다.

(에이)

가능한 경우 컨트롤러의 대표자 및 컨트롤러의 신원 및 연락처 세부 정보

()

해당되는 경우 데이터 보호 관리자의 연락처 세부 정보

(기음)

개인 데이터가 의도 된 처리의 목적과 처리의 법적 기반;

()

처리가 제 6 (1)의 요점 (f), 관제사 또는 제 3 자에 의해 추구 된 정당한 이해 관계에 기초한 경우;

(이자형)

개인 데이터의 수신자 또는 수신자 카테고리 (있는 경우);

(에프)

해당되는 경우, 관제사가 개인 데이터를 제 3 국 또는 국제기구로 이전하려는 의도와위원회의 적절성 판단의 유무 또는 제 46 조 또는 제 47 조에 언급 된 이전의 경우 또는 제 2 49 1 항의 호의 규정에 따라 적절하거나 적절한 안전 장치와 그 사본을 얻을 수있는 수단 또는 이용 가능하게 된 장소에 대한 언급.

2. 1 항에 언급 된 정보에 추가하여, 관제사는 개인 데이터가 수집 될 때 공정하고 투명한 처리를 보장하기 위해 필요한 다음의 추가 정보를 데이터 주체에게 제공해야한다.

(에이)

개인 데이터가 저장 될 기간 또는 가능하지 않은 경우 해당 기간을 결정하는 데 사용 된 기준.

()

데이터 주체에 관한 개인 데이터의 접근 및 정류 또는 삭제 또는 처리 제한 또는 데이터 이식성에 대한 권리를 처리자에게 요구할 권리;

(기음)

처리는 제 6 조 제 1 항의 요점 (a) 또는 제 9 조제 2 항의 요점 (a)에 근거하며, 사전 동의에 근거한 처리의 적법성에 영향을 미치지 않고 언제든지 동의 철회 권리가 있음. 그것의 철수;

()

감독 당국에 불만을 제기 할 권리;

(이자형)

개인 데이터의 제공이 법적 또는 계약상의 요구 사항인지 또는 계약 체결에 필요한 요구 사항인지 또는 데이터 주체가 개인 데이터를 제공 할 의무가 있는지 여부 및 이러한 데이터 제공 실패로 인한 결과에 대한 여부

(에프)

22 (1) (4)에 언급 된 프로파일 링을 포함하는 자동화 된 의사 결정의 존재, 그리고 적어도 그러한 경우에는 관련된 논리에 대한 의미있는 정보와 그러한 처리의 중요성 및 예상되는 결과 데이터 주체.

3. 개인 정보가 수집 된 목적 이외의 목적으로 개인 정보를 추가로 처리하려는 경우, 관제사는 추가 처리에 앞서 해당 목적 및 관련 추가 정보에 대한 정보를 제공해야합니다 2 항에 언급 된대로.

4. 1 , 2 항 및 제 3 항은 데이터 주체가 이미 정보를 가지고있는 경우에는 적용하지 아니한다.


14

 

데이터 주체로부터 개인 데이터를 얻지 못한 경우 제공해야 할 정보

 

1. 데이터 주체로부터 개인 데이터를 얻지 못한 경우 컨트롤러는 데이터 주체에게 다음 정보를 제공해야합니다.

(에이)

가능한 경우 컨트롤러의 대표자 및 컨트롤러의 신원 및 연락처 세부 정보

()

해당되는 경우 데이터 보호 관리자의 연락처 세부 정보

(기음)

개인 데이터가 의도 된 처리의 목적과 처리의 법적 기반;

()

해당 개인 데이터의 범주;

(이자형)

개인 데이터의 수신자 또는 수신자 카테고리 (있는 경우);

(에프)

해당되는 경우, 관제사가 제 3 국 또는 국제기구의 수령인에게 개인 정보를 전달하려는 의도와위원회의 적정 결정 여부 또는 제 46 조 또는 제 47 조에 언급 된 이전의 경우 또는 제 49 (1)의 두 번째 하위 절, 적절한 또는 적절한 보호 장치에 대한 언급 및 사본을 얻을 수있는 방법 또는 그들이 이용 가능하게 된 곳.

2. 1 항에 언급 된 정보 이외에, 통제자는 데이터 주체와 관련하여 공정하고 투명한 처리를 보장하기 위해 필요한 다음 정보를 데이터 주체에게 제공해야한다.

(에이)

개인 데이터가 저장 될 기간 또는 가능하지 않은 경우 해당 기간을 결정하는 데 사용 된 기준.

()

처리가 제 6 (1)의 요점 (f), 관제사 또는 제 3 자에 의해 추구 된 정당한 이해 관계에 기초한 경우;

(기음)

데이터 주체에 관한 개인 정보의 접근 및 정류 또는 삭제 또는 처리의 제한 및 처리의 대상이되는 권리 및 데이터 이식성에 대한 권리를 컨트롤러가 요청할 권리의 존재.

()

처리는 제 6 조제 1 항의 사안 (a) 또는 조약 제 9 조제 2 항의 사안 (a)에 근거하며, 동의 이전에 합법적 인 처리에 영향을주지 않고 언제든지 동의를 철회 할 수있는 권리의 존재 철수;

(이자형)

감독 당국에 불만을 제기 할 권리;

(에프)

출처로부터 개인 데이터의 출처 및 공개적으로 접근 할 수있는 출처에서 제공된 것인지 여부

()

22 (1) (4)에 언급 된 프로파일 링을 포함하는 자동화 된 의사 결정의 존재, 그리고 적어도 그러한 경우에는 관련된 논리에 대한 의미있는 정보와 그러한 처리의 중요성 및 예상되는 결과 데이터 주체.

3. 제어기는 1 항과 2 항에 언급 된 정보를 제공해야한다.

(에이)

개인 데이터를 수집 한 후 합리적인 기간 내에, 그러나 개인 데이터가 처리되는 특정 상황을 고려하여 늦어도 1 개월 이내에;

()

개인 데이터가 데이터 주체와의 통신에 사용되는 경우 늦어도 해당 데이터 주체와의 최초 통신시에; 또는

(기음)

다른 수령인에 대한 공개가 예정된 경우 늦어도 개인 정보가 처음 공개 될 때

4. 컨트롤러가 개인 데이터를 취득한 목적 이외의 목적으로 개인 데이터를 추가로 처리하고자하는 경우, 컨트롤러는 추가 처리에 앞서 데이터 대상에게 그 다른 목적에 관한 정보와 관련 추가 정보를 제공해야합니다 2 항에 언급 된대로.

5. 1 항부터 제 4 항까지는 다음의 경우에는 그러하지 아니한다.

(에이)

데이터 주체는 이미 정보를 가지고있다;

()

그러한 정보의 제공은 특히 공공의 이익, 과학적 또는 역사적 연구 목적 또는 통계적 목적으로 보관 목적으로 처리하기위한 불공정 한 노력을 포함하거나, 89 (1) 또는 이 조 제 1 항에 언급 된 의무가 그 처리의 목적 달성을 불가능하게하거나 심각하게 저해 할 가능성이있는 한. 그러한 경우 관제자는 데이터 주체의 권리와 자유 및 합법적 인 이익을 보호하기위한 적절한 조치를 취해야한다.

(기음)

획득 또는 공개는 해당 통제자가 대상이되고 데이터 주체의 정당한 이익을 보호하기위한 적절한 조치를 제공하는 연합 또는 회원국 법에 의해 명시 적으로 규정됩니다. 또는

()

개인 정보는 기밀 유지에 대한 법적인 의무를 포함하여 연방 또는 회원국 법에 의해 규제되는 전문적인 기밀 유지 의무에 따라 기밀로 유지되어야합니다.


15

 

데이터 주체에 의한 접근 권한

 

1. 데이터 주체는 자신과 관련된 개인 데이터의 처리 여부 및 해당되는 경우 개인 정보 및 다음 정보에 대한 액세스 권한을 컨트롤러로부터 얻을 수있는 권리를가집니다.

(에이)

가공의 목적;

()

해당 개인 데이터의 범주;

(기음)

개인 정보가 공개되었거나 공개 될 수혜자의 수령인 또는 범주, 특히 제 3 국 또는 국제기구의 수령인;

()

가능한 경우 개인 데이터가 저장 될 예정 기간 또는 가능한 경우 해당 기간을 결정하는 데 사용 된 기준;

(이자형)

데이터 주체에 관한 개인 데이터의 정류 또는 삭제 또는 개인 정보의 처리에 대한 제한 또는 그러한 처리를 거부 할 권한을 컨트롤러로부터 요청할 수있는 권리가 있음;

(에프)

감독 당국에 불만을 제기 할 권리;

()

개인 데이터가 데이터 주체로부터 수집되지 않은 경우, 소스에 관한 이용 가능한 정보

(h)

22 (1) (4)에 언급 된 프로파일 링을 포함하는 자동화 된 의사 결정의 존재, 그리고 적어도 그러한 경우에는 관련된 논리에 대한 의미있는 정보와 그러한 처리의 중요성 및 예상되는 결과 데이터 주체.

2. 개인 데이터가 제 3 국 또는 국제기구로 이전되는 경우 데이터 주체는 이전과 관련하여 제 46 조에 따라 적절한 안전 장치를 통보받을 권리를 가진다.

3. 컨트롤러는 처리중인 개인 데이터의 사본을 제공해야합니다. 데이터 주체가 요청한 추가 사본의 경우, 관제사는 관리 비용을 기준으로 합리적인 요금을 부과 할 수 있습니다. 데이터 주체가 전자적 수단으로 요청할 경우 그리고 데이터 주체가 달리 요구하지 않는 한, 정보는 일반적으로 사용되는 전자 형식으로 제공되어야한다.

4. 3 항에 언급 된 사본을 얻을 권리는 타인의 권리와 자유에 해를 끼치 지 않아야한다.



섹션 3

정류 및 삭제

 


16 조 

 

수정 권리

 

데이터 주체는 부당한 지연없이 그 또는 그녀에 관한 부정확 한 개인 데이터의 수정을 컨트롤러로부터 얻을 권리가있다. 처리의 목적을 고려하여 데이터 주체는 보충 설명을 제공하는 것을 포함하여 불완전한 개인 데이터를 완료 할 수있는 권리를가집니다.

17

 

지우 권리 ( '잊을 권리')

 

1. 데이터 주체는 부당한 지체없이 그와 관련된 개인 데이터의 삭제를 컨트롤러로부터받을 권리를 가지며, 컨트롤러는 다음 근거 중 하나가 적용되는 경우 부당한 지체없이 개인 정보를 지울 의무가 있습니다.

(에이)

개인 데이터는 수집되거나 처리되는 목적과 관련하여 더 이상 필요하지 않습니다.

()

데이터 주체는 제 6 조제 1 항의 요점 (a) 또는 조약 제 9 조제 2 항의 요지 (a)에 따라 처리의 근거가되는 동의를 철회하고 처리를위한 다른 법적 근거가없는 경우;

(기음)

데이터 주체는 제 21 (1)에 따른 처리를 반대하며, 처리에 대한 우선적 인 근거 또는 제 21 (2)에 따른 처리 대상 데이터 개체가 없다.

()

개인 데이터가 불법적으로 처리되었습니다.

(이자형)

개인 데이터는 컨트롤러가 적용되는 연방 또는 회원국 법률의 법적 의무 준수를 위해 지워 져야합니다.

(에프)

개인 데이터는 제 8 (1)에 언급 된 정보 사회 서비스 제공과 관련하여 수집되었습니다.

2. 관제사가 개인 정보를 공개하고 제 1 항에 따라 개인 정보를 삭제할 의무가있는 경우, 관제사는 이용 가능한 기술 및 시행 비용을 고려하여 기술 조치를 포함한 합리적인 조치를 취하여 제어기 이는 데이터 주체가 해당 개인 데이터에 대한 링크 또는 복사 또는 복제를 그러한 컨트롤러가 삭제하도록 요청한 개인 데이터를 처리하는 것입니다.

3. 1 항 및 제 2 항은 가공이 필요한 범위에는 적용하지 아니한다.

(에이)

표현과 정보의 자유권 행사를위한

()

관할권이있는 연합 또는 회원국 법률에 의한 처리를 요구하거나 공공의 이익을 위해 또는 관제사에게 부여 된 공무 권한 행사에서 수행 된 업무 수행을 요구하는 법적 의무 준수;

(기음)

9 (2) 및 제 9 (3)의 요점 (h) (i)에 따라 공중 보건 영역에 대한 공공의 이익을 이유로;

()

1 항에 언급 된 권리가 그 목적의 달성을 불가능하게하거나 심각하게 저해 할 가능성이있는 한 공공의 이익, 과학적 또는 역사적 연구 목적 또는 제 89 (1) 처리; 또는

(이자형)

법적 요구 사항의 수립, 행사 또는 방어를위한


18

 

가공 제한 권리

 

1. 데이터 주체는 다음 중 하나가 적용되는 경우 처리의 제한을 컨트롤러로부터 얻을 권리를 가진다 :

(에이)

개인 데이터의 정확성은 컨트롤러가 개인 데이터의 정확성을 확인할 수있게하는 기간 동안 데이터 주체와 경쟁합니다.

()

그 처리는 불법이며 데이터 주체는 개인 데이터의 삭제에 반대하며 대신에 사용 제한을 요청합니다.

(기음)

컨트롤러는 더 이상 처리 목적으로 개인 데이터가 필요하지 않지만 법적 요구 사항의 수립, 실행 또는 방어를 위해 데이터 주체가 필요로합니다.

()

데이터 주체는 합법적 인 근거가 데이터 주체보다 우선하는지 여부를 확인하기까지 제 21 (1) 항에 따라 처리를 거부했다.

2. 1 항에 따라 처리가 제한된 경우, 그러한 개인 데이터는 저장을 제외하고는 데이터 주체의 동의 또는 법적 청구의 설정, 행사 또는 방어 또는 타인의 권리 보호를 위해서만 처리되어야한다 자연인 또는 법인 인 또는 연합 또는 회원국의 중요한 공익을 이유로

3. 1 항에 따른 처리 제한을 획득 한 데이터 주체는 처리 제한이 해제되기 전에 통제자에 의해 통보되어야한다.


19

 

개인 정보의 수정 또는 삭제 또는 처리 제한에 관한 통지 의무

 

통제자는 제 16 , 17 (1) 및 제 18 조에 따라 수행 된 개인 정보의 정류 또는 삭제 또는 개인 정보가 공개 된 각 수령인에게이 사실이 불가능하다고 증명되거나 불균형을 초래하지 않는 한 노력. 컨트롤러는 데이터 주체가 요청할 경우 데이터 수신자에게 데이터 주체에게이를 알려야한다.


20

 

데이터 이식성에 대한 권리

 

1. 데이터 주체는 구조화되고 일반적으로 사용되며 기계가 읽을 수있는 형식으로 컨트롤러에 제공 한 개인 데이터를 수신 할 권리가 있으며 데이터를 다른 사람에게 전송할 권리가 있습니다 컨트롤러가 방해받지 않고 개인 데이터가 제공되는 컨트롤러에서 다음을 수행 할 수 있습니다.

(에이)

그 처리는 제 6 조제 1 항의 요점 (a) 또는 제 9 조제 2 항의 요지 (a) 또는 제 6 조제 1 항 요점 (b)에 따른 계약에 따른 동의에 기초한다.

()

처리는 자동화 된 수단에 의해 수행된다.

2. 1 항에 따라 데이터 이식성에 대한 권리를 행사할 때, 데이터 주체는 기술적으로 실현 가능한 한 개인용 데이터를 한 컨트롤러에서 다른 컨트롤러로 직접 전송할 수있는 권리를 가진다.

3.이 조 제 1 항에 언급 된 권리 행사는 제 17 조를 침해하지 아니한다.이 권리는 공공의 이익 또는 공식적인 권한 행사에서 수행 된 업무 수행에 필요한 처리에는 적용되지 아니한다. 컨트롤러에 있음.

4. 1 항에 언급 된 권리는 타인의 권리와 자유에 불리한 영향을 미치지 아니한다.



섹션 4

개인 의사 결정을 반대하고 자동화하는 권리

 


21

 

반대 할 권리

 

1. 데이터 주체는 자신의 특정 상황과 관련하여 언제든지 제 6 (e) 또는 (f) 항에 근거한 개인 정보 처리에 이의를 제기 할 수있는 권리를 가진다. 1). 컨트롤러는 데이터 주체의 이익, 권리 및 자유를 대체하는 법적 근거의 입증, 합법적 인 근거를 입증하거나 법적 요구 사항의 설정, 실행 또는 방어를 위해 컨트롤러가 더 이상 개인 데이터를 처리하지 않습니다.

2. 직접 마케팅 목적으로 개인 데이터가 처리되는 경우, 데이터 주체는 언제든지 그러한 마케팅과 관련한 개인 데이터 처리에 이의를 제기 할 권리가 있으며, 여기에는 직접 마케팅.

3. 직접 마케팅 목적으로 데이터 주체가 처리 대상이되는 경우 개인 데이터는 더 이상 그러한 목적으로 처리되지 않습니다.

4. 늦어도 데이터 주체와 처음으로 의사 소통 할 당시 제 1 항과 제 2 항에 언급 된 권리는 명시 적으로 데이터 주체의주의를 끌며 다른 정보와는 명확하고 별도로 제시되어야한다.

5. 정보 사회 서비스의 사용과 관련하여, 지침 2002 / 58 / EC에도 불구하고, 데이터 주체는 기술 사양을 사용하여 자동화 된 방법으로 이의 제기 대상자가 될 수 있습니다.

6. 89 (1) 항에 따라 과학적 또는 역사적 연구 목적 또는 통계 목적으로 개인 데이터가 처리되는 경우, 데이터 주체는 자신의 특정 상황과 관련하여 개인 데이터의 처리에 이의를 제기 할 권리가 있습니다. 공공의 이익을 이유로 수행 된 업무 수행을 위해 그 처리가 필요하지 않는 한 그 사람 또는 그 여자.


22

 

프로파일 링을 포함한 자동화 된 개별 의사 결정

 

1. 데이터 주체는 프로파일 링을 포함한 자동화 된 처리만을 기반으로 한 결정의 대상이되지 않아야하며, 그에 관한 법적 효력을 발생 시키거나 유사하게 유의 한 영향을 미친다.

2. 1 항은 다음의 결정이있는 경우에는 적용하지 아니한다.

(에이)

데이터 주체와 데이터 컨트롤러 간의 계약 체결 또는 이행에 필요합니다.

()

관할권이있는 연합 또는 회원국 법률에 의해인가되고 데이터 주체의 권리와 자유 및 정당한 이익을 보호하기위한 적절한 조치를 규정한다. 또는

(기음)

데이터 주체의 명시적인 동의를 기반으로합니다.

3. 2 항의 (a) (c)에서 언급 된 경우, 데이터 통제자는 데이터 주체의 권리와 자유 및 정당한 이익을 보호하기위한 적절한 조치, 적어도 그 부분에 대한 인간 개입을 얻을 수있는 권리 자신의 관점을 표현하고 결정에 이의를 제기 할 수 있습니다.

4. 2 항에 언급 된 결정은 제 9 (2)의 요지 (a) 또는 (g)가 적용되고 데이터를 보호하기위한 적절한 조치가없는 한, 9 (1)에 언급 된 개인 데이터의 특수한 범주에 근거하지 않아야한다. 피험자의 권리와 자유, 합법적 인 이해 관계가 있습니다.


섹션 5

제한 사항

 

23

 

제한 사항

 

1. 데이터 통제자 또는 가공업자가 적용되는 조합 또는 회원국 법률은 제 12 조 내지 제 22 조 및 제 34 조 및 제 5 조에 규정 된 의무 및 범위의 범위를 입법 조치를 통해 제한 할 수있다 그 규정이 제 12 조 내지 제 22 조에 규정 된 권리와 의무에 해당하기 때문에 그러한 제한이 기본적 권리와 자유의 본질을 존중하며,이를 보호하기위한 민주 사회에서 필요하고 균형 잡힌 조치이다.

(에이)

국가 안보;

()

방어;

(기음)

공공 안전;

()

공공 안전 위협에 대한 보호 및 방지를 포함한 형사 범죄의 예방, 조사, 탐지 또는 기소 및 형사 처벌;

(이자형)

연방 또는 회원국의 일반 대중의 이익, 특히 연방, 회원국의 중요한 경제적 또는 재정적 이익 (통화, 예산 및 세무, 사 회 보건 및 사회 보장 포함)의 기타 중요한 목표;

(에프)

사법의 독립과 사법 절차의 보호;

()

규제 된 직업에 대한 윤리 위반의 예방, 조사, 탐지 및 기소;

(h)

(a) ~ (e) (g) 항에 언급 된 경우 공식 기관의 행사에 때때로 연결되는 모니터링, 검사 또는 규제 기능.

(나는)

데이터 주체의 보호 또는 타인의 권리와 자유;

(j)

민법 청구의 집행.

2. 특히, 1 항에 언급 된 입 법적 조치는 적어도 관련있는 경우 다음과 같은 특정 조항을 포함해야한다.

(에이)

처리의 목적 또는 처리 범주;

()

개인 데이터의 범주;

(기음)

도입 된 제한의 범위;

()

학대 또는 불법적 인 접근이나 이전을 막기위한 보호 장치;

(이자형)

제어기의 명세 또는 제어기의 범주;

(에프)

처리 기간 또는 처리 카테고리의 성격, 범위 및 목적을 고려한 저장 기간 및 적용 가능한 안전 조치;

()

데이터 주체의 권리와 자유에 대한 위험;

(h)

제한에 대한 정보를받는 데이터 주체의 권리. 제한의 목적에 해를 끼칠 수없는 경우.



4

컨트롤러 및 프로세서

 


섹션 1

일반적인 의무

 

24

 

컨트롤러의 책임

 

1. 자연인의 권리와 자유에 대한 가능성과 중대성의 다양성의 위험뿐만 아니라 가공의 성질, 범위, 배경 및 목적을 고려하여, 통제자는 적절한 기술과 조직적 조치를 취하여이를 보장하고 이행 할 수 있어야한다. 처리가 본 규정에 따라 수행됨을 입증해야한다. 그러한 조치는 필요한 경우 검토되고 갱신되어야한다.

2. 처리 활동과 비례하는 경우 제 1 항에 언급 된 조치는 통제자에 의한 적절한 데이터 보호 정책의 이행을 포함해야한다.

3. 40 조에 언급 된 승인 된 행동 규범 또는 제 42 조에 언급 된 승인 된 인증 메커니즘의 준수는 통제자의 의무 준수를 입증하는 요소로 사용될 수있다.

25

 

설계 및 기본적으로 데이터 보호

 

1. 처리 상태에 따른 자연인의 권리와 자유에 대한 가능성 및 중대성의 다양성의 위험뿐만 아니라 최신 기술, 시행 비용 및 처리의 성질, 범위, 배경 및 목적을 고려하여, 제어기 처리 수단 결정시와 처리 자체에서 데이터 최소화와 같은 데이터 보호 원칙을 구현하도록 설계된 가명 (pseudonymisation)과 같은 적절한 기술 및 조직 조치를 구현해야한다. 이 규정의 요구 사항을 충족시키고 데이터 주체의 권리를 보호하기 위해 효과적인 방책을 수립하고 필요한 안전 장치를 처리 과정에 통합 할 것을 요구합니다.

2. 컨트롤러는 기본적으로 처리의 각 특정 목적에 필요한 개인 데이터 만 처리되도록하는 적절한 기술 및 조직 조치를 취해야합니다. 이러한 의무는 수집 된 개인 데이터의 양, 처리 범위, 저장 기간 및 접근 가능성에 적용됩니다. 특히 그러한 조치는 기본적으로 개인 데이터가 불특정 다수의 자연인에 개입하지 않고는 접근 할 수 없도록 보장해야한다.

3. 42 조에 따라 승인 된 인증 메커니즘은 본 조의 1 항과 2 항에 규정 된 요구 사항을 준수 함을 입증하는 요소로 사용될 수있다.

26

 

조인트 컨트롤러

 

1. 두 명 이상의 관제사가 공동으로 관제 목적과 수단을 결정하는 경우 관할 관제사가되어야한다. 그들은 특히 정보 주체 권리의 행사와 제 13 조 및 제 14 조에 언급 된 정보를 제공하기위한 각자의 의무에 관하여이 규정에 따른 의무 이행에 대한 각자의 책임을 투명하게 결정한다. 컨트롤러의 각 책임은 컨트롤러가 대상이되는 연방 또는 회원국 법률에 의해 결정되지 않는 한 그들 사이의 약정을 의미한다. 협의는 데이터 주체에 대한 접촉점을 지정할 수 있습니다.

2. 1 항에 언급 된 배열은 정당 각각의 역할과 공동 컨트롤러의 관계를 반영하여야한다 마주 데이터 주제. 합의의 본질은 데이터 주체가 이용할 수 있어야한다.

3. 1 항에 언급 된 약정의 조건에 관계없이, 데이터 주체는 각 감독 기관에 대하여 본 규정에 따라 자신의 권리를 행사할 수있다.

27

 

조합에 설립되지 않은 컨트롤러 또는 프로세서 대표

 

1. 조약 제 3 (2) 항이 적용되는 경우, 조정관 또는 조정관은 연합에 대표를 서면으로 지명한다.

2.이 조 제 1 항에 규정 된 의무는 다음에 적용되지 아니한다.

(에이)

9 (1)에 언급 된 특수한 범주의 데이터 처리 또는 제 10 조에 언급 된 범죄 유죄 판결 및 범죄와 관련된 개인 데이터의 처리를 대규모로 포함하지 않으며, 처리의 성격, 배경, 범위 및 목적을 고려하여 자연인의 권리와 자유에 대한 위험을 초래한다. 또는

()

공공 기관 또는 기관.

3. 대리인은 개인 데이터가 그들에게 제공되는 재화 나 용역과 관련하여 처리되거나 그 행동이 감시되는 데이터 주체가있는 회원국 중 하나에 설립된다.

4. 대리인은 규정 준수를 보장하기 위해 처리와 관련된 모든 문제에 대해 특히 감독 당국 및 데이터 주체에 의해 컨트롤러 또는 프로세서에 추가하여 또는 컨트롤러 또는 프로세서 대신 처리되어야하는 컨트롤러 또는 프로세서에 의해 위임되어야한다 이 규정.

5. 컨트롤러 또는 프로세서에 의한 대리인의 지정은 컨트롤러 또는 프로세서 자체에 대해 개시 될 수있는 법적 조치를 침해하지 않아야한다.

28

 

프로세서

 

1. 제어기가 제어기를 대신하여 수행되는 경우, 제어기는 적절한 기술적 및 조직적 조치를 이행하기에 충분한 보증을 제공하는 프로세서만을 사용하여 처리가 본 규정의 요구 사항을 충족시키고 데이터 주체의 권리.

2. 프로세서는 컨트롤러의 특정 또는 일반 서면 승인없이 다른 프로세서와 결합해서는 안됩니다. 일반적인 서면 승인의 경우, 프로세서는 다른 프로세서의 추가 또는 교체와 관련된 의도 된 변경 사항을 컨트롤러에 알려야하므로 컨트롤러가 그러한 변경 사항을 거부 할 기회를 제공해야합니다.

3. 프로세서에 의한 처리는 연방 또는 회원국 법률에 따른 계약 또는 기타 법적 행위에 의해 규율되며, 이는 컨트롤러와 관련하여 프로세서에 구속력을 가지며 처리의 주제 및 기간, 성질 처리의 목적, 개인 데이터의 유형 및 데이터 주체의 범주와 컨트롤러의 의무 및 권리를 포함합니다. 그 계약 또는 기타 법적 행위는 특히 프로세서를 다음과 같이 규정해야한다.

(에이)

개인 데이터를 제 3 국 또는 국제기구로 이전하는 경우를 포함하여, 해당 프로세서가 적용되는 연방 또는 회원국 법에 의해 요구되지 않는 한, 컨트롤러의 문서화 된 지침에 한해서만 개인 데이터를 처리합니다. 그러한 경우 가공업자는 가공에 앞서 해당 법적 요구 사항을 제어기에 통보해야한다. , 해당 법이 공익의 중요한 근거에 관한 정보를 금지하는 경우는 예외로한다.

()

개인 정보를 처리하도록 허가 된 사람이 기밀 유지를 위해 최선을 다했거나 적절한 기밀 유지 의무가 있음을 보장합니다.

(기음)

32 조에 따라 요구되는 모든 조치를 취한다.

()

다른 프로세서를 사용하기 위해 제 2 항 및 제 4 항에 언급 된 조건을 존중합니다.

(이자형)

처리의 본질을 고려하여 제 3 장에 명시된 데이터 주체의 권리를 행사하기위한 요청에 응답하는 제어기의 의무 이행을 위해 적절한 기술적 및 조직적 조치를 취함으로써 제어기를 지원한다.

(에프)

처리의 성격과 가공업자가 이용할 수있는 정보를 고려하여 제 32 조 내지 제 36 조에 따른 의무 이행을 보증함에있어 감독자를 보조한다.

()

컨트롤러 선택에 따라 처리 관련 서비스 제공이 종료 된 후 컨트롤러에 모든 개인 데이터를 삭제 또는 반환하고 연합 또는 회원국 법률에 따라 개인 데이터를 저장해야하는 경우를 제외하고 기존 사본을 삭제합니다.

(h)

이 조에 규정 된 의무를 준수하고 컨트롤러에 의해 수행되는 감사원이나 감독관이 수행 한 감사를 포함하여 감사 및 기여에 필요한 모든 정보를 사용할 수 있도록합니다.

첫 번째 하위 항목 (h)과 관련하여 프로세서는 자신의 의견으로이 규정이나 다른 연합 또는 회원국의 데이터 보호 조항을 침해하는 명령이있을 경우 즉시 컨트롤러에 알려야합니다.

4. 프로세서가 컨트롤러를 대신하여 특정 처리 작업을 수행하기 위해 다른 프로세서를 사용하는 경우 제 3 항에 언급 된 컨트롤러와 프로세서 간의 계약 또는 기타 법적 행위에 명시된 것과 동일한 데이터 보호 의무가 부과됩니다 특히 가공이 본 규정의 요구 사항을 충족시키는 방식으로 적절한 기술 및 조직 조치를 이행 할 수있는 충분한 보증을 제공하는 계약 또는 기타 합법적 인 행위를 통해 다른 프로세서에 적용됩니다. 다른 프로세서가 데이터 보호 의무를 이행하지 못하는 경우, 초기 프로세서는 다른 프로세서의 의무 이행을 위해 컨트롤러에게 전적으로 책임을 져야합니다.

5. 40 조에 언급 된 승인 된 행동 강령 또는 제 42 조에서 언급 된 승인 된 인증 메커니즘에 대한 프로세서의 준수는 제 1 항 및 제 4 항에 언급 된 충분한 보증을 입증하는 요소로 사용될 수있다. 이 조항.

6. 컨트롤러와 프로세서 간의 개별 계약을 침해 함이없이, 본 조의 3 항과 4 항에 언급 된 계약 또는 기타 법적 행위는 전체 또는 부분적으로 단락에서 언급 된 표준 계약 조항 제 7 조 및 제 8 조에 규정 된 경우를 제외하고는 제 42 조 및 제 43 조에 따라 조종사 나 가공업 자에게 부여 된 인증의 일부분을 포함한다.

7. 집행위원회는 본조 제 3 항 및 제 4 항에 언급 된 사항과 제 93 (2)에 언급 된 심사 절차에 따라 표준 계약 조항을 정할 수있다.

8. 감독 당국은이 조 제 3 항 및 제 4 항에 언급 된 문제와 제 63 조에 언급 된 일관성 메커니즘에 따라 표준 계약 조항을 채택 할 수있다.

9. 3 항 및 제 4 항에 언급 된 계약 또는 기타 법적 행위는 전자 형식을 포함하여 서면으로 이루어져야한다.

10. 82 , 83 조 및 제 84 조를 침해 함이없이 프로세서가 목적 및 처리 수단을 결정하여이 규정을 침해한다면 프로세서는 그 처리와 관련하여 컨트롤러로 간주된다.

29

 

컨트롤러 또는 프로세서의 권한하에 처리

 

프로세서 및 프로세서 또는 컨트롤러의 권한하에있는 사람 (개인 데이터에 액세스 할 수있는 사람)은 연방 또는 회원국 법률에 따라 그렇게 요구되지 않는 한 컨트롤러의 지침을 제외한 데이터를 처리하지 않아야합니다.

30

 

가공 활동 기록

 

1. 각 컨트롤러 및 해당되는 경우 컨트롤러의 담당자는 책임하에 처리 활동 기록을 유지해야합니다. 그 기록에는 다음의 모든 정보가 포함되어야한다 :

(에이)

컨트롤러 및 해당되는 경우 공동 컨트롤러, 컨트롤러의 대표 및 데이터 보호 책임자의 이름 및 연락처 세부 정보

()

가공의 목적;

(기음)

데이터 주체의 범주와 개인 데이터의 범주에 대한 설명;

()

3 국 또는 국제기구의 수령자를 포함하여 개인 정보가 공개되었거나 공개 될 수혜자의 범주;

(이자형)

3 국 또는 국제기구의 확인을 포함하여 개인 데이터를 제 3 국 또는 국제기구에 이관하는 경우, 그리고 제 49 (1)의 두 번째 하위 조항에 언급 된 이전의 경우 적절한 서류 보호 장치;

(에프)

가능한 경우, 서로 다른 범주의 데이터를 삭제할 때 고려해야 할 시간 제한

()

가능한 경우 제 32 (1) 항에 언급 된 기술 및 조직 보안 조치에 대한 일반적인 설명.

2. 각 프로세서 및 적용 가능한 경우 프로세서 대표는 컨트롤러를 대신하여 수행되는 모든 종류의 처리 활동에 대한 기록을 유지해야하며 다음을 포함해야합니다.

(에이)

프로세서 또는 프로세서와 프로세서가 작동하는 각 컨트롤러의 이름과 연락처 정보 및 해당되는 경우 컨트롤러 또는 프로세서의 담당자 및 데이터 보호 담당자.

()

각 제어기를 대신하여 수행되는 처리의 범주;

(기음)

3 국 또는 국제기구의 확인을 포함하여 개인 데이터를 제 3 국 또는 국제기구에 이관하는 경우, 그리고 제 49 (1)의 두 번째 하위 조항에 언급 된 이전의 경우 적절한 서류 보호 장치;

()

가능한 경우 제 32 (1) 항에 언급 된 기술 및 조직 보안 조치에 대한 일반적인 설명.

3. 1 항 및 제 2 항에 언급 된 기록은 전자 형식을 포함하여 서면으로 작성되어야한다.

4. 제어기 또는 프로세서 및 해당되는 경우 제어기 또는 프로세서의 대표는 요청에 따라 감독 당국에 기록을 제공해야한다.

5. 1 항과 제 2 항에 언급 된 의무는 그것이 수행하는 처리가 데이터 주체의 권리와 자유에 위험을 초래할 가능성이있는 경우를 제외하고는 250 명 미만을 고용하는 기업이나 조직에는 적용되지 아니한다. 9 (1)에 언급 된 특수한 범주의 데이터 또는 제 10 조에 언급 된 범죄 유죄 판결 및 범죄와 관련된 개인 데이터를 포함합니다.

31

 

감독 당국과의 협력

 

제어기와 프로세서 및 적용 가능한 경우 대리인은 요청에 따라 감독 기관과 업무 수행에 협력해야한다.


섹션 2

개인 정보의 보안

 


32

 

처리 보안

 

1. 자연인, 제어기 및 프로세서의 권리와 자유에 대한 가능성과 중대성의 다양성의 위험뿐만 아니라 최신 기술, 구현 비용 및 처리의 성질, 범위, 배경 및 목적을 고려함 적절한 경우를 포함하여 위험에 적절한 수준의 보안을 보장하기 위해 적절한 기술 및 조직 조치를 취해야한다.

(에이)

개인 정보의 가명 및 암호화;

()

처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성 및 복원력을 보장 할 수있는 능력;

(기음)

물리적 또는 기술적 인 사고가 발생할 경우 적시에 개인 데이터 가용성 및 액세스를 복원 할 수있는 능력.

()

처리의 보안을 보장하기위한 기술 및 조직 조치의 효과 성을 정기적으로 테스트하고, 평가하고 평가하는 프로세스입니다.

2. 보안 계정의 적절한 수준을 평가할 때 처리, 특히 우발적 또는 불법적 인 파기, 손실, 변경, 허가받지 않은 공개 또는 전송, 저장 또는 기타 개인 데이터에 대한 액세스로부터 발생하는 위험을 특히 고려해야합니다 처리됨.

3. 40 조에 언급 된 승인 된 행동 규범 또는 제 42 조에 언급 된 승인 된 인증 메커니즘을 준수하는 것은 본 조 제 1 항에 규정 된 요구 사항을 준수 함을 입증하는 요소로 사용될 수있다.

4. 컨트롤러 및 프로세서는 컨트롤러의 지시하에 수행하는 자연인 또는 개인 데이터에 액세스하는 프로세서가 자신이 수행해야하는 경우를 제외하고는 컨트롤러의 지시를 제외하고 처리하지 못하도록 조치해야합니다 그래서 연방 또는 회원국 법에 따라.

33

 

감독 당국에 대한 개인 정보 유출 통지

 

1. 개인 데이터 유출의 경우, 컨트롤러는 부당한 지체없이 실행 가능한 경우 72 시간 이내에이를 알게되고, 개인 데이터 유출을 제 55 조에 따라 유능한 감독 당국에 통보하고, 개인 정보 침해로 인하여 자연인의 권리와 자유가 위험에 처하게되는 경우는 예외입니다. 감독 당국에 대한 통고가 72 시간 이내에 이루어지지 않을 경우, 지연 사유가 수반되어야한다.

2. 프로세서는 개인 데이터 유출을 인식 한 후 부당한 지연없이 컨트롤러에 알립니다.

3. 1 항에 언급 된 통보는 적어도 다음을 행하여야한다 :

(에이)

가능한 경우 개인 데이터 침해의 성격, 관련 데이터 주체의 범주 및 대략적인 수, 관련 개인 데이터 기록의 범주 및 대략적인 수를 설명합니다.

()

더 많은 정보를 얻을 수있는 데이터 보호 담당자 또는 기타 연락 담당자의 이름과 연락처를 알려주십시오.

(기음)

개인 데이터 유출로 인한 결과를 설명합니다.

()

적절한 경우 부작용 가능성을 완화하기위한 조치를 포함하여 개인 데이터 유출 문제를 해결하기 위해 컨트롤러가 취하거나 취할 조치를 설명합니다.

4. 동시에 정보를 제공 할 수없는 한, 정보는 과도한 지연없이 단계적으로 제공 될 수 있습니다.

5. 컨트롤러는 개인 데이터 유출, 그 결과 및 취한 조치와 관련된 사실을 포함하여 모든 개인 데이터 유출을 문서화해야합니다. 그 서류는 감독 당국이이 조항의 준수를 검증 할 수 있도록해야한다.

34

 

개인 데이터 침해와 데이터 주체의 커뮤니케이션

 

1. 개인 데이터 유출이 자연인의 권리와 자유에 대한 높은 위험을 초래할 가능성이있는 경우, 관제사는 과도한 지연없이 개인 데이터 유출 사실을 데이터 주체에게 알려야합니다.

2.이 조 제 1 항에 언급 된 데이터 주체와의 커뮤니케이션은 개인 정보 유출의 성격을 명확하고 평이한 언어로 기술해야하고 최소한 (b), (c) 및 제 33 조제 3 항의 규정 (d).

3. 1 항에 언급 된 데이터 주체와의 통신은 다음 조건 중 어느 하나라도 충족되면 요구되지 않아야한다.

(에이)

컨트롤러는 적절한 기술 및 조직 보호 조치를 구현했으며 이러한 조치는 개인 데이터 유출로 인해 영향을받은 개인 데이터, 특히 개인 데이터를 암호화와 같이 액세스 권한이없는 사람이 이해할 수 없도록 만드는 데이터에 적용됩니다 ;

()

관제사는 제 1 항에 언급 된 데이터 주체의 권리와 자유에 대한 높은 위험이 더 이상 실현 될 수 없음을 보장하는 후속 조치를 취했다.

(기음)

그것은 불균형 한 노력을 수반 할 것입니다. 그러한 경우에 대신에 대중과의 의사 소통 또는 이와 유사한 방법으로 데이터 주체에게 똑같이 효과적인 방법으로 통보해야한다.

4. 컨트롤러가 아직 데이터 주체와 개인 데이터 유출을 전달하지 않은 경우, 개인 데이터 유출 가능성이 높은 위험을 초래 한 감독 당국은이를 요구할 수도 있고, 3 항에 언급 된 조건이 충족된다.



섹션 3

데이터 보호 영향 평가 및 사전 협의


 

35

 

데이터 보호 영향 평가

 

1. 특히 신기술을 사용하여 가공의 성질, 범위, 배경 및 목적을 고려한 가공의 유형이 자연인의 권리와 자유에 대한 높은 위험을 초래할 가능성이있는 경우, 처리하기 전에 개인 데이터 보호에 대한 예상 된 처리 작업의 영향에 대한 평가를 수행해야합니다. 단일 평가는 비슷한 위험을 제시하는 일련의 유사한 처리 작업을 처리 할 수 ​​있습니다.

2. 제어기는 데이터 보호 영향 평가를 수행 할 때 지정된 경우 데이터 보호 책임자의 조언을 구해야한다.

3. 1 항에 언급 된 데이터 보호 영향 평가는 특히 다음 경우에 요구된다.

(에이)

프로파일 링을 포함하여 자동 처리에 기초한 자연인과 관련된 개인적 측면의 체계적이고 광범위한 평가, 그리고 자연인에 관한 법적 효력을 발생 시키거나 자연적으로 사람에게 유의미한 영향을주는 의사 결정에 기반한 결정;

()

9 (1)에 언급 된 대규모 특수 데이터 범주에 대한 처리 또는 제 10 조에 언급 된 범죄 유죄 판결 및 범죄와 관련된 개인 데이터의 처리; 또는

(기음)

공개적으로 접근 가능한 지역을 대규모로 체계적으로 모니터링합니다.

4. 감독 당국은 제 1 항에 따라 데이터 보호 영향 평가의 대상이되는 종류의 가공 작업 목록을 수립하고 공개하여야한다. 감독 당국은 제 68 조에 언급 된위원회 .

5. 감독 당국은 또한 데이터 보호 영향 평가가 요구되지 않는 종류의 처리 작업 목록을 공개하고 공개 할 수있다. 감독 당국은 이사회에 그 명단을 통보하여야한다.

6. 4 항 및 제 5 항에 언급 된 목록의 채택에 앞서, 권한있는 감독 당국은 제 63 조에서 언급 된 일관성 메커니즘을 그러한 목록이 데이터 주체에 대한 재화 또는 용역의 제공과 관련된 처리 활동을 포함하도록 적용하여야한다 또는 여러 회원국에서 그들의 행동을 모니터링하는 데 또는 연합 내 개인 데이터의 자유로운 이동에 실질적으로 영향을 미칠 수 있습니다.

7. 평가는 적어도 다음을 포함해야한다 :

(에이)

적용 가능한 경우 컨트롤러에 의해 추구 된 합법적 인 이익을 포함하여 예상되는 처리 작업 및 처리 목적에 대한 체계적인 설명

()

목적과 관련한 공정 운영의 필요성과 비례 성의 평가.

(기음)

1 항에 언급 된 데이터 주체의 권리와 자유에 대한 위험 평가 과

()

보안 대책, 개인 정보 보호를 보장하는 메커니즘 및 데이터 주체 및 기타 관련자의 권리와 적법한 이해를 고려하여이 규정을 준수 함을 입증하는 메커니즘을 포함한 위험을 다루기 위해 고안된 조치.

8. 관련 제어기 또는 프로세서에 의해 제 40 조에 언급 된 승인 된 행동 강령을 준수하는 것은 특히 데이터 보호 영향을 목적으로 해당 제어기 또는 프로세서에 의해 수행 된 처리 작업의 영향을 평가할 때 적절히 고려되어야한다 평가.

9. 적절하다면, 관제사는 상업적 또는 공공의 이익 보호 또는 가공 운영의 보안을 침해 함이없이 의도 된 절차에 따라 데이터 주체 또는 그 대리인의 견해를 찾는다.

10. 조약 제 6 (1) (c) 또는 (e)에 따른 처리가 연합법 또는 통제 대상이되는 회원국의 법에 법적 근거가있는 경우, 그 법은 특정 처리 작업을 규제하거나 해당 법적 근거의 채택과 관련하여 일반적인 영향 평가의 일부로 데이터 보호 영향 평가가 이미 수행되었으므로 회원국이 필요하다고 판단하지 않는 한 1 ~ 7 항이 적용되지 않습니다 활동을 처리하기 전에 그러한 평가를 수행해야합니다.

11. 필요하다면, 통제자는 적어도 가공 작업에 의해 대표되는 위해성의 변화가있을 때 데이터 보호 영향 평가에 따라 가공이 수행되는지 평가하기위한 검토를 수행해야한다.


36

 

사전 상담

 

1. 관제사는 제 35 조에 의거 한 데이터 보호 영향 평가에서 해당 관제 기관이 위험을 완화하기 위해 취한 조치가 없을 경우 처리가 높은 위험을 초래할 것이라는 점을 나타내는 처리 전에 감독 당국과 협의해야한다.

2. 감독 당국이 제 1 항에 언급 된 의도 된 처리가이 규정을 침해 할 것이라는 의견이있는 경우, 특히 감독자가 위험을 충분 히 식별하지 못하거나 완화시킨 경우 감독 당국은 8 주까지 협의 요청 접수, 관제사에게 서면 조언을 제공하며, 해당되는 경우 프로세서에 적용 할 수 있으며 제 58 조에 언급 된 권한을 사용할 수 있습니다.이 기간은 6 개월 연장 될 수 있습니다. 의도 한 처리. 감독 당국은 지연 사유와 함께 협의 요청의 수령 후 1 개월 이내에 제어기 및 해당되는 경우 프로세서에게 그러한 연장을 통보하여야한다.

3. 감독관은 제 1 항에 따라 감독 당국과 협의 할 때 감독 당국에 다음을 제공해야한다.

(에이)

적용 가능한 경우, 특히 작업반 그룹 내에서의 처리를 위해 가공에 관여 된 제어기, 조인트 제어기 및 프로세서의 각 책임;

()

의도 된 처리의 목적 및 수단;

(기음)

이 규정에 따라 데이터 주체의 권리와 자유를 보호하기위한 조치와 보호 장치

()

해당하는 경우 데이터 보호 담당자의 연락처 세부 정보

(이자형)

35 조에 규정 된 데이터 보호 영향 평가;

(에프)

감독 당국이 요청한 기타 모든 정보.

4. 회원국은 국가 의회에서 채택 할 입법 조치에 대한 제안 또는 처리와 관련된 입법 조치에 기초한 규제 조치의 준비 과정에서 감독 당국과 협의해야한다.

5. 1 항에도 불구하고, 회원국 법률은 통제자가 공익을 위해 수행 한 업무 수행을 위하여 통제자에 의한 처리와 관련하여 감독 당국과 협의하고 사전 승인을 얻도록 요구할 수있다. 사회 보호 및 공중 보건과 관련하여



섹션 4

데이터 보호 관리자

 

37

 

데이터 보호 책임자 지정

 

1. 컨트롤러와 프로세서는 다음 경우에 데이터 보호 책임자를 지정해야합니다.

(에이)

공무원이나 사법 기관에 의해 처리되며, 사법 능력을 발휘하는 법원을 제외하고는;

()

컨트롤러 또는 프로세서의 핵심 활동은 본질, 범위 및 / 또는 목적에 따라 대규모로 데이터 주체를 정기적으로 체계적으로 모니터링해야하는 처리 작업으로 구성됩니다. 또는

(기음)

컨트롤러 또는 프로세서의 핵심 활동은 제 9 조에 따른 대규모 특수 데이터 범주의 처리와 제 10 조에 언급 된 범죄 유죄 판결 및 위반에 관한 개인 데이터로 구성됩니다.

2. 사업 단체는 데이터 보호 책임자가 각 시설에서 쉽게 접근 할 수있는 경우 단일 데이터 보호 책임자를 임명 할 수 있습니다.

3. 컨트롤러 또는 프로세서가 공공 기관 또는 단체 인 경우, 단일 조직의 구조와 규모를 고려하여 여러 기관 또는 기관에 단일 데이터 보호 책임자를 지정할 수 있습니다.

4. 1 항에 언급 된 경우 이외의 경우, 제어기 또는 가공업 자의 범주를 나타내는 제어기 또는 가공업자 또는 협회 및 기타 단체는 연방 또는 회원국의 법에 따라 필요한 경우 데이터 보호 책임자를 지정할 수있다. 데이터 보호 관리자는 그러한 협회 및 컨트롤러 또는 프로세서를 대표하는 기타 단체를 위해 행동 할 수 있습니다.

5. 데이터 보호 책임자는 전문적인 자질, 특히 데이터 보호법 및 관행에 관한 전문 지식과 제 39 조에 언급 된 임무를 수행 할 수있는 능력에 기초하여 지정되어야한다.

6. 데이터 보호 관리자는 컨트롤러 또는 프로세서의 직원이거나 서비스 계약을 토대로 작업을 수행 할 수 있습니다.

7. 컨트롤러 또는 프로세서는 데이터 보호 책임자의 연락처 정보를 게시하여 감독 당국에 전달해야합니다.

38

 

데이터 보호 관리자의 위치

 

1. 컨트롤러와 프로세서는 개인 정보 보호와 관련된 모든 문제에 데이터 보호 책임자가 적절하고시기 적절하게 관련되도록 보장해야합니다.

2. 제어기와 프로세서는 제 39 조에 언급 된 업무를 수행함에있어 데이터 보호 책임자가 그러한 업무를 수행하고 개인 정보 및 처리 업무에 접근하고 자신의 전문 지식을 유지하는 데 필요한 자원을 제공하도록 지원해야한다.

3. 컨트롤러와 프로세서는 데이터 보호 책임자가 이러한 작업을 수행하는 데 관한 지침을받지 않도록해야합니다. 그 또는 그녀는 자신의 임무를 수행하기 위해 감독관이나 처리자에 의해 해고되거나 처벌되어서는 안된다. 데이터 보호 관리자는 컨트롤러 또는 프로세서의 최고 관리 수준에 직접보고해야합니다.

4. 데이터 주체는 개인 정보 처리 및이 규정에 따른 권리 행사와 관련된 모든 문제와 관련하여 데이터 보호 책임자에게 연락 할 수 있습니다.

5. 데이터 보호 관리자는 연합 또는 회원국 법에 따라 자신의 업무 수행과 관련한 기밀성 또는 기밀 유지 의무를 지닙니다.

6. 데이터 보호 관리자는 다른 업무와 의무를 수행 할 수 있습니다. 컨트롤러 또는 프로세서는 그러한 업무와 의무가 이익 충돌을 초래하지 않도록 보장해야한다.

39

 

데이터 보호 관리자의 작업

 

1. 데이터 보호 관리자는 최소한 다음 작업을 수행해야합니다.

(에이)

본 규정 및 다른 연합 또는 회원국의 데이터 보호 조항에 따라 자신의 의무 처리를 수행하는 조정관, 프로세서 및 직원을 알리고 조언을 제공해야합니다.

()

본 규정의 준수 여부, 다른 연합 또는 회원국의 데이터 보호 조항 및 처리와 관련된 직원의 인지도 제고 및 교육을 포함하여 개인 데이터 보호와 관련하여 컨트롤러 또는 프로세서의 정책과 함께 모니터링 운영 및 관련 감사

(기음)

데이터 보호 영향 평가와 관련하여 요청이있는 경우 조언을 제공하고 제 35 조에 따라 그 성과를 모니터링한다.

()

감독 당국과 협력한다.

(이자형)

36 조에 언급 된 사전 협의를 포함하여 가공과 관련한 문제에 대한 감독 당국의 접촉점으로서의 역할을 수행하고, 적절한 경우 다른 문제에 관해 협의한다.

2. 데이터 보호 관리자는 처리 작업의 성격, 범위, 상황 및 목적을 고려하여 처리 작업과 관련된 위험을 적절하게 고려해야합니다.


섹션 5

행동 강령 및 인증

 

40

 

행동 강령

 

1. 회원국, 감독 당국, 이사회 및 집행위원회는 다양한 가공 분야의 특정 특징 및 특정 필요 사항을 고려하여이 규정의 적절한 적용에 기여하도록 의도 된 행동 강령의 작성을 장려한다 중소 규모 기업의

2. 컨트롤러 또는 프로세서의 범주를 나타내는 협회 및 기타 기관은 다음과 관련하여이 규정의 적용을 명시하기 위해 행동 규범을 제정하거나 그러한 규범을 개정 또는 연장 할 수 있습니다.

(에이)

공정하고 투명한 가공;

()

특정 상황에서 컨트롤러가 추구하는 정당한 이해 관계;

(기음)

개인 데이터의 수집;

()

개인 데이터의 가명명

(이자형)

일반인과 데이터 주체에게 제공되는 정보

(에프)

데이터 주체의 권리 행사;

()

아동에게 제공되는 정보 및 아동의 보호, 그리고 아동에 대한 부모의 책임 보유자의 동의를 얻는 방법;

(h)

24 조 및 제 25 조에 규정 된 조치 및 절차와 제 32 조에 언급 된 가공의 안전을 보장하기위한 조치

(나는)

감독 당국에 개인 데이터 유출 통지 및 그러한 개인 데이터 침해와 데이터 주체와의 통신;

(j)

3 국 또는 국제기구에 대한 개인 정보의 이전; 또는

(케이) 1

일반 조항

 

1

 

주제 및 목표

 

1.이 규정은 개인 정보의 자유로운 이동과 관련하여 개인 정보의 처리 및 규칙에 관한 자연인의 보호와 관련된 규칙을 규정합니다.

2.이 규정은 자연인의 기본적 권리와 자유, 특히 개인 정보 보호 권리를 보호합니다.

3. 연합 내의 개인 정보의 자유로운 이동은 개인 정보의 처리와 관련하여 자연인의 보호와 관련된 사유로 제한되거나 금지되지 아니한다.

2

 

재질 범위

 

1.이 규정은 개인 정보를 전적으로 또는 부분적으로 자동화 된 방법으로 처리하고 개인 정보 시스템을 구성하거나 파일 시스템의 일부를 구성하는 자동화 된 개인 정보 수단 이외의 처리에 적용됩니다.

2.이 규정은 개인 정보 처리에는 적용되지 않습니다.

(에이)

연합법의 범위를 벗어나는 활동 중에;

()

TEU Title V 2 장의 범위에 속하는 활동을 수행 할 때 회원국에 의해;

(기음)

순전히 개인적인 또는 가정 활동의 과정에서 자연인에 의해;

()

수사, 검거 또는 형사 처벌 또는 형사 처벌의 목적을위한 주무 당국에 의한 공공 안전 위협에 대한 보호 및 방지를 포함한다.

3. 조합 기관, 단체, 기관 및 기관의 개인 데이터 처리를 위해 Regulation (EC) No. 45/2001이 적용됩니다. 이러한 개인 정보 처리에 적용되는 Regulation (EC) No 45/2001 및 기타 연합법은 제 98 조에 따라이 규정의 원칙 및 규칙에 적용됩니다.

4.이 규정은 지침 2000 / 31 / EC의 적용, 특히 그 지침 제 12 조 내지 제 15 조의 중개 서비스 제공자의 책임 규정을 침해하지 않아야한다.


3

 

지역 범위

 

1.이 규정은 연방에서 처리가 이루어지는 지 여부와 상관없이 연합 내 통제자 또는 처리자의 설립 활동과 관련하여 개인 정보를 처리하는 데 적용됩니다.

2.이 규정은 연합에 속해 있지 않은 연합 또는 관리인이 연합에있는 데이터 주체의 개인 데이터 처리에 적용되며, 그 처리 활동은 다음과 관련이있다 :

(에이)

연방의 데이터 주체에 데이터 주체의 지급이 필요한지 여부와 관계없이 재화 또는 용역 제공 또는

()

그들의 행동이 연합 내에서 일어나는 한 그들의 행동을 감시하는 것.

3.이 규정은 연합에 설립되지 않은 컨트롤러에 의한 개인 데이터 처리에 적용되지만, 회원국 법이 공공 국제법에 따라 적용되는 장소에 적용됩니다.

4

 

정의

 

이 규정의 목적 상 :

(1)

'개인 데이터'는 식별되거나 식별 가능한 자연인 ( '데이터 주체')과 관련된 모든 정보를 의미합니다. 식별 가능한 자연인은 특히 이름, 식별 번호, 위치 데이터, 온라인 식별자와 같은 식별자 또는 신체적, 생리 학적, 신체적, 정신적, 신체적, 신체적, 자연인의 유전 적, 정신적, 경제적, 문화적 또는 사회적 정체성;

(2)

'처리'란 수집, 기록, 조직, 구조화, 저장, 개조 또는 변경, 검색, 협의 등과 같은 자동화 된 수단을 불문하고 개인 데이터 또는 개인 데이터 집합에 대해 수행되는 모든 작업 또는 작업 집합을 의미합니다. 전송, 보급 또는 다른 방법으로 이용 가능, 정렬 또는 조합, 제한, 삭제 또는 파기에 의한 사용, 공개;

()

'처리 제한'은 장래에 처리를 제한하기 위해 저장된 개인 데이터를 표시하는 것을 의미합니다.

(4)

'프로파일 링'이란 자연인과 관련된 특정 개인적 측면을 평가하기위한 개인 데이터의 사용으로 구성된 개인 데이터의 자동 처리의 모든 형태를 의미합니다. 특히 직장에서의 자연인의 성과, 경제적 상황, 건강, 개인 선호, 관심, 신뢰성, 행동, 위치 또는 움직임;

(5)

'가명 (pseudonymisation)'은 추가 정보를 사용하지 않고도 개인 데이터가 특정 데이터 주체에 더 이상 귀속 될 수 없도록하는 방식으로 개인 데이터를 처리하는 것을 의미하며, 추가 정보는 별도로 보관되며 기술 및 조직 조치가 적용됩니다 개인 정보가 식별되거나 식별 가능한 자연인에게 귀속되지 않도록 보장합니다.

(6)

'파일링 시스템'은 중앙 집중식, 분산 형 또는 기능적 또는 지리적 기반의 분산 여부에 관계없이 특정 기준에 따라 액세스 할 수있는 모든 구조화 된 개인 데이터를 의미합니다.

(7)

'통제자'라 함은 개인 정보의 처리 목적 및 수단을 결정하는 자연인 또는 법인, 공공 기관, 대리인 또는 타인과 단독으로 또는 공동으로 타 기관을 의미한다. 그러한 처리의 목적과 수단이 연방 또는 회원국 법률에 의해 결정되는 경우, 해당 지명자 또는 지명을위한 특정 기준은 연합 또는 회원국 법에 따라 제공 될 수있다.

(8)

'프로세서'란 컨트롤러를 대신하여 개인 데이터를 처리하는 자연인 또는 법인, 공공 기관, 대행사 또는 기타 기관을 의미합니다.

(9)

'수취인'은 제 3자가 아닌 개인 정보가 공개 된 자연인 또는 법인, 공공 기관, 대행사 또는 다른 기관을 의미합니다. 그러나 연방 또는 회원국 법에 따라 특정 조사의 틀에서 개인 정보를받을 수있는 공공 기관은 수령인으로 간주되지 않습니다. 해당 공공 당국에 의한 해당 데이터의 처리는 처리 목적에 따라 해당 데이터 보호 규칙을 준수해야합니다.

(10)

' 3 '는 데이터 주체, 컨트롤러, 프로세서 및 컨트롤러 또는 프로세서의 직접적인 권한하에 개인 데이터를 처리 할 권한이있는 사람 이외의 자연인 또는 법인, 공공 기관, 기관 또는 단체를 의미합니다.

(11)

데이터 주체의 '동의'는 진술 또는 명확한 차별 철회 조치로 자신과 관련된 개인 데이터의 처리에 동의 함을 의미하는 데이터 주체의 희망에 대한 자유롭고 구체적이며 정보가 풍부하고 모호하지 않은 표시를 의미합니다 또는 그녀;

(12)

'개인 정보 유출'은 전송, 저장 또는 기타 처리 된 개인 정보의 우발적 또는 불법적 인 파기, 분실, 변경, 무단 공개 또는 액세스로 이어지는 보안 위반을 의미합니다.

(13)

'유전 정보'는 자연인의 생리학이나 건강에 관한 고유 한 정보를 제공하는 자연인의 유전 적 특성 또는 유전 적 특성과 관련된 개인 데이터를 의미하며 특히 자연계의 생물학적 시료 분석을 통해 얻어집니다 문제의 사람;

(14)

'생체 인식 데이터'는 자연인의 신체적, 생리 학적 또는 행동 적 특성과 관련된 특정 기술적 처리로 인해 발생하는 개인 데이터를 말하며, 얼굴 이미지 나 망원경 데이터와 같은 자연인의 고유 한 식별을 허용하거나 확인합니다.

(15)

'건강 관련 데이터'란 자신의 건강 상태에 대한 정보를 밝히는 건강 관리 서비스 제공을 포함하여 자연인의 신체적 또는 정신적 건강과 관련된 개인 데이터를 의미합니다.

(16)

'주요 설립'은 다음을 의미합니다 :

(에이)

하나 이상의 회원국에 시설이있는 통제자에 대하여, 연합 내의 중앙 행정 기관의 장소로서, 개인 데이터 처리의 목적과 수단에 관한 결정이 연합 내 통제자의 다른 설립과 후자의 설립은 그러한 결정을 이행 할 권한을 가지며, 그러한 결정을 내린 사업장은 주요한 시설로 간주되어야한다.

()

하나 이상의 회원국에 사업장을두고있는 사업자, 연방 중앙 사무소의 소재지, 또는 연방 정부에 중앙 행정 기관이없는 경우 연합의 중앙 처리 장치를 설립하는 중앙 처리 장치의 설립 프로세서 설립 활동의 맥락은이 규정에 따라 프로세서가 특정 의무를 부담하는 한도 내에서 발생합니다.

(17)

'대표자'는 동맹국에 설립 된 자연인 또는 법인으로서 제 27 조에 따라 서면으로 통제자 또는 가공업 자에 의해 지정되며이 규정에 따른 각자의 의무와 관련하여 관제사 또는 가공업자를 대표한다.

(18)

'기업'이란 경제 활동에 정기적으로 관여하는 파트너십 또는 협회를 포함하여 법적 형태와 상관없이 경제 활동에 종사하는 자연인 또는 법인을 의미합니다.

(19)

'기업 집단'은 지배력있는 사업 및 통제 된 사업을 의미한다.

(20)

'구속력있는 회사 규칙'은 회원국 내에서 하나 이상의 제 3 국의 컨트롤러 또는 프로세서로 개인 데이터를 전송 또는 전송하기 위해 회원국 영토에 설립 된 컨트롤러 또는 프로세서가 준수하는 개인 데이터 보호 정책을 의미합니다. 기업 집단 또는 공동 경제 활동에 종사하는 기업 집단;

(21)

'감독 당국'은 제 51 조에 따라 회원국이 설립 한 독립적 인 공공 기관을 의미한다.

(22)

'감독 당국'은 다음과 같은 이유로 개인 데이터 처리에 관여하는 감독 당국을 의미한다.

(에이)

제어기 또는 가공업자는 감독 당국의 회원국 영토에 설립된다.

()

해당 감독 당국의 회원국에 거주하는 데이터 주체는 처리로 인해 실질적으로 영향을 받거나 실질적으로 영향을받을 수 있습니다. 또는

(기음)

그 감독 당국에 불만이 제기되었다.

(23)

'국경 간 처리'는 다음 중 하나를 의미합니다.

(에이)

하나 이상의 회원국에서 컨트롤러 또는 프로세서가 설립 된 연합 내의 한 컨트롤러 또는 프로세서의 여러 회원국의 시설 활동과 관련하여 이루어지는 개인 데이터의 처리. 또는

()

하나 이상의 회원국에서 데이터 주체에 실질적으로 영향을 미치거나 또는 실질적으로 영향을 미칠 가능성이 있거나 영향을 미칠 수있는 개인 데이터 처리 - 연합 내의 통제자 또는 프로세서의 단일 설립 활동의 맥락에서 발생.

(24)

'적절하고 합리적인 이의'는이 규정의 침해 여부 또는 컨트롤러 또는 프로세서와 관련하여 예상되는 조치가이 규정을 준수하는지 여부에 대한 결정 초안에 대한 이의를 의미하며, 이는 위험에 대한 중요성을 명확히 보여줍니다. 데이터 주체의 기본 권리와 자유 및 적용 가능한 경우 연합 내에서의 개인 데이터의 자유 흐름에 관한 결정 초안;

(25)

'정보 사회 서비스는' 1의 점 (B)에 정의 된 서비스를 의미한다 (1) 지침 (EU) 유럽 의회와 이사회의 1,535분의 2,015  ( 19 ) ;

(26)

'국제기구'라 함은 공적 국제법에 의해 규율되는기구 및 그 하부 조직 또는 둘 이상의 국가 간의 협의에 기초하거나 또는 그 기초로 설립 된 기타기구를 말한다.


2

원칙

 

5

 

개인 정보 처리 원칙

 

1. 개인 데이터는 다음과 같습니다.

(에이)

( '적법성, 공정성 및 투명성')과 관련하여 적법하고 합법적으로 처리되어야한다.

()

명시 적, 합법적 및 합법적 인 목적으로 수집되며 이러한 목적과 양립 할 수없는 방식으로 더 이상 처리되지 않습니다. 공공의 이익, 과학적 또는 역사적 연구 목적 또는 통계적 목적으로 보관 목적을위한 추가 처리는 최초 목적과의 양립이 불가능한 것으로 간주되지 않는다 ( '목적 제한').

(기음)

적절하고 적절하며 처리 목적에 관련하여 필요한 것에 한정된다 ( '데이터 최소화').

()

정확하고 필요한 경우 최신 정보를 유지합니다. 지체없이 개인 정보가 정확하고 지워지거나 수정 될 수 있도록 모든 합당한 조치를 취해야합니다.

(이자형)

개인 데이터가 처리되는 목적을 위해 필요한 것 이상으로 데이터 주체를 식별 할 수있는 형식으로 유지되어야한다. 개인 데이터는 개인 데이터가 공공의 이익, 과학적 또는 역사적 연구 목적 또는 통계적 목적으로 보관 목적으로 만 처리 될 수있는 한, 해당 기술 및 조직의 구현에 따라 제 89 (1) 항에 따라 더 오랜 기간 동안 저장 될 수 있습니다. 데이터 주체의 권리와 자유를 보호하기 위해이 규정에서 요구하는 조치 ( '저장 제한');

(에프)

적절한 기술 또는 조직 조치 ( '무결성 및 기밀 유지')를 사용하여 권한이 없거나 불법적 인 처리 및 실수로 인한 손실, 파괴 또는 손상으로부터 보호하는 것을 포함하여 개인 데이터의 적절한 보안을 보장하는 방식으로 처리됩니다.

2. 제어기는 제 1 ( '책임')에 대한 책임을지고 그 준수를 입증 할 수 있어야한다.


6

 

처리의 합법성

 

1. 다음 중 적어도 하나가 적용되는 경우에만 처리가 합법적이어야합니다.

(에이)

데이터 주체는 하나 이상의 특정 목적을 위해 자신의 개인 데이터를 처리하는 데 동의했다.

()

처리는 데이터 주체가 당사자 인 계약을 수행하거나 계약 체결 전에 데이터 주체의 요청으로 조치를 취하기 위해 필요합니다.

(기음)

처리가 필요한 감독자의 법적 의무 준수를 위해 필요하다.

()

데이터 주체 또는 다른 자연인의 중요한 이익을 보호하기 위해 처리가 필요합니다.

(이자형)

공공의 이익을 위해 또는 감독관에게 부여 된 공무원의 권한 행사에서 수행 된 업무 수행을 위해 필요한 처리는;

(에프)

처리는 개인 데이터의 보호를 필요로하는 데이터 주체의 이해 관계 또는 기본적 권리와 자유에 의해 그러한 이해 관계가 무시되는 경우를 제외하고는 컨트롤러 또는 제 3자가 추구하는 정당한 이해 관계의 목적에 필요합니다. 주제는 어린이입니다.

1 (f) 항은 공공 기관이 업무 수행시 수행하는 처리에는 적용되지 않는다.

2. 회원국은 제 1 항의 (c) (e) 항을 준수하기위한 처리와 관련하여이 규정의 규칙을 적용하기위한보다 구체적인 조항을 유지하거나 도입 할 수있다. 9 장에 규정 된 기타 특정 처리 상황을 포함하여 합법적이고 공정한 처리를 보장하기위한 조치.

3. 1 항의 (c) (e)에 언급 된 처리의 기초는 다음에 의해 규정되어야한다.

(에이)

연합법; 또는

()

컨트롤러가 적용되는 회원국 법.

처리의 목적은 법적 근거 또는 제 1 항의 (e) 항에 언급 된 처리와 관련하여 공공의 이익이나 공무원의 수행에서 수행 된 업무 수행을 위해 필요하다. 컨트롤러에있는 권한. 그러한 법적 근거는 특히이 규정의 규칙 적용에 적용 할 수있는 특정 조항을 포함 할 수있다. 특히 컨트롤러에 의한 적법성을 관리하는 일반 조건; 처리 대상 데이터 유형; 관련 데이터 주체; 개인 데이터가 공개 될 수있는 대상 및 목적, 목적 제한; 저장 기간; 및 처리 작업 및 처리 절차, 이는 제 9 장에 규정 된 기타 특정 가공 상황과 같은 합법적이고 공정한 처리를 보장하기위한 조치를 포함한다. 연합 또는 회원국 법률은 공익 목적을 달성하고 추구하는 합법적 인 목표에 비례해야합니다.

4. 개인 정보가 수집 된 목적 이외의 목적을위한 처리가 데이터 주체의 동의 또는 목적을 보호하기 위해 민주적 인 사회에서 필요하고 비례적인 조치를 구성하는 연합 또는 회원국 법에 근거하지 않는 경우 제 23 조 제 1 항에 언급 된 통제자는 다른 목적을위한 처리가 개인 정보가 최초 수집되는 목적과 양립 할 수 있는지를 확인하기 위하여 특히 다음을 고려하여야한다.

(에이)

개인 정보가 수집 된 목적과 의도 된 추가 처리의 목적 사이의 링크;

()

개인 데이터가 수집 된 상황, 특히 데이터 주체와 컨트롤러 간의 관계에 관한 내용

(기음)

특히 개인 데이터의 특수 범주가 제 9 조에 따라 처리되는지 여부 또는 제 10 조에 따라 범죄 유죄 판결 및 범죄와 관련된 개인 데이터가 처리되는지 여부

()

데이터 주체에 대한 의도 된 추가 처리의 가능한 결과;

(이자형)

적절한 보호 책의 존재. 암호화 또는 가명을 포함 할 수있다.


7

 

동의 조건

 

1. 처리가 동의에 기초한 경우, 통제자는 데이터 주체가 자신의 개인 데이터 처리에 동의했음을 입증 할 수 있어야한다.

2. 데이터 주체의 동의가 서면 선언의 맥락에서 다른 문제와 관련되어있는 경우, 동의 요청은 다른 사안과 명확하게 구별되는 방식으로 이해하기 쉽고 쉽게 접근 할 수있는 형태로 제시되어야한다. 명확하고 평이한 언어. 이 규정의 침해를 구성하는 선언의 일부는 구속력을 갖지 않는다.

3. 데이터 주체는 언제든지 자신의 동의를 철회 할 권리를 가진다. 동의 철회는 철회 전에 동의에 근거한 가공의 적법성에 영향을 미치지 아니한다. 동의를하기 전에 데이터 주체에이를 통보해야한다. 동의를 철회하는 것은 쉬울 것입니다.

4. 동의가 자유롭게 주어 졌는지 여부를 평가할 때, 특히 서비스 제공을 포함한 계약 이행이 개인 정보 처리에 대한 동의를 조건으로 하는지 여부를 최대한 고려해야한다. 그 계약의 성능.

8

 

정보 사회 서비스와 관련된 아동의 동의에 적용되는 조건

 

1. 6 (1)의 요점 (a)가 적용되는 경우, 정보 사회 서비스를 아동에게 직접 제공하는 것과 관련하여, 아동의 개인 정보 처리는 아동이 최소 16 세 이상인 경우 합법적이어야한다 . 아동의 나이가 16 세 미만인 경우, 그러한 처리는 아동에 대한 부모의 책임의 소유자가 동의하거나 허가 한 경우에만 합법적이어야합니다.

회원국은 법으로 13 세 이하가 아니라면 그러한 목적을 위해 더 낮은 연령을 제공 할 수 있습니다.

2. 관제사는 이용 가능한 기술을 고려하여 자녀에 대한 부모의 책임의 소유자가 동의 또는 승인 한 경우를 확인하기 위해 합리적인 노력을해야합니다.

3. 1 항은 아동과 관련하여 계약의 타당성, 형성 또는 효과에 관한 규칙과 같이 회원국의 일반 계약법에 영향을 미치지 아니한다.


9

 

특수한 개인 데이터 처리

 

1. 인종 또는 민족의 출신, 정치적 견해, 종교적 또는 철학적 신념, 노동 조합 가입 및 유전자 정보 처리, 자연인을 고유하게 식별하기위한 생체 인식 데이터, 건강 또는 데이터 관련 데이터 처리 자연인의 성생활이나 성적 취향은 금지됩니다.

2. 1 항은 다음 중 하나에 해당하는 경우에는 적용하지 아니한다.

(에이)

데이터 주체는 1 또는 2 이상의 명시된 목적을 위해 그러한 개인 정보의 처리에 명시 적 동의를하였으나, 단락 1에서 언급 된 금지 사항이 데이터 주체에 의해 해제 될 수 없다고 연방법 또는 회원국 법률이 규정 한 경우는 예외입니다.

()

처리는 연방 또는 회원국 법에 의해 승인 된 한 의무 사항을 이행하고 취업 및 사회 보장 및 사회 보장법 분야의 통제자 또는 데이터 주체의 구체적인 권리를 행사할 목적으로 필요하다. 데이터 주체의 기본적 권리와 이익에 대한 적절한 안전 장치를 제공하는 회원국 법에 따른 단체 협약;

(기음)

처리는 데이터 주체 또는 데이터 주체가 물리적으로 또는 법적으로 동의를 할 수없는 다른 자연인의 중요한 이익을 보호하기 위해 필요합니다.

()

가공은 정치, 철학적, 종교적 또는 노동 조합 목표를 지닌 재단, 협회 또는 기타 비영리기구의 적절한 보호 조치와 합법적 인 활동의 과정에서 그리고 처리는 전적으로 회원과 관련이있는 조건에서 수행됩니다 또는 전 체 구성원 또는 그 목적과 관련하여 정기적으로 연락을 취한 개인 및 개인 데이터가 데이터 주체의 동의없이 해당 기관 외부에 공개되지 않은 경우.

(이자형)

처리는 데이터 주체에 의해 명시 적으로 공개 된 개인 데이터와 관련됩니다.

(에프)

처리는 법적 청구의 설립, 행사 또는 방어 또는 법원이 사법 능력으로 행동 할 때마다 필요하다.

()

처리는 목적에 부합하는 연합 또는 회원국 법에 기초하여 실질적인 공익을 이유로 필요하며 데이터 보호 권리를 존중하고 기본 권리와 안전을 보호하기위한 적절하고 구체적인 조치를 제공한다. 데이터 주체의 이익.

(h)

처리는 예방 적 또는 직업 의학의 목적, 직원의 근무 능력 평가, 의료 진단, 보건 또는 사회 케어 또는 치료의 제공 또는 보건 또는 사회 케어 시스템 및 서비스의 관리를 위해 필요하다. 연방 또는 회원국의 법률 또는 보건 전문가와의 계약에 의거하여 제 3 항에 언급 된 조건 및 안전 조치의 적용을 받는다.

(나는)

의료에 대한 심각한 국경 위협으로부터 보호하거나 의료 및 의약품 또는 의료 기기의 품질 및 안전성에 대한 높은 기준을 보장하는 것과 같은 공중 보건 영역에 대한 공공의 이익을 이유로 연방에서의 처리가 필요하다. 또는 데이터 주체의 권리와 자유, 특히 전문 비밀을 보호하기위한 적절하고 구체적인 조치를 제공하는 회원국 법률;

(j)

가공은 목적에 부합하는 연합 또는 회원국 법에 기초한 공익, 과학적 또는 역사적 연구 목적 또는 통계적 목적으로 보관하는 데 필요하며, 추구 목적에 비례하여 제 89 (1) 항에 따른 권리의 본질을 존중한다. 데이터 보호를 제공하고 데이터 주체의 기본권과 이익을 보호하기위한 적절하고 구체적인 조치를 제공합니다.

3. 1 항에 언급 된 개인 데이터는 제 2 항의 (h) 항에 언급 된 목적을 위해 연합 데이터 또는 회원국에 의한 전문 비밀 유지 의무의 대상으로 또는 그 책임하에 처리 될 때 처리 될 수있다 국가 권한있는 단체 또는 다른 사람에 의해 설립 된 법률 또는 규칙으로 연방 또는 회원국의 법률 또는 국가의 권한있는 기관이 제정 한 규칙에 따라 기밀 유지 의무가 있습니다.

4. 회원국은 유전자 데이터, 생물 측정 데이터 또는 건강 관련 데이터의 처리와 관련하여 제한을 포함하여 추가 조건을 유지하거나 도입 할 수있다.

10

 

범죄 유죄 판결 및 범죄와 관련된 개인 데이터 처리

 

6 1 항에 근거한 범죄 유죄 판결 및 범죄 또는 관련 보안 조치와 관련된 개인 데이터의 처리는 공무원의 통제하에 수행되어야하며, 또는 연방 또는 회원국 법에 의해 적절한 보호 조치를 제공하는 절차가 승인 된 경우에만 수행되어야합니다. 데이터 주체의 권리와 자유. 형사 판결의 모든 포괄적 인 기록은 공식 기관의 통제하에 보관해야합니다.


11

 

식별이 필요없는 처리

 

1. 컨트롤러가 개인 데이터를 처리하는 목적이 컨트롤러에 의한 데이터 주체의 식별을 필요로하지 않거나 더 이상 요구하지 않는 경우 컨트롤러는 데이터 주체를 식별하기 위해 추가 정보를 유지, 획득 또는 처리 할 의무가 없습니다 이 규정을 준수하기위한 유일한 목적으로

2.이 조 제 1 항에 언급 된 경우 제어기가 자료 주체를 식별 할 수있는 위치에 없다는 것을 입증 할 수있는 경우, 제어기는 가능한 경우 자료 주체에게이를 알릴 것이다. 그러한 경우 제 15 조 내지 제 20 조는 자료 주체가 그 조약에 따라 자신의 권리를 행사할 목적으로 자신의 신원 확인을 가능하게하는 추가 정보를 제공하는 경우를 제외하고는 적용하지 않는다.



3

데이터 주체의 권한

 


섹션 1

투명성 및 양식


 

12

 

데이터 주체의 권리 행사를위한 투명한 정보, 커뮤니케이션 및 양식

 

1. 관제사는 제 13 조 및 제 14 조에 언급 된 모든 정보와 처리에 관한 제 15 조 내지 제 22 조 및 제 34 조에 따른 정보를 간결하고, 투명하며, 알기 쉽고, 접근하기 쉬운 형태로, 특히 어린이에게 구체적으로 언급 된 모든 정보에 대한 평이한 언어. 정보는 서면으로 또는 적절한 경우 전자 수단을 포함하는 다른 수단으로 제공되어야합니다. 데이터 주체가 요청할 경우 데이터 주체의 신원이 다른 방법으로 입증 된 경우 정보를 구두로 제공 할 수 있습니다.

2. 관제사는 제 15 조에서 제 22 조까지의 데이터 주체 권리의 행사를 용이하게한다. 11 (2) 항에 언급 된 경우, 관할권자는 자신의 권리 행사를 위해 데이터 주체의 요청에 대한 행동을 거부해서는 안된다 제어기가 데이터 주체를 식별 할 수있는 위치에 있지 않다는 것을 입증하지 않는 한 제 15 조에서 제 22 조까지

3. 관제사는 제 15 조 내지 제 22 조에 따른 요청에 대하여 취한 조치에 관한 정보를 과도한 지체없이 요청 접수 후 1 개월 이내에 데이터 주체에게 제공하여야한다. 이 기간은 요구 사항의 복잡성과 수를 고려하여 필요한 경우 2 개월 연장 될 수 있습니다. 관제사는 데이터 주체에게 지연 사유와 함께 요청이 접수 된 후 1 개월 이내에 그러한 연장을 통보하여야한다. 데이터 주체가 전자 형식 수단으로 요청하는 경우, 정보는 가능한 한 데이터 수단에 의해 요구되지 않는 한 전자 수단에 의해 제공되어야한다.

4. 컨트롤러가 데이터 주체의 요청에 대해 조치를 취하지 않으면 컨트롤러는 지체없이 그리고 늦어도 요청을 접수 한 지 1 개월 이내에 조치를 취하지 않은 이유와 감독 당국에 불만을 제기하고 사 법적 구제책을 찾는다.

5. 13 조 및 제 14 조에 따라 제공되는 정보와 제 15 조 내지 제 22 조 및 제 34 조에 따라 취해진 모든 의사 소통 및 조치는 무료로 제공되어야한다. 특히 반복적 인 특성으로 인해 데이터 주제의 요청이 명백히 근거가 없거나 과도한 경우 컨트롤러는 다음 중 하나를 수행 할 수 있습니다.

(에이)

정보 또는 의사 전달을 제공하거나 요청 된 조치를 취하는 행정 비용을 고려하여 합당한 수수료를 부과한다. 또는

()

요청에 대한 행동을 거부합니다.

관제사는 명백히 근거가 없거나 과도한 요청의 성격을 입증 할 책임을진다.

6. 관제사가 제 15 조 내지 제 21 조에 언급 된 요청을 한 자연인의 신원에 대해 합당한 의문을 갖는 제 11 조를 침해 함이없이 통제자는 데이터 주체의 신원을 확인하는 데 필요한 추가 정보의 제공을 요청할 수있다 .

7. 13 조와 제 14 조에 따라 데이터 주체에게 제공 될 정보는 쉽게 볼 수 있고, 알기 쉽고, 명확하게 읽을 수있는 방법으로 의도 된 처리 과정의 의미있는 개요를 제공하기 위해 표준화 된 아이콘과 함께 제공 될 수 있습니다. 아이콘이 전자적으로 제시되는 곳에서는 기계 판독이 가능해야합니다.

8.위원회는 아이콘에 의해 제시 될 정보와 표준화 된 아이콘을 제공하는 절차를 결정할 목적으로 제 92 조에 따라 위임 된 행위를 채택 할 권한이있다.


섹션 2

정보 및 개인 정보 액세스

 


13

 

데이터 주체로부터 개인 데이터를 수집하는 경우 제공해야 할 정보

 

1. 데이터 주체와 관련된 개인 데이터가 데이터 주체로부터 수집되는 경우 컨트롤러는 개인 데이터가 수집 될 때 데이터 주체에게 다음 모든 정보를 제공해야합니다.

(에이)

가능한 경우 컨트롤러의 대표자 및 컨트롤러의 신원 및 연락처 세부 정보

()

해당되는 경우 데이터 보호 관리자의 연락처 세부 정보

(기음)

개인 데이터가 의도 된 처리의 목적과 처리의 법적 기반;

()

처리가 제 6 (1)의 요점 (f), 관제사 또는 제 3 자에 의해 추구 된 정당한 이해 관계에 기초한 경우;

(이자형)

개인 데이터의 수신자 또는 수신자 카테고리 (있는 경우);

(에프)

해당되는 경우, 관제사가 개인 데이터를 제 3 국 또는 국제기구로 이전하려는 의도와위원회의 적절성 판단의 유무 또는 제 46 조 또는 제 47 조에 언급 된 이전의 경우 또는 제 2 49 1 항의 호의 규정에 따라 적절하거나 적절한 안전 장치와 그 사본을 얻을 수있는 수단 또는 이용 가능하게 된 장소에 대한 언급.

2. 1 항에 언급 된 정보에 추가하여, 관제사는 개인 데이터가 수집 될 때 공정하고 투명한 처리를 보장하기 위해 필요한 다음의 추가 정보를 데이터 주체에게 제공해야한다.

(에이)

개인 데이터가 저장 될 기간 또는 가능하지 않은 경우 해당 기간을 결정하는 데 사용 된 기준.

()

데이터 주체에 관한 개인 데이터의 접근 및 정류 또는 삭제 또는 처리 제한 또는 데이터 이식성에 대한 권리를 처리자에게 요구할 권리;

(기음)

처리는 제 6 조 제 1 항의 요점 (a) 또는 제 9 조제 2 항의 요점 (a)에 근거하며, 사전 동의에 근거한 처리의 적법성에 영향을 미치지 않고 언제든지 동의 철회 권리가 있음. 그것의 철수;

()

감독 당국에 불만을 제기 할 권리;

(이자형)

개인 데이터의 제공이 법적 또는 계약상의 요구 사항인지 또는 계약 체결에 필요한 요구 사항인지 또는 데이터 주체가 개인 데이터를 제공 할 의무가 있는지 여부 및 이러한 데이터 제공 실패로 인한 결과에 대한 여부

(에프)

22 (1) (4)에 언급 된 프로파일 링을 포함하는 자동화 된 의사 결정의 존재, 그리고 적어도 그러한 경우에는 관련된 논리에 대한 의미있는 정보와 그러한 처리의 중요성 및 예상되는 결과 데이터 주체.

3. 개인 정보가 수집 된 목적 이외의 목적으로 개인 정보를 추가로 처리하려는 경우, 관제사는 추가 처리에 앞서 해당 목적 및 관련 추가 정보에 대한 정보를 제공해야합니다 2 항에 언급 된대로.

4. 1 , 2 항 및 제 3 항은 데이터 주체가 이미 정보를 가지고있는 경우에는 적용하지 아니한다.


14

 

데이터 주체로부터 개인 데이터를 얻지 못한 경우 제공해야 할 정보

 

1. 데이터 주체로부터 개인 데이터를 얻지 못한 경우 컨트롤러는 데이터 주체에게 다음 정보를 제공해야합니다.

(에이)

가능한 경우 컨트롤러의 대표자 및 컨트롤러의 신원 및 연락처 세부 정보

()

해당되는 경우 데이터 보호 관리자의 연락처 세부 정보

(기음)

개인 데이터가 의도 된 처리의 목적과 처리의 법적 기반;

()

해당 개인 데이터의 범주;

(이자형)

개인 데이터의 수신자 또는 수신자 카테고리 (있는 경우);

(에프)

해당되는 경우, 관제사가 제 3 국 또는 국제기구의 수령인에게 개인 정보를 전달하려는 의도와위원회의 적정 결정 여부 또는 제 46 조 또는 제 47 조에 언급 된 이전의 경우 또는 제 49 (1)의 두 번째 하위 절, 적절한 또는 적절한 보호 장치에 대한 언급 및 사본을 얻을 수있는 방법 또는 그들이 이용 가능하게 된 곳.

2. 1 항에 언급 된 정보 이외에, 통제자는 데이터 주체와 관련하여 공정하고 투명한 처리를 보장하기 위해 필요한 다음 정보를 데이터 주체에게 제공해야한다.

(에이)

개인 데이터가 저장 될 기간 또는 가능하지 않은 경우 해당 기간을 결정하는 데 사용 된 기준.

()

처리가 제 6 (1)의 요점 (f), 관제사 또는 제 3 자에 의해 추구 된 정당한 이해 관계에 기초한 경우;

(기음)

데이터 주체에 관한 개인 정보의 접근 및 정류 또는 삭제 또는 처리의 제한 및 처리의 대상이되는 권리 및 데이터 이식성에 대한 권리를 컨트롤러가 요청할 권리의 존재.

()

처리는 제 6 조제 1 항의 사안 (a) 또는 조약 제 9 조제 2 항의 사안 (a)에 근거하며, 동의 이전에 합법적 인 처리에 영향을주지 않고 언제든지 동의를 철회 할 수있는 권리의 존재 철수;

(이자형)

감독 당국에 불만을 제기 할 권리;

(에프)

출처로부터 개인 데이터의 출처 및 공개적으로 접근 할 수있는 출처에서 제공된 것인지 여부

()

22 (1) (4)에 언급 된 프로파일 링을 포함하는 자동화 된 의사 결정의 존재, 그리고 적어도 그러한 경우에는 관련된 논리에 대한 의미있는 정보와 그러한 처리의 중요성 및 예상되는 결과 데이터 주체.

3. 제어기는 1 항과 2 항에 언급 된 정보를 제공해야한다.

(에이)

개인 데이터를 수집 한 후 합리적인 기간 내에, 그러나 개인 데이터가 처리되는 특정 상황을 고려하여 늦어도 1 개월 이내에;

()

개인 데이터가 데이터 주체와의 통신에 사용되는 경우 늦어도 해당 데이터 주체와의 최초 통신시에; 또는

(기음)

다른 수령인에 대한 공개가 예정된 경우 늦어도 개인 정보가 처음 공개 될 때

4. 컨트롤러가 개인 데이터를 취득한 목적 이외의 목적으로 개인 데이터를 추가로 처리하고자하는 경우, 컨트롤러는 추가 처리에 앞서 데이터 대상에게 그 다른 목적에 관한 정보와 관련 추가 정보를 제공해야합니다 2 항에 언급 된대로.

5. 1 항부터 제 4 항까지는 다음의 경우에는 그러하지 아니한다.

(에이)

데이터 주체는 이미 정보를 가지고있다;

()

그러한 정보의 제공은 특히 공공의 이익, 과학적 또는 역사적 연구 목적 또는 통계적 목적으로 보관 목적으로 처리하기위한 불공정 한 노력을 포함하거나, 89 (1) 또는 이 조 제 1 항에 언급 된 의무가 그 처리의 목적 달성을 불가능하게하거나 심각하게 저해 할 가능성이있는 한. 그러한 경우 관제자는 데이터 주체의 권리와 자유 및 합법적 인 이익을 보호하기위한 적절한 조치를 취해야한다.

(기음)

획득 또는 공개는 해당 통제자가 대상이되고 데이터 주체의 정당한 이익을 보호하기위한 적절한 조치를 제공하는 연합 또는 회원국 법에 의해 명시 적으로 규정됩니다. 또는

()

개인 정보는 기밀 유지에 대한 법적인 의무를 포함하여 연방 또는 회원국 법에 의해 규제되는 전문적인 기밀 유지 의무에 따라 기밀로 유지되어야합니다.

15

 

데이터 주체에 의한 접근 권한

 

1. 데이터 주체는 자신과 관련된 개인 데이터의 처리 여부 및 해당되는 경우 개인 정보 및 다음 정보에 대한 액세스 권한을 컨트롤러로부터 얻을 수있는 권리를가집니다.

(에이)

가공의 목적;

()

해당 개인 데이터의 범주;

(기음)

개인 정보가 공개되었거나 공개 될 수혜자의 수령인 또는 범주, 특히 제 3 국 또는 국제기구의 수령인;

()

가능한 경우 개인 데이터가 저장 될 예정 기간 또는 가능한 경우 해당 기간을 결정하는 데 사용 된 기준;

(이자형)

데이터 주체에 관한 개인 데이터의 정류 또는 삭제 또는 개인 정보의 처리에 대한 제한 또는 그러한 처리를 거부 할 권한을 컨트롤러로부터 요청할 수있는 권리가 있음;

(에프)

감독 당국에 불만을 제기 할 권리;

()

개인 데이터가 데이터 주체로부터 수집되지 않은 경우, 소스에 관한 이용 가능한 정보

(h)

22 (1) (4)에 언급 된 프로파일 링을 포함하는 자동화 된 의사 결정의 존재, 그리고 적어도 그러한 경우에는 관련된 논리에 대한 의미있는 정보와 그러한 처리의 중요성 및 예상되는 결과 데이터 주체.

2. 개인 데이터가 제 3 국 또는 국제기구로 이전되는 경우 데이터 주체는 이전과 관련하여 제 46 조에 따라 적절한 안전 장치를 통보받을 권리를 가진다.

3. 컨트롤러는 처리중인 개인 데이터의 사본을 제공해야합니다. 데이터 주체가 요청한 추가 사본의 경우, 관제사는 관리 비용을 기준으로 합리적인 요금을 부과 할 수 있습니다. 데이터 주체가 전자적 수단으로 요청할 경우 그리고 데이터 주체가 달리 요구하지 않는 한, 정보는 일반적으로 사용되는 전자 형식으로 제공되어야한다.

4. 3 항에 언급 된 사본을 얻을 권리는 타인의 권리와 자유에 해를 끼치 지 않아야한다.

섹션 3

정류 및 삭제

 

16

 

수정 권리

 

데이터 주체는 부당한 지연없이 그 또는 그녀에 관한 부정확 한 개인 데이터의 수정을 컨트롤러로부터 얻을 권리가있다. 처리의 목적을 고려하여 데이터 주체는 보충 설명을 제공하는 것을 포함하여 불완전한 개인 데이터를 완료 할 수있는 권리를가집니다.


17 조 

지우 권리 ( '잊을 권리')

 

1. 데이터 주체는 부당한 지체없이 그와 관련된 개인 데이터의 삭제를 컨트롤러로부터받을 권리를 가지며, 컨트롤러는 다음 근거 중 하나가 적용되는 경우 부당한 지체없이 개인 정보를 지울 의무가 있습니다.

(에이)

개인 데이터는 수집되거나 처리되는 목적과 관련하여 더 이상 필요하지 않습니다.

()

데이터 주체는 제 6 조제 1 항의 요점 (a) 또는 조약 제 9 조제 2 항의 요지 (a)에 따라 처리의 근거가되는 동의를 철회하고 처리를위한 다른 법적 근거가없는 경우;

(기음)

데이터 주체는 제 21 (1)에 따른 처리를 반대하며, 처리에 대한 우선적 인 근거 또는 제 21 (2)에 따른 처리 대상 데이터 개체가 없다.

()

개인 데이터가 불법적으로 처리되었습니다.

(이자형)

개인 데이터는 컨트롤러가 적용되는 연방 또는 회원국 법률의 법적 의무 준수를 위해 지워 져야합니다.

(에프)

개인 데이터는 제 8 (1)에 언급 된 정보 사회 서비스 제공과 관련하여 수집되었습니다.

2. 관제사가 개인 정보를 공개하고 제 1 항에 따라 개인 정보를 삭제할 의무가있는 경우, 관제사는 이용 가능한 기술 및 시행 비용을 고려하여 기술 조치를 포함한 합리적인 조치를 취하여 제어기 이는 데이터 주체가 해당 개인 데이터에 대한 링크 또는 복사 또는 복제를 그러한 컨트롤러가 삭제하도록 요청한 개인 데이터를 처리하는 것입니다.

3. 1 항 및 제 2 항은 가공이 필요한 범위에는 적용하지 아니한다.

(에이)

표현과 정보의 자유권 행사를위한

()

관할권이있는 연합 또는 회원국 법률에 의한 처리를 요구하거나 공공의 이익을 위해 또는 관제사에게 부여 된 공무 권한 행사에서 수행 된 업무 수행을 요구하는 법적 의무 준수;

(기음)

9 (2) 및 제 9 (3)의 요점 (h) (i)에 따라 공중 보건 영역에 대한 공공의 이익을 이유로;

()

1 항에 언급 된 권리가 그 목적의 달성을 불가능하게하거나 심각하게 저해 할 가능성이있는 한 공공의 이익, 과학적 또는 역사적 연구 목적 또는 제 89 (1) 처리; 또는

(이자형)

법적 요구 사항의 수립, 행사 또는 방어를위한


18

 

가공 제한 권리

 

1. 데이터 주체는 다음 중 하나가 적용되는 경우 처리의 제한을 컨트롤러로부터 얻을 권리를 가진다 :

(에이)

개인 데이터의 정확성은 컨트롤러가 개인 데이터의 정확성을 확인할 수있게하는 기간 동안 데이터 주체와 경쟁합니다.

()

그 처리는 불법이며 데이터 주체는 개인 데이터의 삭제에 반대하며 대신에 사용 제한을 요청합니다.

(기음)

컨트롤러는 더 이상 처리 목적으로 개인 데이터가 필요하지 않지만 법적 요구 사항의 수립, 실행 또는 방어를 위해 데이터 주체가 필요로합니다.

()

데이터 주체는 합법적 인 근거가 데이터 주체보다 우선하는지 여부를 확인하기까지 제 21 (1) 항에 따라 처리를 거부했다.

2. 1 항에 따라 처리가 제한된 경우, 그러한 개인 데이터는 저장을 제외하고는 데이터 주체의 동의 또는 법적 청구의 설정, 행사 또는 방어 또는 타인의 권리 보호를 위해서만 처리되어야한다 자연인 또는 법인 인 또는 연합 또는 회원국의 중요한 공익을 이유로

3. 1 항에 따른 처리 제한을 획득 한 데이터 주체는 처리 제한이 해제되기 전에 통제자에 의해 통보되어야한다.

19

 

개인 정보의 수정 또는 삭제 또는 처리 제한에 관한 통지 의무

 

통제자는 제 16 , 17 (1) 및 제 18 조에 따라 수행 된 개인 정보의 정류 또는 삭제 또는 개인 정보가 공개 된 각 수령인에게이 사실이 불가능하다고 증명되거나 불균형을 초래하지 않는 한 노력. 컨트롤러는 데이터 주체가 요청할 경우 데이터 수신자에게 데이터 주체에게이를 알려야한다.


20

 

데이터 이식성에 대한 권리

 

1. 데이터 주체는 구조화되고 일반적으로 사용되며 기계가 읽을 수있는 형식으로 컨트롤러에 제공 한 개인 데이터를 수신 할 권리가 있으며 데이터를 다른 사람에게 전송할 권리가 있습니다 컨트롤러가 방해받지 않고 개인 데이터가 제공되는 컨트롤러에서 다음을 수행 할 수 있습니다.

(에이)

그 처리는 제 6 조제 1 항의 요점 (a) 또는 제 9 조제 2 항의 요지 (a) 또는 제 6 조제 1 항 요점 (b)에 따른 계약에 따른 동의에 기초한다.

()

처리는 자동화 된 수단에 의해 수행된다.

2. 1 항에 따라 데이터 이식성에 대한 권리를 행사할 때, 데이터 주체는 기술적으로 실현 가능한 한 개인용 데이터를 한 컨트롤러에서 다른 컨트롤러로 직접 전송할 수있는 권리를 가진다.

3.이 조 제 1 항에 언급 된 권리 행사는 제 17 조를 침해하지 아니한다.이 권리는 공공의 이익 또는 공식적인 권한 행사에서 수행 된 업무 수행에 필요한 처리에는 적용되지 아니한다. 컨트롤러에 있음.

4. 1 항에 언급 된 권리는 타인의 권리와 자유에 불리한 영향을 미치지 아니한다.

섹션 4

개인 의사 결정을 반대하고 자동화하는 권리

 

21

 

반대 할 권리

 

1. 데이터 주체는 자신의 특정 상황과 관련하여 언제든지 제 6 (e) 또는 (f) 항에 근거한 개인 정보 처리에 이의를 제기 할 수있는 권리를 가진다. 1). 컨트롤러는 데이터 주체의 이익, 권리 및 자유를 대체하는 법적 근거의 입증, 합법적 인 근거를 입증하거나 법적 요구 사항의 설정, 실행 또는 방어를 위해 컨트롤러가 더 이상 개인 데이터를 처리하지 않습니다.

2. 직접 마케팅 목적으로 개인 데이터가 처리되는 경우, 데이터 주체는 언제든지 그러한 마케팅과 관련한 개인 데이터 처리에 이의를 제기 할 권리가 있으며, 여기에는 직접 마케팅.

3. 직접 마케팅 목적으로 데이터 주체가 처리 대상이되는 경우 개인 데이터는 더 이상 그러한 목적으로 처리되지 않습니다.

4. 늦어도 데이터 주체와 처음으로 의사 소통 할 당시 제 1 항과 제 2 항에 언급 된 권리는 명시 적으로 데이터 주체의주의를 끌며 다른 정보와는 명확하고 별도로 제시되어야한다.

5. 정보 사회 서비스의 사용과 관련하여, 지침 2002 / 58 / EC에도 불구하고, 데이터 주체는 기술 사양을 사용하여 자동화 된 방법으로 이의 제기 대상자가 될 수 있습니다.

6. 89 (1) 항에 따라 과학적 또는 역사적 연구 목적 또는 통계 목적으로 개인 데이터가 처리되는 경우, 데이터 주체는 자신의 특정 상황과 관련하여 개인 데이터의 처리에 이의를 제기 할 권리가 있습니다. 공공의 이익을 이유로 수행 된 업무 수행을 위해 그 처리가 필요하지 않는 한 그 사람 또는 그 여자.


22

 

프로파일 링을 포함한 자동화 된 개별 의사 결정

 

1. 데이터 주체는 프로파일 링을 포함한 자동화 된 처리만을 기반으로 한 결정의 대상이되지 않아야하며, 그에 관한 법적 효력을 발생 시키거나 유사하게 유의 한 영향을 미친다.

2. 1 항은 다음의 결정이있는 경우에는 적용하지 아니한다.

(에이)

데이터 주체와 데이터 컨트롤러 간의 계약 체결 또는 이행에 필요합니다.

()

관할권이있는 연합 또는 회원국 법률에 의해인가되고 데이터 주체의 권리와 자유 및 정당한 이익을 보호하기위한 적절한 조치를 규정한다. 또는

(기음)

데이터 주체의 명시적인 동의를 기반으로합니다.

3. 2 항의 (a) (c)에서 언급 된 경우, 데이터 통제자는 데이터 주체의 권리와 자유 및 정당한 이익을 보호하기위한 적절한 조치, 적어도 그 부분에 대한 인간 개입을 얻을 수있는 권리 자신의 관점을 표현하고 결정에 이의를 제기 할 수 있습니다.

4. 2 항에 언급 된 결정은 제 9 (2)의 요지 (a) 또는 (g)가 적용되고 데이터를 보호하기위한 적절한 조치가없는 한, 9 (1)에 언급 된 개인 데이터의 특수한 범주에 근거하지 않아야한다. 피험자의 권리와 자유, 합법적 인 이해 관계가 있습니다.


섹션 5

제한 사항

 


23

 

제한 사항

 

1. 데이터 통제자 또는 가공업자가 적용되는 조합 또는 회원국 법률은 제 12 조 내지 제 22 조 및 제 34 조 및 제 5 조에 규정 된 의무 및 범위의 범위를 입법 조치를 통해 제한 할 수있다 그 규정이 제 12 조 내지 제 22 조에 규정 된 권리와 의무에 해당하기 때문에 그러한 제한이 기본적 권리와 자유의 본질을 존중하며,이를 보호하기위한 민주 사회에서 필요하고 균형 잡힌 조치이다.

(에이)

국가 안보;

()

방어;

(기음)

공공 안전;

()

공공 안전 위협에 대한 보호 및 방지를 포함한 형사 범죄의 예방, 조사, 탐지 또는 기소 및 형사 처벌;

(이자형)

연방 또는 회원국의 일반 대중의 이익, 특히 연방, 회원국의 중요한 경제적 또는 재정적 이익 (통화, 예산 및 세무, 사 회 보건 및 사회 보장 포함)의 기타 중요한 목표;

(에프)

사법의 독립과 사법 절차의 보호;

()

규제 된 직업에 대한 윤리 위반의 예방, 조사, 탐지 및 기소;

(h)

(a) ~ (e) (g) 항에 언급 된 경우 공식 기관의 행사에 때때로 연결되는 모니터링, 검사 또는 규제 기능.

(나는)

데이터 주체의 보호 또는 타인의 권리와 자유;

(j)

민법 청구의 집행.

2. 특히, 1 항에 언급 된 입 법적 조치는 적어도 관련있는 경우 다음과 같은 특정 조항을 포함해야한다.

(에이)

처리의 목적 또는 처리 범주;

()

개인 데이터의 범주;

(기음)

도입 된 제한의 범위;

()

학대 또는 불법적 인 접근이나 이전을 막기위한 보호 장치;

(이자형)

제어기의 명세 또는 제어기의 범주;

(에프)

처리 기간 또는 처리 카테고리의 성격, 범위 및 목적을 고려한 저장 기간 및 적용 가능한 안전 조치;

()

데이터 주체의 권리와 자유에 대한 위험;

(h)

제한에 대한 정보를받는 데이터 주체의 권리. 제한의 목적에 해를 끼칠 수없는 경우.




4

컨트롤러 및 프로세서



 

섹션 1

일반적인 의무

 


24

 

컨트롤러의 책임

 

1. 자연인의 권리와 자유에 대한 가능성과 중대성의 다양성의 위험뿐만 아니라 가공의 성질, 범위, 배경 및 목적을 고려하여, 통제자는 적절한 기술과 조직적 조치를 취하여이를 보장하고 이행 할 수 있어야한다. 처리가 본 규정에 따라 수행됨을 입증해야한다. 그러한 조치는 필요한 경우 검토되고 갱신되어야한다.

2. 처리 활동과 비례하는 경우 제 1 항에 언급 된 조치는 통제자에 의한 적절한 데이터 보호 정책의 이행을 포함해야한다.

3. 40 조에 언급 된 승인 된 행동 규범 또는 제 42 조에 언급 된 승인 된 인증 메커니즘의 준수는 통제자의 의무 준수를 입증하는 요소로 사용될 수있다.

25

 

설계 및 기본적으로 데이터 보호

 

1. 처리 상태에 따른 자연인의 권리와 자유에 대한 가능성 및 중대성의 다양성의 위험뿐만 아니라 최신 기술, 시행 비용 및 처리의 성질, 범위, 배경 및 목적을 고려하여, 제어기 처리 수단 결정시와 처리 자체에서 데이터 최소화와 같은 데이터 보호 원칙을 구현하도록 설계된 가명 (pseudonymisation)과 같은 적절한 기술 및 조직 조치를 구현해야한다. 이 규정의 요구 사항을 충족시키고 데이터 주체의 권리를 보호하기 위해 효과적인 방책을 수립하고 필요한 안전 장치를 처리 과정에 통합 할 것을 요구합니다.

2. 컨트롤러는 기본적으로 처리의 각 특정 목적에 필요한 개인 데이터 만 처리되도록하는 적절한 기술 및 조직 조치를 취해야합니다. 이러한 의무는 수집 된 개인 데이터의 양, 처리 범위, 저장 기간 및 접근 가능성에 적용됩니다. 특히 그러한 조치는 기본적으로 개인 데이터가 불특정 다수의 자연인에 개입하지 않고는 접근 할 수 없도록 보장해야한다.

3. 42 조에 따라 승인 된 인증 메커니즘은 본 조의 1 항과 2 항에 규정 된 요구 사항을 준수 함을 입증하는 요소로 사용될 수있다.


26

 

조인트 컨트롤러

 

1. 두 명 이상의 관제사가 공동으로 관제 목적과 수단을 결정하는 경우 관할 관제사가되어야한다. 그들은 특히 정보 주체 권리의 행사와 제 13 조 및 제 14 조에 언급 된 정보를 제공하기위한 각자의 의무에 관하여이 규정에 따른 의무 이행에 대한 각자의 책임을 투명하게 결정한다. 컨트롤러의 각 책임은 컨트롤러가 대상이되는 연방 또는 회원국 법률에 의해 결정되지 않는 한 그들 사이의 약정을 의미한다. 협의는 데이터 주체에 대한 접촉점을 지정할 수 있습니다.

2. 1 항에 언급 된 배열은 정당 각각의 역할과 공동 컨트롤러의 관계를 반영하여야한다 마주 데이터 주제. 합의의 본질은 데이터 주체가 이용할 수 있어야한다.

3. 1 항에 언급 된 약정의 조건에 관계없이, 데이터 주체는 각 감독 기관에 대하여 본 규정에 따라 자신의 권리를 행사할 수있다.

27

 

조합에 설립되지 않은 컨트롤러 또는 프로세서 대표

 

1. 조약 제 3 (2) 항이 적용되는 경우, 조정관 또는 조정관은 연합에 대표를 서면으로 지명한다.

2.이 조 제 1 항에 규정 된 의무는 다음에 적용되지 아니한다.

(에이)

9 (1)에 언급 된 특수한 범주의 데이터 처리 또는 제 10 조에 언급 된 범죄 유죄 판결 및 범죄와 관련된 개인 데이터의 처리를 대규모로 포함하지 않으며, 처리의 성격, 배경, 범위 및 목적을 고려하여 자연인의 권리와 자유에 대한 위험을 초래한다. 또는

()

공공 기관 또는 기관.

3. 대리인은 개인 데이터가 그들에게 제공되는 재화 나 용역과 관련하여 처리되거나 그 행동이 감시되는 데이터 주체가있는 회원국 중 하나에 설립된다.

4. 대리인은 규정 준수를 보장하기 위해 처리와 관련된 모든 문제에 대해 특히 감독 당국 및 데이터 주체에 의해 컨트롤러 또는 프로세서에 추가하여 또는 컨트롤러 또는 프로세서 대신 처리되어야하는 컨트롤러 또는 프로세서에 의해 위임되어야한다 이 규정.

5. 컨트롤러 또는 프로세서에 의한 대리인의 지정은 컨트롤러 또는 프로세서 자체에 대해 개시 될 수있는 법적 조치를 침해하지 않아야한다.


28

 

프로세서

 

1. 제어기가 제어기를 대신하여 수행되는 경우, 제어기는 적절한 기술적 및 조직적 조치를 이행하기에 충분한 보증을 제공하는 프로세서만을 사용하여 처리가 본 규정의 요구 사항을 충족시키고 데이터 주체의 권리.

2. 프로세서는 컨트롤러의 특정 또는 일반 서면 승인없이 다른 프로세서와 결합해서는 안됩니다. 일반적인 서면 승인의 경우, 프로세서는 다른 프로세서의 추가 또는 교체와 관련된 의도 된 변경 사항을 컨트롤러에 알려야하므로 컨트롤러가 그러한 변경 사항을 거부 할 기회를 제공해야합니다.

3. 프로세서에 의한 처리는 연방 또는 회원국 법률에 따른 계약 또는 기타 법적 행위에 의해 규율되며, 이는 컨트롤러와 관련하여 프로세서에 구속력을 가지며 처리의 주제 및 기간, 성질 처리의 목적, 개인 데이터의 유형 및 데이터 주체의 범주와 컨트롤러의 의무 및 권리를 포함합니다. 그 계약 또는 기타 법적 행위는 특히 프로세서를 다음과 같이 규정해야한다.

(에이)

개인 데이터를 제 3 국 또는 국제기구로 이전하는 경우를 포함하여, 해당 프로세서가 적용되는 연방 또는 회원국 법에 의해 요구되지 않는 한, 컨트롤러의 문서화 된 지침에 한해서만 개인 데이터를 처리합니다. 그러한 경우 가공업자는 가공에 앞서 해당 법적 요구 사항을 제어기에 통보해야한다. , 해당 법이 공익의 중요한 근거에 관한 정보를 금지하는 경우는 예외로한다.

()

개인 정보를 처리하도록 허가 된 사람이 기밀 유지를 위해 최선을 다했거나 적절한 기밀 유지 의무가 있음을 보장합니다.

(기음)

32 조에 따라 요구되는 모든 조치를 취한다.

()

다른 프로세서를 사용하기 위해 제 2 항 및 제 4 항에 언급 된 조건을 존중합니다.

(이자형)

처리의 본질을 고려하여 제 3 장에 명시된 데이터 주체의 권리를 행사하기위한 요청에 응답하는 제어기의 의무 이행을 위해 적절한 기술적 및 조직적 조치를 취함으로써 제어기를 지원한다.

(에프)

처리의 성격과 가공업자가 이용할 수있는 정보를 고려하여 제 32 조 내지 제 36 조에 따른 의무 이행을 보증함에있어 감독자를 보조한다.

()

컨트롤러 선택에 따라 처리 관련 서비스 제공이 종료 된 후 컨트롤러에 모든 개인 데이터를 삭제 또는 반환하고 연합 또는 회원국 법률에 따라 개인 데이터를 저장해야하는 경우를 제외하고 기존 사본을 삭제합니다.

(h)

이 조에 규정 된 의무를 준수하고 컨트롤러에 의해 수행되는 감사원이나 감독관이 수행 한 감사를 포함하여 감사 및 기여에 필요한 모든 정보를 사용할 수 있도록합니다.

첫 번째 하위 항목 (h)과 관련하여 프로세서는 자신의 의견으로이 규정이나 다른 연합 또는 회원국의 데이터 보호 조항을 침해하는 명령이있을 경우 즉시 컨트롤러에 알려야합니다.

4. 프로세서가 컨트롤러를 대신하여 특정 처리 작업을 수행하기 위해 다른 프로세서를 사용하는 경우 제 3 항에 언급 된 컨트롤러와 프로세서 간의 계약 또는 기타 법적 행위에 명시된 것과 동일한 데이터 보호 의무가 부과됩니다 특히 가공이 본 규정의 요구 사항을 충족시키는 방식으로 적절한 기술 및 조직 조치를 이행 할 수있는 충분한 보증을 제공하는 계약 또는 기타 합법적 인 행위를 통해 다른 프로세서에 적용됩니다. 다른 프로세서가 데이터 보호 의무를 이행하지 못하는 경우, 초기 프로세서는 다른 프로세서의 의무 이행을 위해 컨트롤러에게 전적으로 책임을 져야합니다.

5. 40 조에 언급 된 승인 된 행동 강령 또는 제 42 조에서 언급 된 승인 된 인증 메커니즘에 대한 프로세서의 준수는 제 1 항 및 제 4 항에 언급 된 충분한 보증을 입증하는 요소로 사용될 수있다. 이 조항.

6. 컨트롤러와 프로세서 간의 개별 계약을 침해 함이없이, 본 조의 3 항과 4 항에 언급 된 계약 또는 기타 법적 행위는 전체 또는 부분적으로 단락에서 언급 된 표준 계약 조항 제 7 조 및 제 8 조에 규정 된 경우를 제외하고는 제 42 조 및 제 43 조에 따라 조종사 나 가공업 자에게 부여 된 인증의 일부분을 포함한다.

7. 집행위원회는 본조 제 3 항 및 제 4 항에 언급 된 사항과 제 93 (2)에 언급 된 심사 절차에 따라 표준 계약 조항을 정할 수있다.

8. 감독 당국은이 조 제 3 항 및 제 4 항에 언급 된 문제와 제 63 조에 언급 된 일관성 메커니즘에 따라 표준 계약 조항을 채택 할 수있다.

9. 3 항 및 제 4 항에 언급 된 계약 또는 기타 법적 행위는 전자 형식을 포함하여 서면으로 이루어져야한다.

10. 82 , 83 조 및 제 84 조를 침해 함이없이 프로세서가 목적 및 처리 수단을 결정하여이 규정을 침해한다면 프로세서는 그 처리와 관련하여 컨트롤러로 간주된다.


29

 

컨트롤러 또는 프로세서의 권한하에 처리

 

프로세서 및 프로세서 또는 컨트롤러의 권한하에있는 사람 (개인 데이터에 액세스 할 수있는 사람)은 연방 또는 회원국 법률에 따라 그렇게 요구되지 않는 한 컨트롤러의 지침을 제외한 데이터를 처리하지 않아야합니다.


30

 

가공 활동 기록

 

1. 각 컨트롤러 및 해당되는 경우 컨트롤러의 담당자는 책임하에 처리 활동 기록을 유지해야합니다. 그 기록에는 다음의 모든 정보가 포함되어야한다 :

(에이)

컨트롤러 및 해당되는 경우 공동 컨트롤러, 컨트롤러의 대표 및 데이터 보호 책임자의 이름 및 연락처 세부 정보

()

가공의 목적;

(기음)

데이터 주체의 범주와 개인 데이터의 범주에 대한 설명;

()

3 국 또는 국제기구의 수령자를 포함하여 개인 정보가 공개되었거나 공개 될 수혜자의 범주;

(이자형)

3 국 또는 국제기구의 확인을 포함하여 개인 데이터를 제 3 국 또는 국제기구에 이관하는 경우, 그리고 제 49 (1)의 두 번째 하위 조항에 언급 된 이전의 경우 적절한 서류 보호 장치;

(에프)

가능한 경우, 서로 다른 범주의 데이터를 삭제할 때 고려해야 할 시간 제한

()

가능한 경우 제 32 (1) 항에 언급 된 기술 및 조직 보안 조치에 대한 일반적인 설명.

2. 각 프로세서 및 적용 가능한 경우 프로세서 대표는 컨트롤러를 대신하여 수행되는 모든 종류의 처리 활동에 대한 기록을 유지해야하며 다음을 포함해야합니다.

(에이)

프로세서 또는 프로세서와 프로세서가 작동하는 각 컨트롤러의 이름과 연락처 정보 및 해당되는 경우 컨트롤러 또는 프로세서의 담당자 및 데이터 보호 담당자.

()

각 제어기를 대신하여 수행되는 처리의 범주;

(기음)

3 국 또는 국제기구의 확인을 포함하여 개인 데이터를 제 3 국 또는 국제기구에 이관하는 경우, 그리고 제 49 (1)의 두 번째 하위 조항에 언급 된 이전의 경우 적절한 서류 보호 장치;

()

가능한 경우 제 32 (1) 항에 언급 된 기술 및 조직 보안 조치에 대한 일반적인 설명.

3. 1 항 및 제 2 항에 언급 된 기록은 전자 형식을 포함하여 서면으로 작성되어야한다.

4. 제어기 또는 프로세서 및 해당되는 경우 제어기 또는 프로세서의 대표는 요청에 따라 감독 당국에 기록을 제공해야한다.

5. 1 항과 제 2 항에 언급 된 의무는 그것이 수행하는 처리가 데이터 주체의 권리와 자유에 위험을 초래할 가능성이있는 경우를 제외하고는 250 명 미만을 고용하는 기업이나 조직에는 적용되지 아니한다. 9 (1)에 언급 된 특수한 범주의 데이터 또는 제 10 조에 언급 된 범죄 유죄 판결 및 범죄와 관련된 개인 데이터를 포함합니다.

31

 

감독 당국과의 협력

 

제어기와 프로세서 및 적용 가능한 경우 대리인은 요청에 따라 감독 기관과 업무 수행에 협력해야한다.

섹션 2

개인 정보의 보안

 

32

 

처리 보안

 

1. 자연인, 제어기 및 프로세서의 권리와 자유에 대한 가능성과 중대성의 다양성의 위험뿐만 아니라 최신 기술, 구현 비용 및 처리의 성질, 범위, 배경 및 목적을 고려함 적절한 경우를 포함하여 위험에 적절한 수준의 보안을 보장하기 위해 적절한 기술 및 조직 조치를 취해야한다.

(에이)

개인 정보의 가명 및 암호화;

()

처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성 및 복원력을 보장 할 수있는 능력;

(기음)

물리적 또는 기술적 인 사고가 발생할 경우 적시에 개인 데이터 가용성 및 액세스를 복원 할 수있는 능력.

()

처리의 보안을 보장하기위한 기술 및 조직 조치의 효과 성을 정기적으로 테스트하고, 평가하고 평가하는 프로세스입니다.

2. 보안 계정의 적절한 수준을 평가할 때 처리, 특히 우발적 또는 불법적 인 파기, 손실, 변경, 허가받지 않은 공개 또는 전송, 저장 또는 기타 개인 데이터에 대한 액세스로부터 발생하는 위험을 특히 고려해야합니다 처리됨.

3. 40 조에 언급 된 승인 된 행동 규범 또는 제 42 조에 언급 된 승인 된 인증 메커니즘을 준수하는 것은 본 조 제 1 항에 규정 된 요구 사항을 준수 함을 입증하는 요소로 사용될 수있다.

4. 컨트롤러 및 프로세서는 컨트롤러의 지시하에 수행하는 자연인 또는 개인 데이터에 액세스하는 프로세서가 자신이 수행해야하는 경우를 제외하고는 컨트롤러의 지시를 제외하고 처리하지 못하도록 조치해야합니다 그래서 연방 또는 회원국 법에 따라.


33

 

감독 당국에 대한 개인 정보 유출 통지

 

1. 개인 데이터 유출의 경우, 컨트롤러는 부당한 지체없이 실행 가능한 경우 72 시간 이내에이를 알게되고, 개인 데이터 유출을 제 55 조에 따라 유능한 감독 당국에 통보하고, 개인 정보 침해로 인하여 자연인의 권리와 자유가 위험에 처하게되는 경우는 예외입니다. 감독 당국에 대한 통고가 72 시간 이내에 이루어지지 않을 경우, 지연 사유가 수반되어야한다.

2. 프로세서는 개인 데이터 유출을 인식 한 후 부당한 지연없이 컨트롤러에 알립니다.

3. 1 항에 언급 된 통보는 적어도 다음을 행하여야한다 :

(에이)

가능한 경우 개인 데이터 침해의 성격, 관련 데이터 주체의 범주 및 대략적인 수, 관련 개인 데이터 기록의 범주 및 대략적인 수를 설명합니다.

()

더 많은 정보를 얻을 수있는 데이터 보호 담당자 또는 기타 연락 담당자의 이름과 연락처를 알려주십시오.

(기음)

개인 데이터 유출로 인한 결과를 설명합니다.

()

적절한 경우 부작용 가능성을 완화하기위한 조치를 포함하여 개인 데이터 유출 문제를 해결하기 위해 컨트롤러가 취하거나 취할 조치를 설명합니다.

4. 동시에 정보를 제공 할 수없는 한, 정보는 과도한 지연없이 단계적으로 제공 될 수 있습니다.

5. 컨트롤러는 개인 데이터 유출, 그 결과 및 취한 조치와 관련된 사실을 포함하여 모든 개인 데이터 유출을 문서화해야합니다. 그 서류는 감독 당국이이 조항의 준수를 검증 할 수 있도록해야한다.


34

 

개인 데이터 침해와 데이터 주체의 커뮤니케이션

 

1. 개인 데이터 유출이 자연인의 권리와 자유에 대한 높은 위험을 초래할 가능성이있는 경우, 관제사는 과도한 지연없이 개인 데이터 유출 사실을 데이터 주체에게 알려야합니다.

2.이 조 제 1 항에 언급 된 데이터 주체와의 커뮤니케이션은 개인 정보 유출의 성격을 명확하고 평이한 언어로 기술해야하고 최소한 (b), (c) 및 제 33 조제 3 항의 규정 (d).

3. 1 항에 언급 된 데이터 주체와의 통신은 다음 조건 중 어느 하나라도 충족되면 요구되지 않아야한다.

(에이)

컨트롤러는 적절한 기술 및 조직 보호 조치를 구현했으며 이러한 조치는 개인 데이터 유출로 인해 영향을받은 개인 데이터, 특히 개인 데이터를 암호화와 같이 액세스 권한이없는 사람이 이해할 수 없도록 만드는 데이터에 적용됩니다 ;

()

관제사는 제 1 항에 언급 된 데이터 주체의 권리와 자유에 대한 높은 위험이 더 이상 실현 될 수 없음을 보장하는 후속 조치를 취했다.

(기음)

그것은 불균형 한 노력을 수반 할 것입니다. 그러한 경우에 대신에 대중과의 의사 소통 또는 이와 유사한 방법으로 데이터 주체에게 똑같이 효과적인 방법으로 통보해야한다.

4. 컨트롤러가 아직 데이터 주체와 개인 데이터 유출을 전달하지 않은 경우, 개인 데이터 유출 가능성이 높은 위험을 초래 한 감독 당국은이를 요구할 수도 있고, 3 항에 언급 된 조건이 충족된다.

섹션 3

데이터 보호 영향 평가 및 사전 협의

 

35

 

데이터 보호 영향 평가

 

1. 특히 신기술을 사용하여 가공의 성질, 범위, 배경 및 목적을 고려한 가공의 유형이 자연인의 권리와 자유에 대한 높은 위험을 초래할 가능성이있는 경우, 처리하기 전에 개인 데이터 보호에 대한 예상 된 처리 작업의 영향에 대한 평가를 수행해야합니다. 단일 평가는 비슷한 위험을 제시하는 일련의 유사한 처리 작업을 처리 할 수 ​​있습니다.

2. 제어기는 데이터 보호 영향 평가를 수행 할 때 지정된 경우 데이터 보호 책임자의 조언을 구해야한다.

3. 1 항에 언급 된 데이터 보호 영향 평가는 특히 다음 경우에 요구된다.

(에이)

프로파일 링을 포함하여 자동 처리에 기초한 자연인과 관련된 개인적 측면의 체계적이고 광범위한 평가, 그리고 자연인에 관한 법적 효력을 발생 시키거나 자연적으로 사람에게 유의미한 영향을주는 의사 결정에 기반한 결정;

()

9 (1)에 언급 된 대규모 특수 데이터 범주에 대한 처리 또는 제 10 조에 언급 된 범죄 유죄 판결 및 범죄와 관련된 개인 데이터의 처리; 또는

(기음)

공개적으로 접근 가능한 지역을 대규모로 체계적으로 모니터링합니다.

4. 감독 당국은 제 1 항에 따라 데이터 보호 영향 평가의 대상이되는 종류의 가공 작업 목록을 수립하고 공개하여야한다. 감독 당국은 제 68 조에 언급 된위원회 .

5. 감독 당국은 또한 데이터 보호 영향 평가가 요구되지 않는 종류의 처리 작업 목록을 공개하고 공개 할 수있다. 감독 당국은 이사회에 그 명단을 통보하여야한다.

6. 4 항 및 제 5 항에 언급 된 목록의 채택에 앞서, 권한있는 감독 당국은 제 63 조에서 언급 된 일관성 메커니즘을 그러한 목록이 데이터 주체에 대한 재화 또는 용역의 제공과 관련된 처리 활동을 포함하도록 적용하여야한다 또는 여러 회원국에서 그들의 행동을 모니터링하는 데 또는 연합 내 개인 데이터의 자유로운 이동에 실질적으로 영향을 미칠 수 있습니다.

7. 평가는 적어도 다음을 포함해야한다 :

(에이)

적용 가능한 경우 컨트롤러에 의해 추구 된 합법적 인 이익을 포함하여 예상되는 처리 작업 및 처리 목적에 대한 체계적인 설명

()

목적과 관련한 공정 운영의 필요성과 비례 성의 평가.

(기음)

1 항에 언급 된 데이터 주체의 권리와 자유에 대한 위험 평가 과

()

보안 대책, 개인 정보 보호를 보장하는 메커니즘 및 데이터 주체 및 기타 관련자의 권리와 적법한 이해를 고려하여이 규정을 준수 함을 입증하는 메커니즘을 포함한 위험을 다루기 위해 고안된 조치.

8. 관련 제어기 또는 프로세서에 의해 제 40 조에 언급 된 승인 된 행동 강령을 준수하는 것은 특히 데이터 보호 영향을 목적으로 해당 제어기 또는 프로세서에 의해 수행 된 처리 작업의 영향을 평가할 때 적절히 고려되어야한다 평가.

9. 적절하다면, 관제사는 상업적 또는 공공의 이익 보호 또는 가공 운영의 보안을 침해 함이없이 의도 된 절차에 따라 데이터 주체 또는 그 대리인의 견해를 찾는다.

10. 조약 제 6 (1) (c) 또는 (e)에 따른 처리가 연합법 또는 통제 대상이되는 회원국의 법에 법적 근거가있는 경우, 그 법은 특정 처리 작업을 규제하거나 해당 법적 근거의 채택과 관련하여 일반적인 영향 평가의 일부로 데이터 보호 영향 평가가 이미 수행되었으므로 회원국이 필요하다고 판단하지 않는 한 1 ~ 7 항이 적용되지 않습니다 활동을 처리하기 전에 그러한 평가를 수행해야합니다.

11. 필요하다면, 통제자는 적어도 가공 작업에 의해 대표되는 위해성의 변화가있을 때 데이터 보호 영향 평가에 따라 가공이 수행되는지 평가하기위한 검토를 수행해야한다.

36

 

사전 상담

 

1. 관제사는 제 35 조에 의거 한 데이터 보호 영향 평가에서 해당 관제 기관이 위험을 완화하기 위해 취한 조치가 없을 경우 처리가 높은 위험을 초래할 것이라는 점을 나타내는 처리 전에 감독 당국과 협의해야한다.

2. 감독 당국이 제 1 항에 언급 된 의도 된 처리가이 규정을 침해 할 것이라는 의견이있는 경우, 특히 감독자가 위험을 충분 히 식별하지 못하거나 완화시킨 경우 감독 당국은 8 주까지 협의 요청 접수, 관제사에게 서면 조언을 제공하며, 해당되는 경우 프로세서에 적용 할 수 있으며 제 58 조에 언급 된 권한을 사용할 수 있습니다.이 기간은 6 개월 연장 될 수 있습니다. 의도 한 처리. 감독 당국은 지연 사유와 함께 협의 요청의 수령 후 1 개월 이내에 제어기 및 해당되는 경우 프로세서에게 그러한 연장을 통보하여야한다.

3. 감독관은 제 1 항에 따라 감독 당국과 협의 할 때 감독 당국에 다음을 제공해야한다.

(에이)

적용 가능한 경우, 특히 작업반 그룹 내에서의 처리를 위해 가공에 관여 된 제어기, 조인트 제어기 및 프로세서의 각 책임;

()

의도 된 처리의 목적 및 수단;

(기음)

이 규정에 따라 데이터 주체의 권리와 자유를 보호하기위한 조치와 보호 장치

()

해당하는 경우 데이터 보호 담당자의 연락처 세부 정보

(이자형)

35 조에 규정 된 데이터 보호 영향 평가;

(에프)

감독 당국이 요청한 기타 모든 정보.

4. 회원국은 국가 의회에서 채택 할 입법 조치에 대한 제안 또는 처리와 관련된 입법 조치에 기초한 규제 조치의 준비 과정에서 감독 당국과 협의해야한다.

5. 1 항에도 불구하고, 회원국 법률은 통제자가 공익을 위해 수행 한 업무 수행을 위하여 통제자에 의한 처리와 관련하여 감독 당국과 협의하고 사전 승인을 얻도록 요구할 수있다. 사회 보호 및 공중 보건과 관련하여


섹션 4

데이터 보호 관리자

 

37

 

데이터 보호 책임자 지정

 

1. 컨트롤러와 프로세서는 다음 경우에 데이터 보호 책임자를 지정해야합니다.

(에이)

공무원이나 사법 기관에 의해 처리되며, 사법 능력을 발휘하는 법원을 제외하고는;

()

컨트롤러 또는 프로세서의 핵심 활동은 본질, 범위 및 / 또는 목적에 따라 대규모로 데이터 주체를 정기적으로 체계적으로 모니터링해야하는 처리 작업으로 구성됩니다. 또는

(기음)

컨트롤러 또는 프로세서의 핵심 활동은 제 9 조에 따른 대규모 특수 데이터 범주의 처리와 제 10 조에 언급 된 범죄 유죄 판결 및 위반에 관한 개인 데이터로 구성됩니다.

2. 사업 단체는 데이터 보호 책임자가 각 시설에서 쉽게 접근 할 수있는 경우 단일 데이터 보호 책임자를 임명 할 수 있습니다.

3. 컨트롤러 또는 프로세서가 공공 기관 또는 단체 인 경우, 단일 조직의 구조와 규모를 고려하여 여러 기관 또는 기관에 단일 데이터 보호 책임자를 지정할 수 있습니다.

4. 1 항에 언급 된 경우 이외의 경우, 제어기 또는 가공업 자의 범주를 나타내는 제어기 또는 가공업자 또는 협회 및 기타 단체는 연방 또는 회원국의 법에 따라 필요한 경우 데이터 보호 책임자를 지정할 수있다. 데이터 보호 관리자는 그러한 협회 및 컨트롤러 또는 프로세서를 대표하는 기타 단체를 위해 행동 할 수 있습니다.

5. 데이터 보호 책임자는 전문적인 자질, 특히 데이터 보호법 및 관행에 관한 전문 지식과 제 39 조에 언급 된 임무를 수행 할 수있는 능력에 기초하여 지정되어야한다.

6. 데이터 보호 관리자는 컨트롤러 또는 프로세서의 직원이거나 서비스 계약을 토대로 작업을 수행 할 수 있습니다.

7. 컨트롤러 또는 프로세서는 데이터 보호 책임자의 연락처 정보를 게시하여 감독 당국에 전달해야합니다.

38

 

데이터 보호 관리자의 위치

 

1. 컨트롤러와 프로세서는 개인 정보 보호와 관련된 모든 문제에 데이터 보호 책임자가 적절하고시기 적절하게 관련되도록 보장해야합니다.

2. 제어기와 프로세서는 제 39 조에 언급 된 업무를 수행함에있어 데이터 보호 책임자가 그러한 업무를 수행하고 개인 정보 및 처리 업무에 접근하고 자신의 전문 지식을 유지하는 데 필요한 자원을 제공하도록 지원해야한다.

3. 컨트롤러와 프로세서는 데이터 보호 책임자가 이러한 작업을 수행하는 데 관한 지침을받지 않도록해야합니다. 그 또는 그녀는 자신의 임무를 수행하기 위해 감독관이나 처리자에 의해 해고되거나 처벌되어서는 안된다. 데이터 보호 관리자는 컨트롤러 또는 프로세서의 최고 관리 수준에 직접보고해야합니다.

4. 데이터 주체는 개인 정보 처리 및이 규정에 따른 권리 행사와 관련된 모든 문제와 관련하여 데이터 보호 책임자에게 연락 할 수 있습니다.

5. 데이터 보호 관리자는 연합 또는 회원국 법에 따라 자신의 업무 수행과 관련한 기밀성 또는 기밀 유지 의무를 지닙니다.

6. 데이터 보호 관리자는 다른 업무와 의무를 수행 할 수 있습니다. 컨트롤러 또는 프로세서는 그러한 업무와 의무가 이익 충돌을 초래하지 않도록 보장해야한다.

39

 

데이터 보호 관리자의 작업

 

1. 데이터 보호 관리자는 최소한 다음 작업을 수행해야합니다.

(에이)

본 규정 및 다른 연합 또는 회원국의 데이터 보호 조항에 따라 자신의 의무 처리를 수행하는 조정관, 프로세서 및 직원을 알리고 조언을 제공해야합니다.

()

본 규정의 준수 여부, 다른 연합 또는 회원국의 데이터 보호 조항 및 처리와 관련된 직원의 인지도 제고 및 교육을 포함하여 개인 데이터 보호와 관련하여 컨트롤러 또는 프로세서의 정책과 함께 모니터링 운영 및 관련 감사

(기음)

데이터 보호 영향 평가와 관련하여 요청이있는 경우 조언을 제공하고 제 35 조에 따라 그 성과를 모니터링한다.

()

감독 당국과 협력한다.

(이자형)

36 조에 언급 된 사전 협의를 포함하여 가공과 관련한 문제에 대한 감독 당국의 접촉점으로서의 역할을 수행하고, 적절한 경우 다른 문제에 관해 협의한다.

2. 데이터 보호 관리자는 처리 작업의 성격, 범위, 상황 및 목적을 고려하여 처리 작업과 관련된 위험을 적절하게 고려해야합니다.

섹션 5

행동 강령 및 인증

 

40

 

행동 강령

 

1. 회원국, 감독 당국, 이사회 및 집행위원회는 다양한 가공 분야의 특정 특징 및 특정 필요 사항을 고려하여이 규정의 적절한 적용에 기여하도록 의도 된 행동 강령의 작성을 장려한다 중소 규모 기업의

2. 컨트롤러 또는 프로세서의 범주를 나타내는 협회 및 기타 기관은 다음과 관련하여이 규정의 적용을 명시하기 위해 행동 규범을 제정하거나 그러한 규범을 개정 또는 연장 할 수 있습니다.

(에이)

공정하고 투명한 가공;

()

특정 상황에서 컨트롤러가 추구하는 정당한 이해 관계;

(기음)

개인 데이터의 수집;

()

개인 데이터의 가명명

(이자형)

일반인과 데이터 주체에게 제공되는 정보

(에프)

데이터 주체의 권리 행사;

()

아동에게 제공되는 정보 및 아동의 보호, 그리고 아동에 대한 부모의 책임 보유자의 동의를 얻는 방법;

(h)

24 조 및 제 25 조에 규정 된 조치 및 절차와 제 32 조에 언급 된 가공의 안전을 보장하기위한 조치

(나는)

감독 당국에 개인 데이터 유출 통지 및 그러한 개인 데이터 침해와 데이터 주체와의 통신;

(j)

3 국 또는 국제기구에 대한 개인 정보의 이전; 또는

(케이)

77 조 및 제 79 조에 따라 데이터 주체의 권리를 침해 함이없이 처리와 관련하여 관제사와 데이터 주체 간의 분쟁을 해결하기위한 법원 외 절차 및 기타 분쟁 해결 절차.

3. 본 규정 제 5 조에 따라 승인되고 본 ​​조의 제 9 항에 따라 일반적인 유효성을 갖는 행동 강령은이 규정에 따른 통제자 또는 프로세서의 준수에 추가하여 주관청이 아닌 관제사 또는 프로세서 제 46 (2)의 요점 (e)에서 언급 된 조건에 따라 제 3 국 또는 국제기구에 개인 정보를 전송하는 프레임 워크 내에서 적절한 안전 장치를 제공하기 위해 제 3 조에 따라이 규정에 따라야한다. 이러한 컨트롤러 또는 프로세서는 계약 상 또는 기타 법적 구속력있는 수단을 통해 데이터 주체의 권리와 관련하여 적절한 적절한 보호 장치를 적용하기 위해 구속력 있고 집행 가능한 약정을 체결해야합니다.

4.이 조 제 2 항에 언급 된 행동 강령은 제 41 (1) 항에 언급 된기구가 그것을 적용하기로 약속 한 통제자 또는 가공업 자의 규정 준수에 대한 의무 감시를 수행 할 수있게하는 메커니즘을 포함해야한다 제 55 조 또는 제 56 조에 따라 권한있는 감독 당국의 임무와 권한을 침해하지 아니한다.

5.이 조 제 2 항에 언급 된 협회 및 기타 기관은 행동 규범을 제정하거나 기존 법령을 개정 또는 연장하고자하는자는 제 55 조에 따라 권한있는 감독 당국에 코드, 개정안 또는 연장안 초안을 제출해야한다 감독 당국은 코드, 개정안 또는 연장안 초안이이 규정을 준수하는지 여부에 대한 의견을 제공하고 적절한 안전 조치가 충분하다고 판단되면 코드 초안, 개정안 또는 연장 초안을 승인해야한다.

6. 5 항에 따라 초안 코드 또는 수정안 또는 연장이 승인되고 해당 행동 강령이 여러 회원국에서의 처리 활동과 관련이없는 경우, 감독 당국은 코드를 등록하고 발간해야한다.

7. 행동 강령 초안이 여러 회원국에서의 처리 활동과 관련된 경우 제 55 조에 따라 권한있는 감독 당국은 코드 초안을 승인하기 전에 제 63 조에 언급 된 절차에 따라 제출하여야한다. 규정, 개정 또는 연장안 초안이 본 규정을 준수하는지, 또는 본 조 제 3 항에 언급 된 상황에서 적절한 안전 장치를 제공하는지에 관한 의견을 제공하는 이사회

8. 7 항에 언급 된 의견이 규정, 개정 또는 연장 초안이이 규정을 준수 함을 확인하거나 제 3 항에 언급 된 상황에서 적절한 안전 장치를 제공하는 경우위원회는 의견을위원회에 제출해야한다.

9. 집행위원회는 법 시행령에 따라 본 조의 제 8 항에 따라 승인 된 행동 강령, 수정안 또는 연장안이 연합 내에서 일반적으로 유효하다고 결정할 수있다. 이행 행위는 제 93 (2) 항에 규정 된 심사 절차에 따라 채택되어야한다.

10. 집행위원회는 제 9 항에 따라 일반적 유효성이있는 것으로 결정된 승인 된 강령에 대하여 적절한 홍보를 보장하여야한다.

11. 이사회는 승인 된 모든 행동 규범, 개정안 및 연장 코드를 등록부에 기입하고 적절한 방법을 통해 공개적으로 이용할 수 있도록해야한다.

77 조 및 제 79 조에 따라 데이터 주체의 권리를 침해 함이없이 처리와 관련하여 관제사와 데이터 주체 간의 분쟁을 해결하기위한 법원 외 절차 및 기타 분쟁 해결 절차.

3. 본 규정 제 5 조에 따라 승인되고 본 ​​조의 제 9 항에 따라 일반적인 유효성을 갖는 행동 강령은이 규정에 따른 통제자 또는 프로세서의 준수에 추가하여 주관청이 아닌 관제사 또는 프로세서 제 46 (2)의 요점 (e)에서 언급 된 조건에 따라 제 3 국 또는 국제기구에 개인 정보를 전송하는 프레임 워크 내에서 적절한 안전 장치를 제공하기 위해 제 3 조에 따라이 규정에 따라야한다. 이러한 컨트롤러 또는 프로세서는 계약 상 또는 기타 법적 구속력있는 수단을 통해 데이터 주체의 권리와 관련하여 적절한 적절한 보호 장치를 적용하기 위해 구속력 있고 집행 가능한 약정을 체결해야합니다.

4.이 조 제 2 항에 언급 된 행동 강령은 제 41 (1) 항에 언급 된기구가 그것을 적용하기로 약속 한 통제자 또는 가공업 자의 규정 준수에 대한 의무 감시를 수행 할 수있게하는 메커니즘을 포함해야한다 제 55 조 또는 제 56 조에 따라 권한있는 감독 당국의 임무와 권한을 침해하지 아니한다.

5.이 조 제 2 항에 언급 된 협회 및 기타 기관은 행동 규범을 제정하거나 기존 법령을 개정 또는 연장하고자하는자는 제 55 조에 따라 권한있는 감독 당국에 코드, 개정안 또는 연장안 초안을 제출해야한다 감독 당국은 코드, 개정안 또는 연장안 초안이이 규정을 준수하는지 여부에 대한 의견을 제공하고 적절한 안전 조치가 충분하다고 판단되면 코드 초안, 개정안 또는 연장 초안을 승인해야한다.

6. 5 항에 따라 초안 코드 또는 수정안 또는 연장이 승인되고 해당 행동 강령이 여러 회원국에서의 처리 활동과 관련이없는 경우, 감독 당국은 코드를 등록하고 발간해야한다.

7. 행동 강령 초안이 여러 회원국에서의 처리 활동과 관련된 경우 제 55 조에 따라 권한있는 감독 당국은 코드 초안을 승인하기 전에 제 63 조에 언급 된 절차에 따라 제출하여야한다. 규정, 개정 또는 연장안 초안이 본 규정을 준수하는지, 또는 본 조 제 3 항에 언급 된 상황에서 적절한 안전 장치를 제공하는지에 관한 의견을 제공하는 이사회

8. 7 항에 언급 된 의견이 규정, 개정 또는 연장 초안이이 규정을 준수 함을 확인하거나 제 3 항에 언급 된 상황에서 적절한 안전 장치를 제공하는 경우위원회는 의견을위원회에 제출해야한다.

9. 집행위원회는 법 시행령에 따라 본 조의 제 8 항에 따라 승인 된 행동 강령, 수정안 또는 연장안이 연합 내에서 일반적으로 유효하다고 결정할 수있다. 이행 행위는 제 93 (2) 항에 규정 된 심사 절차에 따라 채택되어야한다.

10. 집행위원회는 제 9 항에 따라 일반적 유효성이있는 것으로 결정된 승인 된 강령에 대하여 적절한 홍보를 보장하여야한다.

11. 이사회는 승인 된 모든 행동 규범, 개정안 및 연장 코드를 등록부에 기입하고 적절한 방법을 통해 공개적으로 이용할 수 있도록해야한다.


 41 

 

승인 된 행동 강령 모니터링

 

1. 제 57 조와 제 58 조에 따라 권한있는 감독 당국의 임무와 권한을 침해 함이없이 제 40 조에 따른 행동 규범 준수 모니터링은 다음과 관련하여 적절한 수준의 전문 지식을 갖춘 기관에 의해 수행 될 수있다. 코드의 주제와 관할 감독 당국이 그 목적을 위해 공인 한 것입니다.

2. 제 1 항에 언급 된 기관은 그 기관이 다음과 같은 행동 강령을 준수하는지 감시 할 수있다 :

(에이)

관할 감독 당국의 만족을위한 규범의 주제와 관련하여 그 독립성과 전문성을 입증했다.

(비)

코드를 적용하고 규정 준수 여부를 감시하고 주기적으로 작업을 검토하기 위해 관련 컨트롤러 및 프로세서의 적합성을 평가할 수있는 수립 된 절차

(기음)

코드의 침해에 대한 불만을 처리하기위한 절차 및 구조를 수립하고 해당 절차 또는 구조가 데이터 주체 및 일반인에게 투명하게 공개되도록 코드를 작성하거나 실시하는 방식; 과

(디)

관할 감독 당국의 업무와 직무가 이해 관계의 충돌을 초래하지 않는다는 것을 입증하는 것으로 입증되었다.

3. 권한있는 감독 당국은 제 63 조에 언급 된 일관성 메커니즘에 따라이 조 제 1 항에 언급 된 기관의 인정 기준 초안을 이사회에 제출해야한다.

4. 권한있는 감독 당국의 임무와 권한 및 VIII 장의 규정을 침해 함이없이, 본조 제 1 항에 언급 된기구는 적절한 안전 조치를 전제로하여 다음을 통 해 코드를 위반 한 경우 적절한 조치를 취한다. 코드 또는 관련 컨트롤러 또는 프로세서의 중지 또는 제외를 포함하는 컨트롤러 또는 프로세서 동기구는 권한있는 감독 당국에 그러한 조치와 그러한 조치를 취하는 이유를 알려야한다.

5. 권한있는 감독 당국은 인정 조건이 충족되지 않았거나 더 이상 충족되지 않거나 신체가 취한 조치가이 규정을 위반하는 경우 제 1 항에 언급 된 기관의 인정을 취소해야한다.

6.이 조는 공공 당국 및 기관이 수행 한 처리에는 적용되지 아니한다.

 42 

 

인증

 

1. 회원국, 감독 당국, 이사회 및 집행위원회는 본 규칙의 준수에 대한 입증을 목적으로 특히 연합 차원에서 데이터 보호 인증 메커니즘 및 데이터 보호용 물개 및 표시의 제정을 장려해야한다. 컨트롤러 및 프로세서 별 작업. 중소기업의 특수한 요구 사항을 고려해야한다.

2. 본 조의 제 5 항에 따라 승인 된 데이터 보호 인증 메커니즘, 인장 또는 표시는이 규정에 따르는 컨트롤러 또는 프로세서의 준수 이외에 컨트롤러 또는 프로세서가 제공하는 적절한 안전 장치의 존재를 입증하기 위해 수립 될 수있다. 제 46 조 (2)의 요점 (f)에서 언급 된 조건에 따라 제 3 국 또는 국제기구에 개인 정보를 전송하는 프레임 워크 내에서 제 3 조에 따라 본 규정의 적용을받지 않는다. 이러한 컨트롤러 또는 프로세서는 계약 상 또는 기타 법적 구속력있는 수단을 통해 데이터 주체의 권리와 관련하여 적절한 안전 장치를 적용하기 위해 구속력 있고 집행 가능한 약정을 체결해야합니다.

3. 인증은 자발적이어야하며 투명성있는 프로세스를 통해 사용할 수 있어야합니다.

4. 본 조에 따른 인증은이 규정의 준수에 대한 감독자 또는 가공업자의 책임을 감소시키지 않으며 제 55 조 또는 제 56 조에 따라 권한있는 감독 당국의 임무와 권한을 침해하지 아니한다.

5.이 조에 따른 인증은 제 58 조 (3) 또는 이사회의 결정에 따라 해당 권한있는 감독 당국이 승인 한 기준에 따라 제 43 조에 언급 된 인증 기관 또는 권한있는 감독 당국이 발급한다 기준이 이사회에 의해 승인 된 경우, 이것은 공통 인증 인 유럽 데이터 보호 인감을 초래할 수있다.

6. 인증 메커니즘에 프로세스를 제출 한 컨트롤러 또는 프로세서는 제 43 조에 언급 된 인증 기관 또는 해당되는 경우 권한있는 감독 당국에 인증 수행에 필요한 모든 정보와 처리 활동에 대한 액세스 권한을 제공해야한다 순서.

7. 인증은 최대 3 년 동안 컨트롤러 또는 프로세서에 발행되어야하며 관련 요구 사항이 계속 충족되면 동일한 조건으로 갱신 될 수 있습니다. 인증은 제 43 조에 언급 된 인증 기관 또는 인증 요건이 충족되지 않거나 더 이상 충족되지 않는 관할 감독 당국에 의해 적용 가능할 경우 철회되어야한다.

8. 이사회는 모든 인증 메커니즘과 데이터 보호 물개와 표시를 등록부에 대조하여 적절한 방법으로 공개 할 수 있도록해야한다.

 43 

 

인증 기관

 

1. 제 57 조와 제 58 조에 따라 권한있는 감독 당국의 임무와 권한을 침해 함이없이 데이터 보호와 관련하여 적절한 수준의 전문 지식을 갖춘 인증 기관은 권한을 행사할 수 있도록 감독 당국에 통보 한 후 필요한 경우 제 58 조 (2) 항 (h) 항에 따라 인증을 발행하고 갱신하십시오. 회원국은 다음 중 하나 또는 둘 모두에 의해 인증 기관이 인증 받았는지 확인해야한다.

(에이)

제 55 조 또는 제 56 조에 따라 권한있는 감독 당국;

(비)

EN-ISO / IEC 17065/2012 에 따라 유럽 의회와 이사회  ( 20 ) 의 Regulation (EC) No 765/2008에 따라 명명 된 감독 기관에 의해 수립 된 추가 요건을 갖춘 국가 인정기구 제 55 조 또는 제 56 조에 따라 유능한 자.

2. 제 1 항에 언급 된 인증 기관은 다음의 경우에만 해당 단락에 따라 인증을 받아야한다.

(에이)

권한있는 감독 당국의 만족을 위하여 인증의 주제와 관련하여 그들의 독립성과 전문성을 입증 하였다.

(비)

제 42 조 (5) 항에 언급 된 기준을 존중하고 제 55 조 또는 제 56 조 또는 제 63 조에 따라 이사회가 권한을 가진 감독 당국이 승인 한 기준;

(기음)

데이터 보호 인증, 인감 및 표시의 발행, 정기 검토 및 철회에 대한 수립 된 절차

(디)

인증의 침해에 대한 불만이나 컨트롤러 또는 프로세서에 의해 인증되었거나 구현되고있는 방식에 대한 불만을 처리하고 데이터 절차와 구조를 데이터 주체 및 대중에게 투명하게 만드는 절차 및 구조를 수립해야합니다. 과

(이자형)

관할 감독 당국의 만족에 따라 그들의 임무와 의무가 이해 상충을 초래하지 않는다는 것을 입증했다.

3.이 조 제 1 항 및 제 2 항에 언급 된 인증 기관의 인정은 제 55 조 또는 제 56 조 또는 제 63 조에 따라 이사회가 관할하는 감독 당국이 승인 한 기준에 따라 이루어진다. 이 조의 제 1 항 (b)에 따른 인정의 경우, 그러한 요구 사항은 규정 (EC) No 765/2008 및 인증 기관의 방법 및 절차를 설명하는 기술 규칙을 고려해야한다.

4. 제 1 항에 언급 된 인증 기관은이 규정의 준수에 대한 컨트롤러 또는 프로세서의 책임을 침해 함이없이 그러한 인증의 인증 또는 철회로 이어지는 적절한 평가에 대한 책임이있다. 인가는 최대 5 년 동안 발행되어야하며, 인증 기관이 본 조에 규정 된 요구 사항을 충족 시킨다면 동일한 조건으로 갱신 될 수있다.

5. 제 1 항에 언급 된 인증 기관은 권한있는 감독 당국에 요청 된 인증을 부여하거나 철회하는 이유를 제공해야한다.

6.이 조 제 3 항에 언급 된 요건 및 제 42 조제 5 항에 언급 된 기준은 감독 당국에 의해 쉽게 접근 가능한 형태로 공개되어야한다. 감독 당국은 또한 이사회에 그러한 요건과 기준을 전달해야한다. 이사회는 모든 인증 메커니즘과 데이터 보호 물개를 등록부에서 대조하고 적절한 방법으로 공개 할 수 있도록해야합니다.

7. 관할 감독 당국 또는 국가 인정기구는 제 8 장을 저해 함이없이 인정 조건이 충족되지 않거나 더 이상 충족되지 않거나 조치가 필요한 경우 본 조의 제 1 항에 따라 인증 기관의 인정을 취소해야한다. 인증 기관이 취한 조치는 본 규정을 침해한다.

8. 집행위원회는 제 42 조 (1)에 언급 된 데이터 보호 인증 메커니즘에 대해 고려해야 할 요구 사항을 규정 할 목적으로 제 92 조에 따라 위임 된 행동을 채택 할 권한이있다.

9. 집행위원회는 인증 메커니즘 및 데이터 보호용 물개 및 표식에 대한 기술적 표준을 제정하는 행동을 채택 할 수 있으며 그러한 인증 메커니즘, 인장 및 표시를 홍보하고 인식하는 메커니즘을 채택 할 수있다. 이행 행위는 제 93 조 (2)에 언급 된 심사 절차에 따라 채택되어야한다.


반응형