개인정보 처리와 관련한 자연인 보호와 그러한 정보의 자유로운 흐름에 대해 규정하고 지침 95/46/EC를 폐지 하는 2016년 4월 27일자 유럽의회 및 유럽연합이사회 규정(EU) 2016/679
국 가 유럽연합 원 법 률 명 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Movement of ... 제 정 2016.04.27 Regulation (EU) 2016/679 수 록 자 료 개인정보 처리와 관련한 자연인 보호와 그러한 정보의 자유로운 흐름에 대해 규정하고 지침 95/46/EC를 폐지하는 2016년 4월 27일자 유럽의회 및 유럽연합이사회 규정(EU) 2016/679, pp.1-358 발 행 사 항 서울 : 국회도서관, 2016
THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION, Having regard to the Treaty on the Functioning of the European Union, and in particular Article 16 thereof, Having regard to the proposal from the European Commission, After transmission of the draft legislative act to the national parliaments, Having regard to the opinion of the European Economic and Social Committee, Having regard to the opinion of the Committee of the Regions, Acting in accordance with the ordinary legislative procedure, Whereas: (1) The protection of natural persons in relation to the processing of personal data is a fundamental right. Article 8(1) of the Charter of Fundamental Rights of the European Union (the ‘Charter’) and Article 16(1) of the Treaty on the Functioning of the European Union (TFEU) provide that everyone has the right to the protection of personal data concerning him or her. (2) The principles of, and rules on the protection of natural persons with regard to the processing of their personal data should, whatever their nationality or residence, respect their fundamental rights and freedoms, in particular their right to the protection of personal data. This Regulation is intended to contribute to the accomplishment of an area of freedom, security and justice and of an economic union, to economic and social progress, to the strengthening and the convergence of the economies within the internal market, and to the well-being of natural persons. (3) Directive 95/46/EC of the European Parliament and of the Council seeks to harmonise the protection of fundamental rights and freedoms of natural persons in respect of processing activities and to ensure the free flow of personal data between Member States. (4) The processing of personal data should be designed to serve mankind. The right to the protection of personal data is not an absolute right; it must be considered in relation to its function in society and be balanced against other fundamental rights, in accordance with the principle of proportionality. This Regulation respects all fundamental rights and observes the freedoms and principles recognised in the Charter as enshrined in the Treaties, in particular the respect for private and family life, home and communications, the protection of personal data, freedom of thought, conscience and religion, freedom of expression and information, freedom to conduct a business, the right to an effective remedy and to a fair trial, and cultural, religious and linguistic diversity. (5) The economic and social integration resulting from the functioning of the internal market has led to a substantial increase in cross-border flows of personal data. The exchange of personal data between public and private actors, including natural persons, associations and undertakings across the Union has increased. National authorities in the Member States are being called upon by Union law to cooperate and exchange personal data so as to be able to perform their duties or carry out tasks on behalf of an authority in another Member State. (6) Rapid technological developments and globalisation have brought new challenges for the protection of personal data. The scale of the collection and sharing of personal data has increased significantly. Technology allows both private companies and public authorities to make use of personal data on an unprecedented scale in order to pursue their activities. Natural persons increasingly make personal information available publicly and globally. Technology has transformed both the economy and social life, and should further facilitate the free flow of personal data within the Union and the transfer to third countries and international organisations, while ensuring a high level of the protection of personal data. (7) Those developments require a strong and more coherent data protection framework in the Union, backed by strong enforcement, given the importance of creating the trust that will allow the digital economy to develop across the internal market. Natural persons should have control of their own personal data. Legal and practical certainty for natural persons, economic operators and public authorities should be enhanced. (8) Where this Regulation provides for specifications or restrictions of its rules by Member State law, Member States may, as far as necessary for coherence and for making the national provisions comprehensible to the persons to whom they apply, incorporate elements of this Regulation into their national law. (9) The objectives and principles of Directive 95/46/EC remain sound, but it has not prevented fragmentation in the implementation of data protection across the Union, legal uncertainty or a widespread public perception that there are significant risks to the protection of natural persons, in particular with regard to online activity. Differences in the level of protection of the rights and freedoms of natural persons, in particular the right to the protection of personal data, with regard to the processing of personal data in the Member States may prevent the free flow of personal data throughout the Union. Those differences may therefore constitute an obstacle to the pursuit of economic activities at the level of the Union, distort competition and impede authorities in the discharge of their responsibilities under Union law. Such a difference in levels of protection is due to the existence of differences in the implementation and application of Directive 95/46/EC. (10) In order to ensure a consistent and high level of protection of natural persons and to remove the obstacles to flows of personal data within the Union, the level of protection of the rights and freedoms of natural persons with regard to the processing of such data should be equivalent in all Member States. Consistent and homogenous application of the rules for the protection of the fundamental rights and freedoms of natural persons with regard to the processing of personal data should be ensured throughout the Union. Regarding the processing of personal data for compliance with a legal obligation, for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, Member States should be allowed to maintain or introduce national provisions to further specify the application of the rules of this Regulation. In conjunction with the general and horizontal law on data protection implementing Directive 95/46/EC, Member States have several sector-specific laws in areas that need more specific provisions. This Regulation also provides a margin of manoeuvre for Member States to specify its rules, including for the processing of special categories of personal data (‘sensitive data’). To that extent, this Regulation does not exclude Member State law that sets out the circumstances for specific processing situations, including determining more precisely the conditions under which the processing of personal data is lawful. (11) Effective protection of personal data throughout the Union requires the strengthening and setting out in detail of the rights of data subjects and the obligations of those who process and determine the processing of personal data, as well as equivalent powers for monitoring and ensuring compliance with the rules for the protection of personal data and equivalent sanctions for infringements in the Member States. (12) Article 16(2) TFEU mandates the European Parliament and the Council to lay down the rules relating to the protection of natural persons with regard to the processing of personal data and the rules relating to the free movement of personal data. (13) In order to ensure a consistent level of protection for natural persons throughout the Union and to prevent divergences hampering the free movement of personal data within the internal market, a Regulation is necessary to provide legal certainty and transparency for economic operators, including micro, small and medium-sized enterprises, and to provide natural persons in all Member States with the same level of legally enforceable rights and obligations and responsibilities for controllers and processors, to ensure consistent monitoring of the processing of personal data, and equivalent sanctions in all Member States as well as effective cooperation between the supervisory authorities of different Member States. The proper functioning of the internal market requires that the free movement of personal data within the Union is not restricted or prohibited for reasons connected with the protection of natural persons with regard to the processing of personal data. To take account of the specific situation of micro, small and medium-sized enterprises, this Regulation includes a derogation for organisations with fewer than 250 employees with regard to record-keeping. In addition, the Union institutions and bodies, and Member States and their supervisory authorities, are encouraged to take account of the specific needs of micro, small and medium-sized enterprises in the application of this Regulation. The notion of micro, small and medium-sized enterprises should draw from Article 2 of the Annex to Commission Recommendation 2003/361/EC. (14) The protection afforded by this Regulation should apply to natural persons, whatever their nationality or place of residence, in relation to the processing of their personal data. This Regulation does not cover the processing of personal data which concerns legal persons and in particular undertakings established as legal persons, including the name and the form of the legal person and the contact details of the legal person. (15) In order to prevent creating a serious risk of circumvention, the protection of natural persons should be technologically neutral and should not depend on the techniques used. The protection of natural persons should apply to the processing of personal data by automated means, as well as to manual processing, if the personal data are contained or are intended to be contained in a filing system. Files or sets of files, as well as their cover pages, which are not structured according to specific criteria should not fall within the scope of this Regulation. (16) This Regulation does not apply to issues of protection of fundamental rights and freedoms or the free flow of personal data related to activities which fall outside the scope of Union law, such as activities concerning national security. This Regulation does not apply to the processing of personal data by the Member States when carrying out activities in relation to the common foreign and security policy of the Union. (17) Regulation (EC) No 45/2001 of the European Parliament and of the Council applies to the processing of personal data by the Union institutions, bodies, offices and agencies. Regulation (EC) No 45/2001 and other Union legal acts applicable to such processing of personal data should be adapted to the principles and rules established in this Regulation and applied in the light of this Regulation. In order to provide a strong and coherent data protection framework in the Union, the necessary adaptations of Regulation (EC) No 45/2001 should follow after the adoption of this Regulation, in order to allow application at the same time as this Regulation. (18) This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity. Personal or household activities could include correspondence and the holding of addresses, or social networking and online activity undertaken within the context of such activities. However, this Regulation applies to controllers or processors which provide the means for processing personal data for such personal or household activities. (19) The protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security and the free movement of such data, is the subject of a specific Union legal act. This Regulation should not, therefore, apply to processing activities for those purposes. However, personal data processed by public authorities under this Regulation should, when used for those purposes, be governed by a more specific Union legal act, namely Directive (EU) 2016/680 of the European Parliament and of the Council. Member States may entrust competent authorities within the meaning of Directive (EU) 2016/680 with tasks which are not necessarily carried out for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and prevention of threats to public security, so that the processing of personal data for those other purposes, in so far as it is within the scope of Union law, falls within the scope of this Regulation. With regard to the processing of personal data by those competent authorities for purposes falling within scope of this Regulation, Member States should be able to maintain or introduce more specific provisions to adapt the application of the rules of this Regulation. Such provisions may determine more precisely specific requirements for the processing of personal data by those competent authorities for those other purposes, taking into account the constitutional, organisational and administrative structure of the respective Member State. When the processing of personal data by private bodies falls within the scope of this Regulation, this Regulation should provide for the possibility for Member States under specific conditions to restrict by law certain obligations and rights when such a restriction constitutes a necessary and proportionate measure in a democratic society to safeguard specific important interests including public security and the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security. This is relevant for instance in the framework of anti-money laundering or the activities of forensic laboratories. (20) While this Regulation applies, inter alia, to the activities of courts and other judicial authorities, Union or Member State law could specify the processing operations and processing procedures in relation to the processing of personal data by courts and other judicial authorities. The competence of the supervisory authorities should not cover the processing of personal data when courts are acting in their judicial capacity, in order to safeguard the independence of the judiciary in the performance of its judicial tasks, including decision- making. It should be possible to entrust supervision of such data processing operations to specific bodies within the judicial system of the Member State, which should, in particular ensure compliance with the rules of this Regulation, enhance awareness among members of the judiciary of their obligations under this Regulation and handle complaints in relation to such data processing operations.
(21) This Regulation is without prejudice to the application of Directive 2000/31/EC of the European Parliament and of the Council, in particular of the liability rules of intermediary service providers in Articles 12 to 15 of that Directive. That Directive seeks to contribute to the proper functioning of the internal market by ensuring the free movement of information society services between Member States. (22) Any processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union should be carried out in accordance with this Regulation, regardless of whether the processing itself takes place within the Union. Establishment implies the effective and real exercise of activity through stable arrangements. The legal form of such arrangements, whether through a branch or a subsidiary with a legal personality, is not the determining factor in that respect. (23) In order to ensure that natural persons are not deprived of the protection to which they are entitled under this Regulation, the processing of personal data of data subjects who are in the Union by a controller or a processor not established in the Union should be subject to this Regulation where the processing activities are related to offering goods or services to such data subjects irrespective of whether connected to a payment. In order to determine whether such a controller or processor is offering goods or services to data subjects who are in the Union, it should be ascertained whether it is apparent that the controller or processor envisages offering services to data subjects in one or more Member States in the Union. Whereas the mere accessibility of the controller's, processor's or an intermediary's website in the Union, of an email address or of other contact details, or the use of a language generally used in the third country where the controller is established, is insufficient to ascertain such intention, factors such as the use of a language or a currency generally used in one or more Member States with the possibility of ordering goods and services in that other language, or the mentioning of customers or users who are in the Union, may make it apparent that the controller envisages offering goods or services to data subjects in the Union. (24) The processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union should also be subject to this Regulation when it is related to the monitoring of the behaviour of such data subjects in so far as their behaviour takes place within the Union. In order to determine whether a processing activity can be considered to monitor the behaviour of data subjects, it should be ascertained whether natural persons are tracked on the internet including potential subsequent use of personal data processing techniques which consist of profiling a natural person, particularly in order to take decisions concerning her or him or for analysing or predicting her or his personal preferences, behaviours and attitudes. (25) Where Member State law applies by virtue of public international law, this Regulation should also apply to a controller not established in the Union, such as in a Member State's diplomatic mission or consular post. (26) The principles of data protection should apply to any information concerning an identified or identifiable natural person. Personal data which have undergone pseudonymisation, which could be attributed to a natural person by the use of additional information should be considered to be information on an identifiable natural person. To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments. The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable. This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes. (27) This Regulation does not apply to the personal data of deceased persons. Member States may provide for rules regarding the processing of personal data of deceased persons. (28) The application of pseudonymisation to personal data can reduce the risks to the data subjects concerned and help controllers and processors to meet their data-protection obligations. The explicit introduction of ‘pseudonymisation’ in this Regulation is not intended to preclude any other measures of data protection. (29) In order to create incentives to apply pseudonymisation when processing personal data, measures of pseudonymisation should, whilst allowing general analysis, be possible within the same controller when that controller has taken technical and organisational measures necessary to ensure, for the processing concerned, that this Regulation is implemented, and that additional information for attributing the personal data to a specific data subject is kept separately. The controller processing the personal data should indicate the authorised persons within the same controller. (30) Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them. (31) Public authorities to which personal data are disclosed in accordance with a legal obligation for the exercise of their official mission, such as tax and customs authorities, financial investigation units, independent administrative authorities, or financial market authorities responsible for the regulation and supervision of securities markets should not be regarded as recipients if they receive personal data which are necessary to carry out a particular inquiry in the general interest, in accordance with Union or Member State law. The requests for disclosure sent by the public authorities should always be in writing, reasoned and occasional and should not concern the entirety of a filing system or lead to the interconnection of filing systems. The processing of personal data by those public authorities should comply with the applicable data-protection rules according to the purposes of the processing. (32) Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject's agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement. This could include ticking a box when visiting an internet website, choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of his or her personal data. Silence, pre-ticked boxes or inactivity should not therefore constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes, consent should be given for all of them. If the data subject's consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided. (33) It is often not possible to fully identify the purpose of personal data processing for scientific research purposes at the time of data collection. Therefore, data subjects should be allowed to give their consent to certain areas of scientific research when in keeping with recognised ethical standards for scientific research. Data subjects should have the opportunity to give their consent only to certain areas of research or parts of research projects to the extent allowed by the intended purpose. (34) Genetic data should be defined as personal data relating to the inherited or acquired genetic characteristics of a natural person which result from the analysis of a biological sample from the natural person in question, in particular chromosomal, deoxyribonucleic acid (DNA) or ribonucleic acid (RNA) analysis, or from the analysis of another element enabling equivalent information to be obtained. (35) Personal data concerning health should include all data pertaining to the health status of a data subject which reveal information relating to the past, current or future physical or mental health status of the data subject. This includes information about the natural person collected in the course of the registration for, or the provision of, health care services as referred to in Directive 2011/24/EU of the European Parliament and of the Council to that natural person; a number, symbol or particular assigned to a natural person to uniquely identify the natural person for health purposes; information derived from the testing or examination of a body part or bodily substance, including from genetic data and biological samples; and any information on, for example, a disease, disability, disease risk, medical history, clinical treatment or the physiological or biomedical state of the data subject independent of its source, for example from a physician or other health professional, a hospital, a medical device or an in vitro diagnostic test. (36) The main establishment of a controller in the Union should be the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union, in which case that other establishment should be considered to be the main establishment. The main establishment of a controller in the Union should be determined according to objective criteria and should imply the effective and real exercise of management activities determining the main decisions as to the purposes and means of processing through stable arrangements. That criterion should not depend on whether the processing of personal data is carried out at that location. The presence and use of technical means and technologies for processing personal data or processing activities do not, in themselves, constitute a main establishment and are therefore not determining criteria for a main establishment. The main establishment of the processor should be the place of its central administration in the Union or, if it has no central administration in the Union, the place where the main processing activities take place in the Union. In cases involving both the controller and the processor, the competent lead supervisory authority should remain the supervisory authority of the Member State where the controller has its main establishment, but the supervisory authority of the processor should be considered to be a supervisory authority concerned and that supervisory authority should participate in the cooperation procedure provided for by this Regulation. In any case, the supervisory authorities of the Member State or Member States where the processor has one or more establishments should not be considered to be supervisory authorities concerned where the draft decision concerns only the controller. Where the processing is carried out by a group of undertakings, the main establishment of the controlling undertaking should be considered to be the main establishment of the group of undertakings, except where the purposes and means of processing are determined by another undertaking. (37) A group of undertakings should cover a controlling undertaking and its controlled undertakings, whereby the controlling undertaking should be the undertaking which can exert a dominant influence over the other undertakings by virtue, for example, of ownership, financial participation or the rules which govern it or the power to have personal data protection rules implemented. An undertaking which controls the processing of personal data in undertakings affiliated to it should be regarded, together with those undertakings, as a group of undertakings. (38) Children merit specific protection with regard to their personal data, as they may be less aware of the risks, consequences and safeguards concerned and their rights in relation to the processing of personal data. Such specific protection should, in particular, apply to the use of personal data of children for the purposes of marketing or creating personality or user profiles and the collection of personal data with regard to children when using services offered directly to a child. The consent of the holder of parental responsibility should not be necessary in the context of preventive or counselling services offered directly to a child. (39) Any processing of personal data should be lawful and fair. It should be transparent to natural persons that personal data concerning them are collected, used, consulted or otherwise processed and to what extent the personal data are or will be processed. The principle of transparency requires that any information and communication relating to the processing of those personal data be easily accessible and easy to understand, and that clear and plain language be used. That principle concerns, in particular, information to the data subjects on the identity of the controller and the purposes of the processing and further information to ensure fair and transparent processing in respect of the natural persons concerned and their right to obtain confirmation and communication of personal data concerning them which are being processed. Natural persons should be made aware of risks, rules, safeguards and rights in relation to the processing of personal data and how to exercise their rights in relation to such processing. In particular, the specific purposes for which personal data are processed should be explicit and legitimate and determined at the time of the collection of the personal data. The personal data should be adequate, relevant and limited to what is necessary for the purposes for which they are processed. This requires, in particular, ensuring that the period for which the personal data are stored is limited to a strict minimum. Personal data should be processed only if the purpose of the processing could not reasonably be fulfilled by other means. In order to ensure that the personal data are not kept longer than necessary, time limits should be established by the controller for erasure or for a periodic review. Every reasonable step should be taken to ensure that personal data which are inaccurate are rectified or deleted. Personal data should be processed in a manner that ensures appropriate security and confidentiality of the personal data, including for preventing unauthorised access to or use of personal data and the equipment used for the processing. (40) In order for processing to be lawful, personal data should be processed on the basis of the consent of the data subject concerned or some other legitimate basis, laid down by law, either in this Regulation or in other Union or Member State law as referred to in this Regulation, including the necessity for compliance with the legal obligation to which the controller is subject or the necessity for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract.
(41) Where this Regulation refers to a legal basis or a legislative measure, this does not necessarily require a legislative act adopted by a parliament, without prejudice to requirements pursuant to the constitutional order of the Member State concerned. However, such a legal basis or legislative measure should be clear and precise and its application should be foreseeable to persons subject to it, in accordance with the case-law of the Court of Justice of the European Union (the ‘Court of Justice’) and the European Court of Human Rights. (42) Where processing is based on the data subject's consent, the controller should be able to demonstrate that the data subject has given consent to the processing operation. In particular in the context of a written declaration on another matter, safeguards should ensure that the data subject is aware of the fact that and the extent to which consent is given. In accordance with Council Directive 93/13/EEC a declaration of consent pre- formulated by the controller should be provided in an intelligible and easily accessible form, using clear and plain language and it should not contain unfair terms. For consent to be informed, the data subject should be aware at least of the identity of the controller and the purposes of the processing for which the personal data are intended. Consent should not be regarded as freely given if the data subject has no genuine or free choice or is unable to refuse or withdraw consent without detriment. (43) In order to ensure that consent is freely given, consent should not provide a valid legal ground for the processing of personal data in a specific case where there is a clear imbalance between the data subject and the controller, in particular where the controller is a public authority and it is therefore unlikely that consent was freely given in all the circumstances of that specific situation. Consent is presumed not to be freely given if it does not allow separate consent to be given to different personal data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service, is dependent on the consent despite such consent not being necessary for such performance. (44) Processing should be lawful where it is necessary in the context of a contract or the intention to enter into a contract. (45) Where processing is carried out in accordance with a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority, the processing should have a basis in Union or Member State law. This Regulation does not require a specific law for each individual processing. A law as a basis for several processing operations based on a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of an official authority may be sufficient. It should also be for Union or Member State law to determine the purpose of processing. Furthermore, that law could specify the general conditions of this Regulation governing the lawfulness of personal data processing, establish specifications for determining the controller, the type of personal data which are subject to the processing, the data subjects concerned, the entities to which the personal data may be disclosed, the purpose limitations, the storage period and other measures to ensure lawful and fair processing. It should also be for Union or Member State law to determine whether the controller performing a task carried out in the public interest or in the exercise of official authority should be a public authority or another natural or legal person governed by public law, or, where it is in the public interest to do so, including for health purposes such as public health and social protection and the management of health care services, by private law, such as a professional association. (46) The processing of personal data should also be regarded to be lawful where it is necessary to protect an interest which is essential for the life of the data subject or that of another natural person. Processing of personal data based on the vital interest of another natural person should in principle take place only where the processing cannot be manifestly based on another legal basis. Some types of processing may serve both important grounds of public interest and the vital interests of the data subject as for instance when processing is necessary for humanitarian purposes, including for monitoring epidemics and their spread or in situations of humanitarian emergencies, in particular in situations of natural and man-made disasters. (47) The legitimate interests of a controller, including those of a controller to which the personal data may be disclosed, or of a third party, may provide a legal basis for processing, provided that the interests or the fundamental rights and freedoms of the data subject are not overriding, taking into consideration the reasonable expectations of data subjects based on their relationship with the controller. Such legitimate interest could exist for example where there is a relevant and appropriate relationship between the data subject and the controller in situations such as where the data subject is a client or in the service of the controller. At any rate the existence of a legitimate interest would need careful assessment including whether a data subject can reasonably expect at the time and in the context of the collection of the personal data that processing for that purpose may take place. The interests and fundamental rights of the data subject could in particular override the interest of the data controller where personal data are processed in circumstances where data subjects do not reasonably expect further processing. Given that it is for the legislator to provide by law for the legal basis for public authorities to process personal data, that legal basis should not apply to the processing by public authorities in the performance of their tasks. The processing of personal data strictly necessary for the purposes of preventing fraud also constitutes a legitimate interest of the data controller concerned. The processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest. (48) Controllers that are part of a group of undertakings or institutions affiliated to a central body may have a legitimate interest in transmitting personal data within the group of undertakings for internal administrative purposes, including the processing of clients' or employees' personal data. The general principles for the transfer of personal data, within a group of undertakings, to an undertaking located in a third country remain unaffected. (49) The processing of personal data to the extent strictly necessary and proportionate for the purposes of ensuring network and information security, i.e. the ability of a network or an information system to resist, at a given level of confidence, accidental events or unlawful or malicious actions that compromise the availability, authenticity, integrity and confidentiality of stored or transmitted personal data, and the security of the related services offered by, or accessible via, those networks and systems, by public authorities, by computer emergency response teams (CERTs), computer security incident response teams (CSIRTs), by providers of electronic communications networks and services and by providers of security technologies and services, constitutes a legitimate interest of the data controller concerned. This could, for example, include preventing unauthorised access to electronic communications networks and malicious code distribution and stopping ‘denial of service’ attacks and damage to computer and electronic communication systems. (50) The processing of personal data for purposes other than those for which the personal data were initially collected should be allowed only where the processing is compatible with the purposes for which the personal data were initially collected. In such a case, no legal basis separate from that which allowed the collection of the personal data is required. If the processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, Union or Member State law may determine and specify the tasks and purposes for which the further processing should be regarded as compatible and lawful. Further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes should be considered to be compatible lawful processing operations. The legal basis provided by Union or Member State law for the processing of personal data may also provide a legal basis for further processing. In order to ascertain whether a purpose of further processing is compatible with the purpose for which the personal data are initially collected, the controller, after having met all the requirements for the lawfulness of the original processing, should take into account, inter alia: any link between those purposes and the purposes of the intended further processing; the context in which the personal data have been collected, in particular the reasonable expectations of data subjects based on their relationship with the controller as to their further use; the nature of the personal data; the consequences of the intended further processing for data subjects; and the existence of appropriate safeguards in both the original and intended further processing operations. Where the data subject has given consent or the processing is based on Union or Member State law which constitutes a necessary and proportionate measure in a democratic society to safeguard, in particular, important objectives of general public interest, the controller should be allowed to further process the personal data irrespective of the compatibility of the purposes. In any case, the application of the principles set out in this Regulation and in particular the information of the data subject on those other purposes and on his or her rights including the right to object, should be ensured. Indicating possible criminal acts or threats to public security by the controller and transmitting the relevant personal data in individual cases or in several cases relating to the same criminal act or threats to public security to a competent authority should be regarded as being in the legitimate interest pursued by the controller. However, such transmission in the legitimate interest of the controller or further processing of personal data should be prohibited if the processing is not compatible with a legal, professional or other binding obligation of secrecy. (51) Personal data which are, by their nature, particularly sensitive in relation to fundamental rights and freedoms merit specific protection as the context of their processing could create significant risks to the fundamental rights and freedoms. Those personal data should include personal data revealing racial or ethnic origin, whereby the use of the term ‘racial origin’ in this Regulation does not imply an acceptance by the Union of theories which attempt to determine the existence of separate human races. The processing of photographs should not systematically be considered to be processing of special categories of personal data as they are covered by the definition of biometric data only when processed through a specific technical means allowing the unique identification or authentication of a natural person. Such personal data should not be processed, unless processing is allowed in specific cases set out in this Regulation, taking into account that Member States law may lay down specific provisions on data protection in order to adapt the application of the rules of this Regulation for compliance with a legal obligation or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. In addition to the specific requirements for such processing, the general principles and other rules of this Regulation should apply, in particular as regards the conditions for lawful processing. Derogations from the general prohibition for processing such special categories of personal data should be explicitly provided, inter alia, where the data subject gives his or her explicit consent or in respect of specific needs in particular where the processing is carried out in the course of legitimate activities by certain associations or foundations the purpose of which is to permit the exercise of fundamental freedoms. (52) Derogating from the prohibition on processing special categories of personal data should also be allowed when provided for in Union or Member State law and subject to suitable safeguards, so as to protect personal data and other fundamental rights, where it is in the public interest to do so, in particular processing personal data in the field of employment law, social protection law including pensions and for health security, monitoring and alert purposes, the prevention or control of communicable diseases and other serious threats to health. Such a derogation may be made for health purposes, including public health and the management of health-care services, especially in order to ensure the quality and cost-effectiveness of the procedures used for settling claims for benefits and services in the health insurance system, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. A derogation should also allow the processing of such personal data where necessary for the establishment, exercise or defence of legal claims, whether in court proceedings or in an administrative or out-of-court procedure. (53) Special categories of personal data which merit higher protection should be processed for health-related purposes only where necessary to achieve those purposes for the benefit of natural persons and society as a whole, in particular in the context of the management of health or social care services and systems, including processing by the management and central national health authorities of such data for the purpose of quality control, management information and the general national and local supervision of the health or social care system, and ensuring continuity of health or social care and cross-border healthcare or health security, monitoring and alert purposes, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, based on Union or Member State law which has to meet an objective of public interest, as well as for studies conducted in the public interest in the area of public health. Therefore, this Regulation should provide for harmonised conditions for the processing of special categories of personal data concerning health, in respect of specific needs, in particular where the processing of such data is carried out for certain health-related purposes by persons subject to a legal obligation of professional secrecy. Union or Member State law should provide for specific and suitable measures so as to protect the fundamental rights and the personal data of natural persons. Member States should be allowed to maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health. However, this should not hamper the free flow of personal data within the Union when those conditions apply to cross-border processing of such data. (54) The processing of special categories of personal data may be necessary for reasons of public interest in the areas of public health without consent of the data subject. Such processing should be subject to suitable and specific measures so as to protect the rights and freedoms of natural persons. In that context, ‘public health’ should be interpreted as defined in Regulation (EC) No 1338/2008 of the European Parliament and of the Council, namely all elements related to health, namely health status, including morbidity and disability, the determinants having an effect on that health status, health care needs, resources allocated to health care, the provision of, and universal access to, health care as well as health care expenditure and financing, and the causes of mortality. Such processing of data concerning health for reasons of public interest should not result in personal data being processed for other purposes by third parties such as employers or insurance and banking companies. (55) Moreover, the processing of personal data by official authorities for the purpose of achieving the aims, laid down by constitutional law or by international public law, of officially recognised religious associations, is carried out on grounds of public interest. (56) Where in the course of electoral activities, the operation of the democratic system in a Member State requires that political parties compile personal data on people's political opinions, the processing of such data may be permitted for reasons of public interest, provided that appropriate safeguards are established. (57) If the personal data processed by a controller do not permit the controller to identify a natural person, the data controller should not be obliged to acquire additional information in order to identify the data subject for the sole purpose of complying with any provision of this Regulation. However, the controller should not refuse to take additional information provided by the data subject in order to support the exercise of his or her rights. Identification should include the digital identification of a data subject, for example through authentication mechanism such as the same credentials, used by the data subject to log-in to the on-line service offered by the data controller. (58) The principle of transparency requires that any information addressed to the public or to the data subject be concise, easily accessible and easy to understand, and that clear and plain language and, additionally, where appropriate, visualisation be used. Such information could be provided in electronic form, for example, when addressed to the public, through a website. This is of particular relevance in situations where the proliferation of actors and the technological complexity of practice make it difficult for the data subject to know and understand whether, by whom and for what purpose personal data relating to him or her are being collected, such as in the case of online advertising. Given that children merit specific protection, any information and communication, where processing is addressed to a child, should be in such a clear and plain language that the child can easily understand. (59) Modalities should be provided for facilitating the exercise of the data subject's rights under this Regulation, including mechanisms to request and, if applicable, obtain, free of charge, in particular, access to and rectification or erasure of personal data and the exercise of the right to object. The controller should also provide means for requests to be made electronically, especially where personal data are processed by electronic means. The controller should be obliged to respond to requests from the data subject without undue delay and at the latest within one month and to give reasons where the controller does not intend to comply with any such requests. (60) The principles of fair and transparent processing require that the data subject be informed of the existence of the processing operation and its purposes. The controller should provide the data subject with any further information necessary to ensure fair and transparent processing taking into account the specific circumstances and context in which the personal data are processed. Furthermore, the data subject should be informed of the existence of profiling and the consequences of such profiling. Where the personal data are collected from the data subject, the data subject should also be informed whether he or she is obliged to provide the personal data and of the consequences, where he or she does not provide such data. That information may be provided in combination with standardised icons in order to give in an easily visible, intelligible and clearly legible manner, a meaningful overview of the intended processing. Where the icons are presented electronically, they should be machine-readable.
(61) The information in relation to the processing of personal data relating to the data subject should be given to him or her at the time of collection from the data subject, or, where the personal data are obtained from another source, within a reasonable period, depending on the circumstances of the case. Where personal data can be legitimately disclosed to another recipient, the data subject should be informed when the personal data are first disclosed to the recipient. Where the controller intends to process the personal data for a purpose other than that for which they were collected, the controller should provide the data subject prior to that further processing with information on that other purpose and other necessary information. Where the origin of the personal data cannot be provided to the data subject because various sources have been used, general information should be provided. (62) However, it is not necessary to impose the obligation to provide information where the data subject already possesses the information, where the recording or disclosure of the personal data is expressly laid down by law or where the provision of information to the data subject proves to be impossible or would involve a disproportionate effort. The latter could in particular be the case where processing is carried out for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. In that regard, the number of data subjects, the age of the data and any appropriate safeguards adopted should be taken into consideration. (63) A data subject should have the right of access to personal data which have been collected concerning him or her, and to exercise that right easily and at reasonable intervals, in order to be aware of, and verify, the lawfulness of the processing. This includes the right for data subjects to have access to data concerning their health, for example the data in their medical records containing information such as diagnoses, examination results, assessments by treating physicians and any treatment or interventions provided. Every data subject should therefore have the right to know and obtain communication in particular with regard to the purposes for which the personal data are processed, where possible the period for which the personal data are processed, the recipients of the personal data, the logic involved in any automatic personal data processing and, at least when based on profiling, the consequences of such processing. Where possible, the controller should be able to provide remote access to a secure system which would provide the data subject with direct access to his or her personal data. That right should not adversely affect the rights or freedoms of others, including trade secrets or intellectual property and in particular the copyright protecting the software. However, the result of those considerations should not be a refusal to provide all information to the data subject. Where the controller processes a large quantity of information concerning the data subject, the controller should be able to request that, before the information is delivered, the data subject specify the information or processing activities to which the request relates. (64) The controller should use all reasonable measures to verify the identity of a data subject who requests access, in particular in the context of online services and online identifiers. A controller should not retain personal data for the sole purpose of being able to react to potential requests. (65) A data subject should have the right to have personal data concerning him or her rectified and a ‘right to be forgotten’ where the retention of such data infringes this Regulation or Union or Member State law to which the controller is subject. In particular, a data subject should have the right to have his or her personal data erased and no longer processed where the personal data are no longer necessary in relation to the purposes for which they are collected or otherwise processed, where a data subject has withdrawn his or her consent or objects to the processing of personal data concerning him or her, or where the processing of his or her personal data does not otherwise comply with this Regulation. That right is relevant in particular where the data subject has given his or her consent as a child and is not fully aware of the risks involved by the processing, and later wants to remove such personal data, especially on the internet. The data subject should be able to exercise that right notwithstanding the fact that he or she is no longer a child. However, the further retention of the personal data should be lawful where it is necessary, for exercising the right of freedom of expression and information, for compliance with a legal obligation, for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, on the grounds of public interest in the area of public health, for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, or for the establishment, exercise or defence of legal claims. (66) To strengthen the right to be forgotten in the online environment, the right to erasure should also be extended in such a way that a controller who has made the personal data public should be obliged to inform the controllers which are processing such personal data to erase any links to, or copies or replications of those personal data. In doing so, that controller should take reasonable steps, taking into account available technology and the means available to the controller, including technical measures, to inform the controllers which are processing the personal data of the data subject's request. (67) Methods by which to restrict the processing of personal data could include, inter alia, temporarily moving the selected data to another processing system, making the selected personal data unavailable to users, or temporarily removing published data from a website. In automated filing systems, the restriction of processing should in principle be ensured by technical means in such a manner that the personal data are not subject to further processing operations and cannot be changed. The fact that the processing of personal data is restricted should be clearly indicated in the system. (68) To further strengthen the control over his or her own data, where the processing of personal data is carried out by automated means, the data subject should also be allowed to receive personal data concerning him or her which he or she has provided to a controller in a structured, commonly used, machine-readable and interoperable format, and to transmit it to another controller. Data controllers should be encouraged to develop interoperable formats that enable data portability. That right should apply where the data subject provided the personal data on the basis of his or her consent or the processing is necessary for the performance of a contract. It should not apply where processing is based on a legal ground other than consent or contract. By its very nature, that right should not be exercised against controllers processing personal data in the exercise of their public duties. It should therefore not apply where the processing of the personal data is necessary for compliance with a legal obligation to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of an official authority vested in the controller. The data subject's right to transmit or receive personal data concerning him or her should not create an obligation for the controllers to adopt or maintain processing systems which are technically compatible. Where, in a certain set of personal data, more than one data subject is concerned, the right to receive the personal data should be without prejudice to the rights and freedoms of other data subjects in accordance with this Regulation. Furthermore, that right should not prejudice the right of the data subject to obtain the erasure of personal data and the limitations of that right as set out in this Regulation and should, in particular, not imply the erasure of personal data concerning the data subject which have been provided by him or her for the performance of a contract to the extent that and for as long as the personal data are necessary for the performance of that contract. Where technically feasible, the data subject should have the right to have the personal data transmitted directly from one controller to another. (69) Where personal data might lawfully be processed because processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, or on grounds of the legitimate interests of a controller or a third party, a data subject should, nevertheless, be entitled to object to the processing of any personal data relating to his or her particular situation. It should be for the controller to demonstrate that its compelling legitimate interest overrides the interests or the fundamental rights and freedoms of the data subject. (70) Where personal data are processed for the purposes of direct marketing, the data subject should have the right to object to such processing, including profiling to the extent that it is related to such direct marketing, whether with regard to initial or further processing, at any time and free of charge. That right should be explicitly brought to the attention of the data subject and presented clearly and separately from any other information. (71) The data subject should have the right not to be subject to a decision, which may include a measure, evaluating personal aspects relating to him or her which is based solely on automated processing and which produces legal effects concerning him or her or similarly significantly affects him or her, such as automatic refusal of an online credit application or e-recruiting practices without any human intervention. Such processing includes ‘profiling’ that consists of any form of automated processing of personal data evaluating the personal aspects relating to a natural person, in particular to analyse or predict aspects concerning the data subject's performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, where it produces legal effects concerning him or her or similarly significantly affects him or her. However, decision-making based on such processing, including profiling, should be allowed where expressly authorised by Union or Member State law to which the controller is subject, including for fraud and tax-evasion monitoring and prevention purposes conducted in accordance with the regulations, standards and recommendations of Union institutions or national oversight bodies and to ensure the security and reliability of a service provided by the controller, or necessary for the entering or performance of a contract between the data subject and a controller, or when the data subject has given his or her explicit consent. In any case, such processing should be subject to suitable safeguards, which should include specific information to the data subject and the right to obtain human intervention, to express his or her point of view, to obtain an explanation of the decision reached after such assessment and to challenge the decision. Such measure should not concern a child. In order to ensure fair and transparent processing in respect of the data subject, taking into account the specific circumstances and context in which the personal data are processed, the controller should use appropriate mathematical or statistical procedures for the profiling, implement technical and organisational measures appropriate to ensure, in particular, that factors which result in inaccuracies in personal data are corrected and the risk of errors is minimised, secure personal data in a manner that takes account of the potential risks involved for the interests and rights of the data subject and that prevents, inter alia, discriminatory effects on natural persons on the basis of racial or ethnic origin, political opinion, religion or beliefs, trade union membership, genetic or health status or sexual orientation, or that result in measures having such an effect. Automated decision-making and profiling based on special categories of personal data should be allowed only under specific conditions. (72) Profiling is subject to the rules of this Regulation governing the processing of personal data, such as the legal grounds for processing or data protection principles. The European Data Protection Board established by this Regulation (the ‘Board’) should be able to issue guidance in that context. (73) Restrictions concerning specific principles and the rights of information, access to and rectification or erasure of personal data, the right to data portability, the right to object, decisions based on profiling, as well as the communication of a personal data breach to a data subject and certain related obligations of the controllers may be imposed by Union or Member State law, as far as necessary and proportionate in a democratic society to safeguard public security, including the protection of human life especially in response to natural or manmade disasters, the prevention, investigation and prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security, or of breaches of ethics for regulated professions, other important objectives of general public interest of the Union or of a Member State, in particular an important economic or financial interest of the Union or of a Member State, the keeping of public registers kept for reasons of general public interest, further processing of archived personal data to provide specific information related to the political behaviour under former totalitarian state regimes or the protection of the data subject or the rights and freedoms of others, including social protection, public health and humanitarian purposes. Those restrictions should be in accordance with the requirements set out in the Charter and in the European Convention for the Protection of Human Rights and Fundamental Freedoms. (74) The responsibility and liability of the controller for any processing of personal data carried out by the controller or on the controller's behalf should be established. In particular, the controller should be obliged to implement appropriate and effective measures and be able to demonstrate the compliance of processing activities with this Regulation, including the effectiveness of the measures. Those measures should take into account the nature, scope, context and purposes of the processing and the risk to the rights and freedoms of natural persons. (75) The risk to the rights and freedoms of natural persons, of varying likelihood and severity, may result from personal data processing which could lead to physical, material or non-material damage, in particular: where the processing may give rise to discrimination, identity theft or fraud, financial loss, damage to the reputation, loss of confidentiality of personal data protected by professional secrecy, unauthorised reversal of pseudonymisation, or any other significant economic or social disadvantage; where data subjects might be deprived of their rights and freedoms or prevented from exercising control over their personal data; where personal data are processed which reveal racial or ethnic origin, political opinions, religion or philosophical beliefs, trade union membership, and the processing of genetic data, data concerning health or data concerning sex life or criminal convictions and offences or related security measures; where personal aspects are evaluated, in particular analysing or predicting aspects concerning performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, in order to create or use personal profiles; where personal data of vulnerable natural persons, in particular of children, are processed; or where processing involves a large amount of personal data and affects a large number of data subjects. (76) The likelihood and severity of the risk to the rights and freedoms of the data subject should be determined by reference to the nature, scope, context and purposes of the processing. Risk should be evaluated on the basis of an objective assessment, by which it is established whether data processing operations involve a risk or a high risk. (77) Guidance on the implementation of appropriate measures and on the demonstration of compliance by the controller or the processor, especially as regards the identification of the risk related to the processing, their assessment in terms of origin, nature, likelihood and severity, and the identification of best practices to mitigate the risk, could be provided in particular by means of approved codes of conduct, approved certifications, guidelines provided by the Board or indications provided by a data protection officer. The Board may also issue guidelines on processing operations that are considered to be unlikely to result in a high risk to the rights and freedoms of natural persons and indicate what measures may be sufficient in such cases to address such risk. (78) The protection of the rights and freedoms of natural persons with regard to the processing of personal data require that appropriate technical and organisational measures be taken to ensure that the requirements of this Regulation are met. In order to be able to demonstrate compliance with this Regulation, the controller should adopt internal policies and implement measures which meet in particular the principles of data protection by design and data protection by default. Such measures could consist, inter alia, of minimising the processing of personal data, pseudonymising personal data as soon as possible, transparency with regard to the functions and processing of personal data, enabling the data subject to monitor the data processing, enabling the controller to create and improve security features. When developing, designing, selecting and using applications, services and products that are based on the processing of personal data or process personal data to fulfil their task, producers of the products, services and applications should be encouraged to take into account the right to data protection when developing and designing such products, services and applications and, with due regard to the state of the art, to make sure that controllers and processors are able to fulfil their data protection obligations. The principles of data protection by design and by default should also be taken into consideration in the context of public tenders. (79) The protection of the rights and freedoms of data subjects as well as the responsibility and liability of controllers and processors, also in relation to the monitoring by and measures of supervisory authorities, requires a clear allocation of the responsibilities under this Regulation, including where a controller determines the purposes and means of the processing jointly with other controllers or where a processing operation is carried out on behalf of a controller. (80) Where a controller or a processor not established in the Union is processing personal data of data subjects who are in the Union whose processing activities are related to the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union, or to the monitoring of their behaviour as far as their behaviour takes place within the Union, the controller or the processor should designate a representative, unless the processing is occasional, does not include processing, on a large scale, of special categories of personal data or the processing of personal data relating to criminal convictions and offences, and is unlikely to result in a risk to the rights and freedoms of natural persons, taking into account the nature, context, scope and purposes of the processing or if the controller is a public authority or body. The representative should act on behalf of the controller or the processor and may be addressed by any supervisory authority. The representative should be explicitly designated by a written mandate of the controller or of the processor to act on its behalf with regard to its obligations under this Regulation. The designation of such a representative does not affect the responsibility or liability of the controller or of the processor under this Regulation. Such a representative should perform its tasks according to the mandate received from the controller or processor, including cooperating with the competent supervisory authorities with regard to any action taken to ensure compliance with this Regulation. The designated representative should be subject to enforcement proceedings in the event of non-compliance by the controller or processor.
(81) To ensure compliance with the requirements of this Regulation in respect of the processing to be carried out by the processor on behalf of the controller, when entrusting a processor with processing activities, the controller should use only processors providing sufficient guarantees, in particular in terms of expert knowledge, reliability and resources, to implement technical and organisational measures which will meet the requirements of this Regulation, including for the security of processing. The adherence of the processor to an approved code of conduct or an approved certification mechanism may be used as an element to demonstrate compliance with the obligations of the controller. The carrying-out of processing by a processor should be governed by a contract or other legal act under Union or Member State law, binding the processor to the controller, setting out the subject- matter and duration of the processing, the nature and purposes of the processing, the type of personal data and categories of data subjects, taking into account the specific tasks and responsibilities of the processor in the context of the processing to be carried out and the risk to the rights and freedoms of the data subject. The controller and processor may choose to use an individual contract or standard contractual clauses which are adopted either directly by the Commission or by a supervisory authority in accordance with the consistency mechanism and then adopted by the Commission. After the completion of the processing on behalf of the controller, the processor should, at the choice of the controller, return or delete the personal data, unless there is a requirement to store the personal data under Union or Member State law to which the processor is subject. (82) In order to demonstrate compliance with this Regulation, the controller or processor should maintain records of processing activities under its responsibility. Each controller and processor should be obliged to cooperate with the supervisory authority and make those records, on request, available to it, so that it might serve for monitoring those processing operations. (83) In order to maintain security and to prevent processing in infringement of this Regulation, the controller or processor should evaluate the risks inherent in the processing and implement measures to mitigate those risks, such as encryption. Those measures should ensure an appropriate level of security, including confidentiality, taking into account the state of the art and the costs of implementation in relation to the risks and the nature of the personal data to be protected. In assessing data security risk, consideration should be given to the risks that are presented by personal data processing, such as accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed which may in particular lead to physical, material or non-material damage. (84) In order to enhance compliance with this Regulation where processing operations are likely to result in a high risk to the rights and freedoms of natural persons, the controller should be responsible for the carrying-out of a data protection impact assessment to evaluate, in particular, the origin, nature, particularity and severity of that risk. The outcome of the assessment should be taken into account when determining the appropriate measures to be taken in order to demonstrate that the processing of personal data complies with this Regulation. Where a data-protection impact assessment indicates that processing operations involve a high risk which the controller cannot mitigate by appropriate measures in terms of available technology and costs of implementation, a consultation of the supervisory authority should take place prior to the processing. (85) A personal data breach may, if not addressed in an appropriate and timely manner, result in physical, material or non-material damage to natural persons such as loss of control over their personal data or limitation of their rights, discrimination, identity theft or fraud, financial loss, unauthorised reversal of pseudonymisation, damage to reputation, loss of confidentiality of personal data protected by professional secrecy or any other significant economic or social disadvantage to the natural person concerned. Therefore, as soon as the controller becomes aware that a personal data breach has occurred, the controller should notify the personal data breach to the supervisory authority without undue delay and, where feasible, not later than 72 hours after having become aware of it, unless the controller is able to demonstrate, in accordance with the accountability principle, that the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where such notification cannot be achieved within 72 hours, the reasons for the delay should accompany the notification and information may be provided in phases without undue further delay. (86) The controller should communicate to the data subject a personal data breach, without undue delay, where that personal data breach is likely to result in a high risk to the rights and freedoms of the natural person in order to allow him or her to take the necessary precautions. The communication should describe the nature of the personal data breach as well as recommendations for the natural person concerned to mitigate potential adverse effects. Such communications to data subjects should be made as soon as reasonably feasible and in close cooperation with the supervisory authority, respecting guidance provided by it or by other relevant authorities such as law-enforcement authorities. For example, the need to mitigate an immediate risk of damage would call for prompt communication with data subjects whereas the need to implement appropriate measures against continuing or similar personal data breaches may justify more time for communication. (87) It should be ascertained whether all appropriate technological protection and organisational measures have been implemented to establish immediately whether a personal data breach has taken place and to inform promptly the supervisory authority and the data subject. The fact that the notification was made without undue delay should be established taking into account in particular the nature and gravity of the personal data breach and its consequences and adverse effects for the data subject. Such notification may result in an intervention of the supervisory authority in accordance with its tasks and powers laid down in this Regulation. (88) In setting detailed rules concerning the format and procedures applicable to the notification of personal data breaches, due consideration should be given to the circumstances of that breach, including whether or not personal data had been protected by appropriate technical protection measures, effectively limiting the likelihood of identity fraud or other forms of misuse. Moreover, such rules and procedures should take into account the legitimate interests of law-enforcement authorities where early disclosure could unnecessarily hamper the investigation of the circumstances of a personal data breach. (89) Directive 95/46/EC provided for a general obligation to notify the processing of personal data to the supervisory authorities. While that obligation produces administrative and financial burdens, it did not in all cases contribute to improving the protection of personal data. Such indiscriminate general notification obligations should therefore be abolished, and replaced by effective procedures and mechanisms which focus instead on those types of processing operations which are likely to result in a high risk to the rights and freedoms of natural persons by virtue of their nature, scope, context and purposes. Such types of processing operations may be those which in, particular, involve using new technologies, or are of a new kind and where no data protection impact assessment has been carried out before by the controller, or where they become necessary in the light of the time that has elapsed since the initial processing. (90) In such cases, a data protection impact assessment should be carried out by the controller prior to the processing in order to assess the particular likelihood and severity of the high risk, taking into account the nature, scope, context and purposes of the processing and the sources of the risk. That impact assessment should include, in particular, the measures, safeguards and mechanisms envisaged for mitigating that risk, ensuring the protection of personal data and demonstrating compliance with this Regulation. (91) This should in particular apply to large-scale processing operations which aim to process a considerable amount of personal data at regional, national or supranational level and which could affect a large number of data subjects and which are likely to result in a high risk, for example, on account of their sensitivity, where in accordance with the achieved state of technological knowledge a new technology is used on a large scale as well as to other processing operations which result in a high risk to the rights and freedoms of data subjects, in particular where those operations render it more difficult for data subjects to exercise their rights. A data protection impact assessment should also be made where personal data are processed for taking decisions regarding specific natural persons following any systematic and extensive evaluation of personal aspects relating to natural persons based on profiling those data or following the processing of special categories of personal data, biometric data, or data on criminal convictions and offences or related security measures. A data protection impact assessment is equally required for monitoring publicly accessible areas on a large scale, especially when using optic-electronic devices or for any other operations where the competent supervisory authority considers that the processing is likely to result in a high risk to the rights and freedoms of data subjects, in particular because they prevent data subjects from exercising a right or using a service or a contract, or because they are carried out systematically on a large scale. The processing of personal data should not be considered to be on a large scale if the processing concerns personal data from patients or clients by an individual physician, other health care professional or lawyer. In such cases, a data protection impact assessment should not be mandatory. (92) There are circumstances under which it may be reasonable and economical for the subject of a data protection impact assessment to be broader than a single project, for example where public authorities or bodies intend to establish a common application or processing platform or where several controllers plan to introduce a common application or processing environment across an industry sector or segment or for a widely used horizontal activity. (93) In the context of the adoption of the Member State law on which the performance of the tasks of the public authority or public body is based and which regulates the specific processing operation or set of operations in question, Member States may deem it necessary to carry out such assessment prior to the processing activities. (94) Where a data protection impact assessment indicates that the processing would, in the absence of safeguards, security measures and mechanisms to mitigate the risk, result in a high risk to the rights and freedoms of natural persons and the controller is of the opinion that the risk cannot be mitigated by reasonable means in terms of available technologies and costs of implementation, the supervisory authority should be consulted prior to the start of processing activities. Such high risk is likely to result from certain types of processing and the extent and frequency of processing, which may result also in a realisation of damage or interference with the rights and freedoms of the natural person. The supervisory authority should respond to the request for consultation within a specified period. However, the absence of a reaction of the supervisory authority within that period should be without prejudice to any intervention of the supervisory authority in accordance with its tasks and powers laid down in this Regulation, including the power to prohibit processing operations. As part of that consultation process, the outcome of a data protection impact assessment carried out with regard to the processing at issue may be submitted to the supervisory authority, in particular the measures envisaged to mitigate the risk to the rights and freedoms of natural persons. (95) The processor should assist the controller, where necessary and upon request, in ensuring compliance with the obligations deriving from the carrying out of data protection impact assessments and from prior consultation of the supervisory authority. (96) A consultation of the supervisory authority should also take place in the course of the preparation of a legislative or regulatory measure which provides for the processing of personal data, in order to ensure compliance of the intended processing with this Regulation and in particular to mitigate the risk involved for the data subject. (97) Where the processing is carried out by a public authority, except for courts or independent judicial authorities when acting in their judicial capacity, where, in the private sector, processing is carried out by a controller whose core activities consist of processing operations that require regular and systematic monitoring of the data subjects on a large scale, or where the core activities of the controller or the processor consist of processing on a large scale of special categories of personal data and data relating to criminal convictions and offences, a person with expert knowledge of data protection law and practices should assist the controller or processor to monitor internal compliance with this Regulation. In the private sector, the core activities of a controller relate to its primary activities and do not relate to the processing of personal data as ancillary activities. The necessary level of expert knowledge should be determined in particular according to the data processing operations carried out and the protection required for the personal data processed by the controller or the processor. Such data protection officers, whether or not they are an employee of the controller, should be in a position to perform their duties and tasks in an independent manner. (98) Associations or other bodies representing categories of controllers or processors should be encouraged to draw up codes of conduct, within the limits of this Regulation, so as to facilitate the effective application of this Regulation, taking account of the specific characteristics of the processing carried out in certain sectors and the specific needs of micro, small and medium enterprises. In particular, such codes of conduct could calibrate the obligations of controllers and processors, taking into account the risk likely to result from the processing for the rights and freedoms of natural persons. (99) When drawing up a code of conduct, or when amending or extending such a code, associations and other bodies representing categories of controllers or processors should consult relevant stakeholders, including data subjects where feasible, and have regard to submissions received and views expressed in response to such consultations. (100) In order to enhance transparency and compliance with this Regulation, the establishment of certification mechanisms and data protection seals and marks should be encouraged, allowing data subjects to quickly assess the level of data protection of relevant products and services.
(101) Flows of personal data to and from countries outside the Union and international organisations are necessary for the expansion of international trade and international cooperation. The increase in such flows has raised new challenges and concerns with regard to the protection of personal data. However, when personal data are transferred from the Union to controllers, processors or other recipients in third countries or to international organisations, the level of protection of natural persons ensured in the Union by this Regulation should not be undermined, including in cases of onward transfers of personal data from the third country or international organisation to controllers, processors in the same or another third country or international organisation. In any event, transfers to third countries and international organisations may only be carried out in full compliance with this Regulation. A transfer could take place only if, subject to the other provisions of this Regulation, the conditions laid down in the provisions of this Regulation relating to the transfer of personal data to third countries or international organisations are complied with by the controller or processor. (102) This Regulation is without prejudice to international agreements concluded between the Union and third countries regulating the transfer of personal data including appropriate safeguards for the data subjects. Member States may conclude international agreements which involve the transfer of personal data to third countries or international organisations, as far as such agreements do not affect this Regulation or any other provisions of Union law and include an appropriate level of protection for the fundamental rights of the data subjects. (103) The Commission may decide with effect for the entire Union that a third country, a territory or specified sector within a third country, or an international organisation, offers an adequate level of data protection, thus providing legal certainty and uniformity throughout the Union as regards the third country or international organisation which is considered to provide such level of protection. In such cases, transfers of personal data to that third country or international organisation may take place without the need to obtain any further authorisation. The Commission may also decide, having given notice and a full statement setting out the reasons to the third country or international organisation, to revoke such a decision. (104) In line with the fundamental values on which the Union is founded, in particular the protection of human rights, the Commission should, in its assessment of the third country, or of a territory or specified sector within a third country, take into account how a particular third country respects the rule of law, access to justice as well as international human rights norms and standards and its general and sectoral law, including legislation concerning public security, defence and national security as well as public order and criminal law. The adoption of an adequacy decision with regard to a territory or a specified sector in a third country should take into account clear and objective criteria, such as specific processing activities and the scope of applicable legal standards and legislation in force in the third country. The third country should offer guarantees ensuring an adequate level of protection essentially equivalent to that ensured within the Union, in particular where personal data are processed in one or several specific sectors. In particular, the third country should ensure effective independent data protection supervision and should provide for cooperation mechanisms with the Member States' data protection authorities, and the data subjects should be provided with effective and enforceable rights and effective administrative and judicial redress. (105) Apart from the international commitments the third country or international organisation has entered into, the Commission should take account of obligations arising from the third country's or international organisation's participation in multilateral or regional systems in particular in relation to the protection of personal data, as well as the implementation of such obligations. In particular, the third country's accession to the Council of Europe Convention of 28 January 1981 for the Protection of Individuals with regard to the Automatic Processing of Personal Data and its Additional Protocol should be taken into account. The Commission should consult the Board when assessing the level of protection in third countries or international organisations. (106) The Commission should monitor the functioning of decisions on the level of protection in a third country, a territory or specified sector within a third country, or an international organisation, and monitor the functioning of decisions adopted on the basis of Article 25(6) or Article 26(4) of Directive 95/46/EC. In its adequacy decisions, the Commission should provide for a periodic review mechanism of their functioning. That periodic review should be conducted in consultation with the third country or international organisation in question and take into account all relevant developments in the third country or international organisation. For the purposes of monitoring and of carrying out the periodic reviews, the Commission should take into consideration the views and findings of the European Parliament and of the Council as well as of other relevant bodies and sources. The Commission should evaluate, within a reasonable time, the functioning of the latter decisions and report any relevant findings to the Committee within the meaning of Regulation (EU) No 182/2011 of the European Parliament and of the Council as established under this Regulation, to the European Parliament and to the Council. (107) The Commission may recognise that a third country, a territory or a specified sector within a third country, or an international organisation no longer ensures an adequate level of data protection. Consequently the transfer of personal data to that third country or international organisation should be prohibited, unless the requirements in this Regulation relating to transfers subject to appropriate safeguards, including binding corporate rules, and derogations for specific situations are fulfilled. In that case, provision should be made for consultations between the Commission and such third countries or international organisations. The Commission should, in a timely manner, inform the third country or international organisation of the reasons and enter into consultations with it in order to remedy the situation. (108) In the absence of an adequacy decision, the controller or processor should take measures to compensate for the lack of data protection in a third country by way of appropriate safeguards for the data subject. Such appropriate safeguards may consist of making use of binding corporate rules, standard data protection clauses adopted by the Commission, standard data protection clauses adopted by a supervisory authority or contractual clauses authorised by a supervisory authority. Those safeguards should ensure compliance with data protection requirements and the rights of the data subjects appropriate to processing within the Union, including the availability of enforceable data subject rights and of effective legal remedies, including to obtain effective administrative or judicial redress and to claim compensation, in the Union or in a third country. They should relate in particular to compliance with the general principles relating to personal data processing, the principles of data protection by design and by default. Transfers may also be carried out by public authorities or bodies with public authorities or bodies in third countries or with international organisations with corresponding duties or functions, including on the basis of provisions to be inserted into administrative arrangements, such as a memorandum of understanding, providing for enforceable and effective rights for data subjects. Authorisation by the competent supervisory authority should be obtained when the safeguards are provided for in administrative arrangements that are not legally binding. (109) The possibility for the controller or processor to use standard data-protection clauses adopted by the Commission or by a supervisory authority should prevent controllers or processors neither from including the standard data-protection clauses in a wider contract, such as a contract between the processor and another processor, nor from adding other clauses or additional safeguards provided that they do not contradict, directly or indirectly, the standard contractual clauses adopted by the Commission or by a supervisory authority or prejudice the fundamental rights or freedoms of the data subjects. Controllers and processors should be encouraged to provide additional safeguards via contractual commitments that supplement standard protection clauses. (110) A group of undertakings, or a group of enterprises engaged in a joint economic activity, should be able to make use of approved binding corporate rules for its international transfers from the Union to organisations within the same group of undertakings, or group of enterprises engaged in a joint economic activity, provided that such corporate rules include all essential principles and enforceable rights to ensure appropriate safeguards for transfers or categories of transfers of personal data. (111) Provisions should be made for the possibility for transfers in certain circumstances where the data subject has given his or her explicit consent, where the transfer is occasional and necessary in relation to a contract or a legal claim, regardless of whether in a judicial procedure or whether in an administrative or any out-of-court procedure, including procedures before regulatory bodies. Provision should also be made for the possibility for transfers where important grounds of public interest laid down by Union or Member State law so require or where the transfer is made from a register established by law and intended for consultation by the public or persons having a legitimate interest. In the latter case, such a transfer should not involve the entirety of the personal data or entire categories of the data contained in the register and, when the register is intended for consultation by persons having a legitimate interest, the transfer should be made only at the request of those persons or, if they are to be the recipients, taking into full account the interests and fundamental rights of the data subject. (112) Those derogations should in particular apply to data transfers required and necessary for important reasons of public interest, for example in cases of international data exchange between competition authorities, tax or customs administrations, between financial supervisory authorities, between services competent for social security matters, or for public health, for example in the case of contact tracing for contagious diseases or in order to reduce and/or eliminate doping in sport. A transfer of personal data should also be regarded as lawful where it is necessary to protect an interest which is essential for the data subject's or another person's vital interests, including physical integrity or life, if the data subject is incapable of giving consent. In the absence of an adequacy decision, Union or Member State law may, for important reasons of public interest, expressly set limits to the transfer of specific categories of data to a third country or an international organisation. Member States should notify such provisions to the Commission. Any transfer to an international humanitarian organisation of personal data of a data subject who is physically or legally incapable of giving consent, with a view to accomplishing a task incumbent under the Geneva Conventions or to complying with international humanitarian law applicable in armed conflicts, could be considered to be necessary for an important reason of public interest or because it is in the vital interest of the data subject. (113) Transfers which can be qualified as not repetitive and that only concern a limited number of data subjects, could also be possible for the purposes of the compelling legitimate interests pursued by the controller, when those interests are not overridden by the interests or rights and freedoms of the data subject and when the controller has assessed all the circumstances surrounding the data transfer. The controller should give particular consideration to the nature of the personal data, the purpose and duration of the proposed processing operation or operations, as well as the situation in the country of origin, the third country and the country of final destination, and should provide suitable safeguards to protect fundamental rights and freedoms of natural persons with regard to the processing of their personal data. Such transfers should be possible only in residual cases where none of the other grounds for transfer are applicable. For scientific or historical research purposes or statistical purposes, the legitimate expectations of society for an increase of knowledge should be taken into consideration. The controller should inform the supervisory authority and the data subject about the transfer. (114) In any case, where the Commission has taken no decision on the adequate level of data protection in a third country, the controller or processor should make use of solutions that provide data subjects with enforceable and effective rights as regards the processing of their data in the Union once those data have been transferred so that that they will continue to benefit from fundamental rights and safeguards. (115) Some third countries adopt laws, regulations and other legal acts which purport to directly regulate the processing activities of natural and legal persons under the jurisdiction of the Member States. This may include judgments of courts or tribunals or decisions of administrative authorities in third countries requiring a controller or processor to transfer or disclose personal data, and which are not based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State. The extraterritorial application of those laws, regulations and other legal acts may be in breach of international law and may impede the attainment of the protection of natural persons ensured in the Union by this Regulation. Transfers should only be allowed where the conditions of this Regulation for a transfer to third countries are met. This may be the case, inter alia, where disclosure is necessary for an important ground of public interest recognised in Union or Member State law to which the controller is subject. (116) When personal data moves across borders outside the Union it may put at increased risk the ability of natural persons to exercise data protection rights in particular to protect themselves from the unlawful use or disclosure of that information. At the same time, supervisory authorities may find that they are unable to pursue complaints or conduct investigations relating to the activities outside their borders. Their efforts to work together in the cross-border context may also be hampered by insufficient preventative or remedial powers, inconsistent legal regimes, and practical obstacles like resource constraints. Therefore, there is a need to promote closer cooperation among data protection supervisory authorities to help them exchange information and carry out investigations with their international counterparts. For the purposes of developing international cooperation mechanisms to facilitate and provide international mutual assistance for the enforcement of legislation for the protection of personal data, the Commission and the supervisory authorities should exchange information and cooperate in activities related to the exercise of their powers with competent authorities in third countries, based on reciprocity and in accordance with this Regulation. (117) The establishment of supervisory authorities in Member States, empowered to perform their tasks and exercise their powers with complete independence, is an essential component of the protection of natural persons with regard to the processing of their personal data. Member States should be able to establish more than one supervisory authority, to reflect their constitutional, organisational and administrative structure. (118) The independence of supervisory authorities should not mean that the supervisory authorities cannot be subject to control or monitoring mechanisms regarding their financial expenditure or to judicial review. (119) Where a Member State establishes several supervisory authorities, it should establish by law mechanisms for ensuring the effective participation of those supervisory authorities in the consistency mechanism. That Member State should in particular designate the supervisory authority which functions as a single contact point for the effective participation of those authorities in the mechanism, to ensure swift and smooth cooperation with other supervisory authorities, the Board and the Commission. (120) Each supervisory authority should be provided with the financial and human resources, premises and infrastructure necessary for the effective performance of their tasks, including those related to mutual assistance and cooperation with other supervisory authorities throughout the Union. Each supervisory authority should have a separate, public annual budget, which may be part of the overall state or national budget.
(121) The general conditions for the member or members of the supervisory authority should be laid down by law in each Member State and should in particular provide that those members are to be appointed, by means of a transparent procedure, either by the parliament, government or the head of State of the Member State on the basis of a proposal from the government, a member of the government, the parliament or a chamber of the parliament, or by an independent body entrusted under Member State law. In order to ensure the independence of the supervisory authority, the member or members should act with integrity, refrain from any action that is incompatible with their duties and should not, during their term of office, engage in any incompatible occupation, whether gainful or not. The supervisory authority should have its own staff, chosen by the supervisory authority or an independent body established by Member State law, which should be subject to the exclusive direction of the member or members of the supervisory authority. (122) Each supervisory authority should be competent on the territory of its own Member State to exercise the powers and to perform the tasks conferred on it in accordance with this Regulation. This should cover in particular the processing in the context of the activities of an establishment of the controller or processor on the territory of its own Member State, the processing of personal data carried out by public authorities or private bodies acting in the public interest, processing affecting data subjects on its territory or processing carried out by a controller or processor not established in the Union when targeting data subjects residing on its territory. This should include handling complaints lodged by a data subject, conducting investigations on the application of this Regulation and promoting public awareness of the risks, rules, safeguards and rights in relation to the processing of personal data. (123) The supervisory authorities should monitor the application of the provisions pursuant to this Regulation and contribute to its consistent application throughout the Union, in order to protect natural persons in relation to the processing of their personal data and to facilitate the free flow of personal data within the internal market. For that purpose, the supervisory authorities should cooperate with each other and with the Commission, without the need for any agreement between Member States on the provision of mutual assistance or on such cooperation. (124) Where the processing of personal data takes place in the context of the activities of an establishment of a controller or a processor in the Union and the controller or processor is established in more than one Member State, or where processing taking place in the context of the activities of a single establishment of a controller or processor in the Union substantially affects or is likely to substantially affect data subjects in more than one Member State, the supervisory authority for the main establishment of the controller or processor or for the single establishment of the controller or processor should act as lead authority. It should cooperate with the other authorities concerned, because the controller or processor has an establishment on the territory of their Member State, because data subjects residing on their territory are substantially affected, or because a complaint has been lodged with them. Also where a data subject not residing in that Member State has lodged a complaint, the supervisory authority with which such complaint has been lodged should also be a supervisory authority concerned. Within its tasks to issue guidelines on any question covering the application of this Regulation, the Board should be able to issue guidelines in particular on the criteria to be taken into account in order to ascertain whether the processing in question substantially affects data subjects in more than one Member State and on what constitutes a relevant and reasoned objection. (125) The lead authority should be competent to adopt binding decisions regarding measures applying the powers conferred on it in accordance with this Regulation. In its capacity as lead authority, the supervisory authority should closely involve and coordinate the supervisory authorities concerned in the decision-making process. Where the decision is to reject the complaint by the data subject in whole or in part, that decision should be adopted by the supervisory authority with which the complaint has been lodged. (126) The decision should be agreed jointly by the lead supervisory authority and the supervisory authorities concerned and should be directed towards the main or single establishment of the controller or processor and be binding on the controller and processor. The controller or processor should take the necessary measures to ensure compliance with this Regulation and the implementation of the decision notified by the lead supervisory authority to the main establishment of the controller or processor as regards the processing activities in the Union. (127) Each supervisory authority not acting as the lead supervisory authority should be competent to handle local cases where the controller or processor is established in more than one Member State, but the subject matter of the specific processing concerns only processing carried out in a single Member State and involves only data subjects in that single Member State, for example, where the subject matter concerns the processing of employees' personal data in the specific employment context of a Member State. In such cases, the supervisory authority should inform the lead supervisory authority without delay about the matter. After being informed, the lead supervisory authority should decide, whether it will handle the case pursuant to the provision on cooperation between the lead supervisory authority and other supervisory authorities concerned (‘one-stop-shop mechanism’), or whether the supervisory authority which informed it should handle the case at local level. When deciding whether it will handle the case, the lead supervisory authority should take into account whether there is an establishment of the controller or processor in the Member State of the supervisory authority which informed it in order to ensure effective enforcement of a decision vis-à-vis the controller or processor. Where the lead supervisory authority decides to handle the case, the supervisory authority which informed it should have the possibility to submit a draft for a decision, of which the lead supervisory authority should take utmost account when preparing its draft decision in that one-stop-shop mechanism. (128) The rules on the lead supervisory authority and the one-stop-shop mechanism should not apply where the processing is carried out by public authorities or private bodies in the public interest. In such cases the only supervisory authority competent to exercise the powers conferred to it in accordance with this Regulation should be the supervisory authority of the Member State where the public authority or private body is established. (129) In order to ensure consistent monitoring and enforcement of this Regulation throughout the Union, the supervisory authorities should have in each Member State the same tasks and effective powers, including powers of investigation, corrective powers and sanctions, and authorisation and advisory powers, in particular in cases of complaints from natural persons, and without prejudice to the powers of prosecutorial authorities under Member State law, to bring infringements of this Regulation to the attention of the judicial authorities and engage in legal proceedings. Such powers should also include the power to impose a temporary or definitive limitation, including a ban, on processing. Member States may specify other tasks related to the protection of personal data under this Regulation. The powers of supervisory authorities should be exercised in accordance with appropriate procedural safeguards set out in Union and Member State law, impartially, fairly and within a reasonable time. In particular each measure should be appropriate, necessary and proportionate in view of ensuring compliance with this Regulation, taking into account the circumstances of each individual case, respect the right of every person to be heard before any individual measure which would affect him or her adversely is taken and avoid superfluous costs and excessive inconveniences for the persons concerned. Investigatory powers as regards access to premises should be exercised in accordance with specific requirements in Member State procedural law, such as the requirement to obtain a prior judicial authorisation. Each legally binding measure of the supervisory authority should be in writing, be clear and unambiguous, indicate the supervisory authority which has issued the measure, the date of issue of the measure, bear the signature of the head, or a member of the supervisory authority authorised by him or her, give the reasons for the measure, and refer to the right of an effective remedy. This should not preclude additional requirements pursuant to Member State procedural law. The adoption of a legally binding decision implies that it may give rise to judicial review in the Member State of the supervisory authority that adopted the decision. (130) Where the supervisory authority with which the complaint has been lodged is not the lead supervisory authority, the lead supervisory authority should closely cooperate with the supervisory authority with which the complaint has been lodged in accordance with the provisions on cooperation and consistency laid down in this Regulation. In such cases, the lead supervisory authority should, when taking measures intended to produce legal effects, including the imposition of administrative fines, take utmost account of the view of the supervisory authority with which the complaint has been lodged and which should remain competent to carry out any investigation on the territory of its own Member State in liaison with the competent supervisory authority. (131) Where another supervisory authority should act as a lead supervisory authority for the processing activities of the controller or processor but the concrete subject matter of a complaint or the possible infringement concerns only processing activities of the controller or processor in the Member State where the complaint has been lodged or the possible infringement detected and the matter does not substantially affect or is not likely to substantially affect data subjects in other Member States, the supervisory authority receiving a complaint or detecting or being informed otherwise of situations that entail possible infringements of this Regulation should seek an amicable settlement with the controller and, if this proves unsuccessful, exercise its full range of powers. This should include: specific processing carried out in the territory of the Member State of the supervisory authority or with regard to data subjects on the territory of that Member State; processing that is carried out in the context of an offer of goods or services specifically aimed at data subjects in the territory of the Member State of the supervisory authority; or processing that has to be assessed taking into account relevant legal obligations under Member State law. (132) Awareness-raising activities by supervisory authorities addressed to the public should include specific measures directed at controllers and processors, including micro, small and medium-sized enterprises, as well as natural persons in particular in the educational context. (133) The supervisory authorities should assist each other in performing their tasks and provide mutual assistance, so as to ensure the consistent application and enforcement of this Regulation in the internal market. A supervisory authority requesting mutual assistance may adopt a provisional measure if it receives no response to a request for mutual assistance within one month of the receipt of that request by the other supervisory authority. (134) Each supervisory authority should, where appropriate, participate in joint operations with other supervisory authorities. The requested supervisory authority should be obliged to respond to the request within a specified time period. (135) In order to ensure the consistent application of this Regulation throughout the Union, a consistency mechanism for cooperation between the supervisory authorities should be established. That mechanism should in particular apply where a supervisory authority intends to adopt a measure intended to produce legal effects as regards processing operations which substantially affect a significant number of data subjects in several Member States. It should also apply where any supervisory authority concerned or the Commission requests that such matter should be handled in the consistency mechanism. That mechanism should be without prejudice to any measures that the Commission may take in the exercise of its powers under the Treaties. (136) In applying the consistency mechanism, the Board should, within a determined period of time, issue an opinion, if a majority of its members so decides or if so requested by any supervisory authority concerned or the Commission. The Board should also be empowered to adopt legally binding decisions where there are disputes between supervisory authorities. For that purpose, it should issue, in principle by a two-thirds majority of its members, legally binding decisions in clearly specified cases where there are conflicting views among supervisory authorities, in particular in the cooperation mechanism between the lead supervisory authority and supervisory authorities concerned on the merits of the case, in particular whether there is an infringement of this Regulation. (137) There may be an urgent need to act in order to protect the rights and freedoms of data subjects, in particular when the danger exists that the enforcement of a right of a data subject could be considerably impeded. A supervisory authority should therefore be able to adopt duly justified provisional measures on its territory with a specified period of validity which should not exceed three months. (138) The application of such mechanism should be a condition for the lawfulness of a measure intended to produce legal effects by a supervisory authority in those cases where its application is mandatory. In other cases of cross- border relevance, the cooperation mechanism between the lead supervisory authority and supervisory authorities concerned should be applied and mutual assistance and joint operations might be carried out between the supervisory authorities concerned on a bilateral or multilateral basis without triggering the consistency mechanism. (139) In order to promote the consistent application of this Regulation, the Board should be set up as an independent body of the Union. To fulfil its objectives, the Board should have legal personality. The Board should be represented by its Chair. It should replace the Working Party on the Protection of Individuals with Regard to the Processing of Personal Data established by Directive 95/46/EC. It should consist of the head of a supervisory authority of each Member State and the European Data Protection Supervisor or their respective representatives. The Commission should participate in the Board's activities without voting rights and the European Data Protection Supervisor should have specific voting rights. The Board should contribute to the consistent application of this Regulation throughout the Union, including by advising the Commission, in particular on the level of protection in third countries or international organisations, and promoting cooperation of the supervisory authorities throughout the Union. The Board should act independently when performing its tasks. (140) The Board should be assisted by a secretariat provided by the European Data Protection Supervisor. The staff of the European Data Protection Supervisor involved in carrying out the tasks conferred on the Board by this Regulation should perform its tasks exclusively under the instructions of, and report to, the Chair of the Board.
(141) Every data subject should have the right to lodge a complaint with a single supervisory authority, in particular in the Member State of his or her habitual residence, and the right to an effective judicial remedy in accordance with Article 47 of the Charter if the data subject considers that his or her rights under this Regulation are infringed or where the supervisory authority does not act on a complaint, partially or wholly rejects or dismisses a complaint or does not act where such action is necessary to protect the rights of the data subject. The investigation following a complaint should be carried out, subject to judicial review, to the extent that is appropriate in the specific case. The supervisory authority should inform the data subject of the progress and the outcome of the complaint within a reasonable period. If the case requires further investigation or coordination with another supervisory authority, intermediate information should be given to the data subject. In order to facilitate the submission of complaints, each supervisory authority should take measures such as providing a complaint submission form which can also be completed electronically, without excluding other means of communication. (142) Where a data subject considers that his or her rights under this Regulation are infringed, he or she should have the right to mandate a not-for-profit body, organisation or association which is constituted in accordance with the law of a Member State, has statutory objectives which are in the public interest and is active in the field of the protection of personal data to lodge a complaint on his or her behalf with a supervisory authority, exercise the right to a judicial remedy on behalf of data subjects or, if provided for in Member State law, exercise the right to receive compensation on behalf of data subjects. A Member State may provide for such a body, organisation or association to have the right to lodge a complaint in that Member State, independently of a data subject's mandate, and the right to an effective judicial remedy where it has reasons to consider that the rights of a data subject have been infringed as a result of the processing of personal data which infringes this Regulation. That body, organisation or association may not be allowed to claim compensation on a data subject's behalf independently of the data subject's mandate. (143) Any natural or legal person has the right to bring an action for annulment of decisions of the Board before the Court of Justice under the conditions provided for in Article 263 TFEU. As addressees of such decisions, the supervisory authorities concerned which wish to challenge them have to bring action within two months of being notified of them, in accordance with Article 263 TFEU. Where decisions of the Board are of direct and individual concern to a controller, processor or complainant, the latter may bring an action for annulment against those decisions within two months of their publication on the website of the Board, in accordance with Article 263 TFEU. Without prejudice to this right under Article 263 TFEU, each natural or legal person should have an effective judicial remedy before the competent national court against a decision of a supervisory authority which produces legal effects concerning that person. Such a decision concerns in particular the exercise of investigative, corrective and authorisation powers by the supervisory authority or the dismissal or rejection of complaints. However, the right to an effective judicial remedy does not encompass measures taken by supervisory authorities which are not legally binding, such as opinions issued by or advice provided by the supervisory authority. Proceedings against a supervisory authority should be brought before the courts of the Member State where the supervisory authority is established and should be conducted in accordance with that Member State's procedural law. Those courts should exercise full jurisdiction, which should include jurisdiction to examine all questions of fact and law relevant to the dispute before them. Where a complaint has been rejected or dismissed by a supervisory authority, the complainant may bring proceedings before the courts in the same Member State. In the context of judicial remedies relating to the application of this Regulation, national courts which consider a decision on the question necessary to enable them to give judgment, may, or in the case provided for in Article 267 TFEU, must, request the Court of Justice to give a preliminary ruling on the interpretation of Union law, including this Regulation. Furthermore, where a decision of a supervisory authority implementing a decision of the Board is challenged before a national court and the validity of the decision of the Board is at issue, that national court does not have the power to declare the Board's decision invalid but must refer the question of validity to the Court of Justice in accordance with Article 267 TFEU as interpreted by the Court of Justice, where it considers the decision invalid. However, a national court may not refer a question on the validity of the decision of the Board at the request of a natural or legal person which had the opportunity to bring an action for annulment of that decision, in particular if it was directly and individually concerned by that decision, but had not done so within the period laid down in Article 263 TFEU. (144) Where a court seized of proceedings against a decision by a supervisory authority has reason to believe that proceedings concerning the same processing, such as the same subject matter as regards processing by the same controller or processor, or the same cause of action, are brought before a competent court in another Member State, it should contact that court in order to confirm the existence of such related proceedings. If related proceedings are pending before a court in another Member State, any court other than the court first seized may stay its proceedings or may, on request of one of the parties, decline jurisdiction in favour of the court first seized if that court has jurisdiction over the proceedings in question and its law permits the consolidation of such related proceedings. Proceedings are deemed to be related where they are so closely connected that it is expedient to hear and determine them together in order to avoid the risk of irreconcilable judgments resulting from separate proceedings. (145) For proceedings against a controller or processor, the plaintiff should have the choice to bring the action before the courts of the Member States where the controller or processor has an establishment or where the data subject resides, unless the controller is a public authority of a Member State acting in the exercise of its public powers. (146) The controller or processor should compensate any damage which a person may suffer as a result of processing that infringes this Regulation. The controller or processor should be exempt from liability if it proves that it is not in any way responsible for the damage. The concept of damage should be broadly interpreted in the light of the case-law of the Court of Justice in a manner which fully reflects the objectives of this Regulation. This is without prejudice to any claims for damage deriving from the violation of other rules in Union or Member State law. Processing that infringes this Regulation also includes processing that infringes delegated and implementing acts adopted in accordance with this Regulation and Member State law specifying rules of this Regulation. Data subjects should receive full and effective compensation for the damage they have suffered. Where controllers or processors are involved in the same processing, each controller or processor should be held liable for the entire damage. However, where they are joined to the same judicial proceedings, in accordance with Member State law, compensation may be apportioned according to the responsibility of each controller or processor for the damage caused by the processing, provided that full and effective compensation of the data subject who suffered the damage is ensured. Any controller or processor which has paid full compensation may subsequently institute recourse proceedings against other controllers or processors involved in the same processing. (147) Where specific rules on jurisdiction are contained in this Regulation, in particular as regards proceedings seeking a judicial remedy including compensation, against a controller or processor, general jurisdiction rules such as those of Regulation (EU) No 1215/2012 of the European Parliament and of the Council should not prejudice the application of such specific rules. (148) In order to strengthen the enforcement of the rules of this Regulation, penalties including administrative fines should be imposed for any infringement of this Regulation, in addition to, or instead of appropriate measures imposed by the supervisory authority pursuant to this Regulation. In a case of a minor infringement or if the fine likely to be imposed would constitute a disproportionate burden to a natural person, a reprimand may be issued instead of a fine. Due regard should however be given to the nature, gravity and duration of the infringement, the intentional character of the infringement, actions taken to mitigate the damage suffered, degree of responsibility or any relevant previous infringements, the manner in which the infringement became known to the supervisory authority, compliance with measures ordered against the controller or processor, adherence to a code of conduct and any other aggravating or mitigating factor. The imposition of penalties including administrative fines should be subject to appropriate procedural safeguards in accordance with the general principles of Union law and the Charter, including effective judicial protection and due process. (149) Member States should be able to lay down the rules on criminal penalties for infringements of this Regulation, including for infringements of national rules adopted pursuant to and within the limits of this Regulation. Those criminal penalties may also allow for the deprivation of the profits obtained through infringements of this Regulation. However, the imposition of criminal penalties for infringements of such national rules and of administrative penalties should not lead to a breach of the principle of ne bis in idem, as interpreted by the Court of Justice. (150) In order to strengthen and harmonise administrative penalties for infringements of this Regulation, each supervisory authority should have the power to impose administrative fines. This Regulation should indicate infringements and the upper limit and criteria for setting the related administrative fines, which should be determined by the competent supervisory authority in each individual case, taking into account all relevant circumstances of the specific situation, with due regard in particular to the nature, gravity and duration of the infringement and of its consequences and the measures taken to ensure compliance with the obligations under this Regulation and to prevent or mitigate the consequences of the infringement. Where administrative fines are imposed on an undertaking, an undertaking should be understood to be an undertaking in accordance with Articles 101 and 102 TFEU for those purposes. Where administrative fines are imposed on persons that are not an undertaking, the supervisory authority should take account of the general level of income in the Member State as well as the economic situation of the person in considering the appropriate amount of the fine. The consistency mechanism may also be used to promote a consistent application of administrative fines. It should be for the Member States to determine whether and to which extent public authorities should be subject to administrative fines. Imposing an administrative fine or giving a warning does not affect the application of other powers of the supervisory authorities or of other penalties under this Regulation. (151) The legal systems of Denmark and Estonia do not allow for administrative fines as set out in this Regulation. The rules on administrative fines may be applied in such a manner that in Denmark the fine is imposed by competent national courts as a criminal penalty and in Estonia the fine is imposed by the supervisory authority in the framework of a misdemeanour procedure, provided that such an application of the rules in those Member States has an equivalent effect to administrative fines imposed by supervisory authorities. Therefore the competent national courts should take into account the recommendation by the supervisory authority initiating the fine. In any event, the fines imposed should be effective, proportionate and dissuasive. (152) Where this Regulation does not harmonise administrative penalties or where necessary in other cases, for example in cases of serious infringements of this Regulation, Member States should implement a system which provides for effective, proportionate and dissuasive penalties. The nature of such penalties, criminal or administrative, should be determined by Member State law. (153) Member States law should reconcile the rules governing freedom of expression and information, including journalistic, academic, artistic and or literary expression with the right to the protection of personal data pursuant to this Regulation. The processing of personal data solely for journalistic purposes, or for the purposes of academic, artistic or literary expression should be subject to derogations or exemptions from certain provisions of this Regulation if necessary to reconcile the right to the protection of personal data with the right to freedom of expression and information, as enshrined in Article 11 of the Charter. This should apply in particular to the processing of personal data in the audiovisual field and in news archives and press libraries. Therefore, Member States should adopt legislative measures which lay down the exemptions and derogations necessary for the purpose of balancing those fundamental rights. Member States should adopt such exemptions and derogations on general principles, the rights of the data subject, the controller and the processor, the transfer of personal data to third countries or international organisations, the independent supervisory authorities, cooperation and consistency, and specific data-processing situations. Where such exemptions or derogations differ from one Member State to another, the law of the Member State to which the controller is subject should apply. In order to take account of the importance of the right to freedom of expression in every democratic society, it is necessary to interpret notions relating to that freedom, such as journalism, broadly. (154) This Regulation allows the principle of public access to official documents to be taken into account when applying this Regulation. Public access to official documents may be considered to be in the public interest. Personal data in documents held by a public authority or a public body should be able to be publicly disclosed by that authority or body if the disclosure is provided for by Union or Member State law to which the public authority or public body is subject. Such laws should reconcile public access to official documents and the reuse of public sector information with the right to the protection of personal data and may therefore provide for the necessary reconciliation with the right to the protection of personal data pursuant to this Regulation. The reference to public authorities and bodies should in that context include all authorities or other bodies covered by Member State law on public access to documents. Directive 2003/98/EC of the European Parliament and of the Council leaves intact and in no way affects the level of protection of natural persons with regard to the processing of personal data under the provisions of Union and Member State law, and in particular does not alter the obligations and rights set out in this Regulation. In particular, that Directive should not apply to documents to which access is excluded or restricted by virtue of the access regimes on the grounds of protection of personal data, and parts of documents accessible by virtue of those regimes which contain personal data the re-use of which has been provided for by law as being incompatible with the law concerning the protection of natural persons with regard to the processing of personal data. (155) Member State law or collective agreements, including ‘works agreements’, may provide for specific rules on the processing of employees' personal data in the employment context, in particular for the conditions under which personal data in the employment context may be processed on the basis of the consent of the employee, the purposes of the recruitment, the performance of the contract of employment, including discharge of obligations laid down by law or by collective agreements, management, planning and organisation of work, equality and diversity in the workplace, health and safety at work, and for the purposes of the exercise and enjoyment, on an individual or collective basis, of rights and benefits related to employment, and for the purpose of the termination of the employment relationship. (156) The processing of personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes should be subject to appropriate safeguards for the rights and freedoms of the data subject pursuant to this Regulation. Those safeguards should ensure that technical and organisational measures are in place in order to ensure, in particular, the principle of data minimisation. The further processing of personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes is to be carried out when the controller has assessed the feasibility to fulfil those purposes by processing data which do not permit or no longer permit the identification of data subjects, provided that appropriate safeguards exist (such as, for instance, pseudonymisation of the data). Member States should provide for appropriate safeguards for the processing of personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. Member States should be authorised to provide, under specific conditions and subject to appropriate safeguards for data subjects, specifications and derogations with regard to the information requirements and rights to rectification, to erasure, to be forgotten, to restriction of processing, to data portability, and to object when processing personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. The conditions and safeguards in question may entail specific procedures for data subjects to exercise those rights if this is appropriate in the light of the purposes sought by the specific processing along with technical and organisational measures aimed at minimising the processing of personal data in pursuance of the proportionality and necessity principles. The processing of personal data for scientific purposes should also comply with other relevant legislation such as on clinical trials. (157) By coupling information from registries, researchers can obtain new knowledge of great value with regard to widespread medical conditions such as cardiovascular disease, cancer and depression. On the basis of registries, research results can be enhanced, as they draw on a larger population. Within social science, research on the basis of registries enables researchers to obtain essential knowledge about the long-term correlation of a number of social conditions such as unemployment and education with other life conditions. Research results obtained through registries provide solid, high-quality knowledge which can provide the basis for the formulation and implementation of knowledge-based policy, improve the quality of life for a number of people and improve the efficiency of social services. In order to facilitate scientific research, personal data can be processed for scientific research purposes, subject to appropriate conditions and safeguards set out in Union or Member State law. (158) Where personal data are processed for archiving purposes, this Regulation should also apply to that processing, bearing in mind that this Regulation should not apply to deceased persons. Public authorities or public or private bodies that hold records of public interest should be services which, pursuant to Union or Member State law, have a legal obligation to acquire, preserve, appraise, arrange, describe, communicate, promote, disseminate and provide access to records of enduring value for general public interest. Member States should also be authorised to provide for the further processing of personal data for archiving purposes, for example with a view to providing specific information related to the political behaviour under former totalitarian state regimes, genocide, crimes against humanity, in particular the Holocaust, or war crimes. (159) Where personal data are processed for scientific research purposes, this Regulation should also apply to that processing. For the purposes of this Regulation, the processing of personal data for scientific research purposes should be interpreted in a broad manner including for example technological development and demonstration, fundamental research, applied research and privately funded research. In addition, it should take into account the Union's objective under Article 179(1) TFEU of achieving a European Research Area. Scientific research purposes should also include studies conducted in the public interest in the area of public health. To meet the specificities of processing personal data for scientific research purposes, specific conditions should apply in particular as regards the publication or otherwise disclosure of personal data in the context of scientific research purposes. If the result of scientific research in particular in the health context gives reason for further measures in the interest of the data subject, the general rules of this Regulation should apply in view of those measures. (160) Where personal data are processed for historical research purposes, this Regulation should also apply to that processing. This should also include historical research and research for genealogical purposes, bearing in mind that this Regulation should not apply to deceased persons.
(161) For the purpose of consenting to the participation in scientific research activities in clinical trials, the relevant provisions of Regulation (EU) No 536/2014 of the European Parliament and of the Council should apply. (162) Where personal data are processed for statistical purposes, this Regulation should apply to that processing. Union or Member State law should, within the limits of this Regulation, determine statistical content, control of access, specifications for the processing of personal data for statistical purposes and appropriate measures to safeguard the rights and freedoms of the data subject and for ensuring statistical confidentiality. Statistical purposes mean any operation of collection and the processing of personal data necessary for statistical surveys or for the production of statistical results. Those statistical results may further be used for different purposes, including a scientific research purpose. The statistical purpose implies that the result of processing for statistical purposes is not personal data, but aggregate data, and that this result or the personal data are not used in support of measures or decisions regarding any particular natural person. (163) The confidential information which the Union and national statistical authorities collect for the production of official European and official national statistics should be protected. European statistics should be developed, produced and disseminated in accordance with the statistical principles as set out in Article 338(2) TFEU, while national statistics should also comply with Member State law. Regulation (EC) No 223/2009 of the European Parliament and of the Council provides further specifications on statistical confidentiality for European statistics. (164) As regards the powers of the supervisory authorities to obtain from the controller or processor access to personal data and access to their premises, Member States may adopt by law, within the limits of this Regulation, specific rules in order to safeguard the professional or other equivalent secrecy obligations, in so far as necessary to reconcile the right to the protection of personal data with an obligation of professional secrecy. This is without prejudice to existing Member State obligations to adopt rules on professional secrecy where required by Union law. (165) This Regulation respects and does not prejudice the status under existing constitutional law of churches and religious associations or communities in the Member States, as recognised in Article 17 TFEU. (166) In order to fulfil the objectives of this Regulation, namely to protect the fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data and to ensure the free movement of personal data within the Union, the power to adopt acts in accordance with Article 290 TFEU should be delegated to the Commission. In particular, delegated acts should be adopted in respect of criteria and requirements for certification mechanisms, information to be presented by standardised icons and procedures for providing such icons. It is of particular importance that the Commission carry out appropriate consultations during its preparatory work, including at expert level. The Commission, when preparing and drawing-up delegated acts, should ensure a simultaneous, timely and appropriate transmission of relevant documents to the European Parliament and to the Council. (167) In order to ensure uniform conditions for the implementation of this Regulation, implementing powers should be conferred on the Commission when provided for by this Regulation. Those powers should be exercised in accordance with Regulation (EU) No 182/2011. In that context, the Commission should consider specific measures for micro, small and medium-sized enterprises. (168) The examination procedure should be used for the adoption of implementing acts on standard contractual clauses between controllers and processors and between processors; codes of conduct; technical standards and mechanisms for certification; the adequate level of protection afforded by a third country, a territory or a specified sector within that third country, or an international organisation; standard protection clauses; formats and procedures for the exchange of information by electronic means between controllers, processors and supervisory authorities for binding corporate rules; mutual assistance; and arrangements for the exchange of information by electronic means between supervisory authorities, and between supervisory authorities and the Board. (169) The Commission should adopt immediately applicable implementing acts where available evidence reveals that a third country, a territory or a specified sector within that third country, or an international organisation does not ensure an adequate level of protection, and imperative grounds of urgency so require. (170) Since the objective of this Regulation, namely to ensure an equivalent level of protection of natural persons and the free flow of personal data throughout the Union, cannot be sufficiently achieved by the Member States and can rather, by reason of the scale or effects of the action, be better achieved at Union level, the Union may adopt measures, in accordance with the principle of subsidiarity as set out in Article 5 of the Treaty on European Union (TEU). In accordance with the principle of proportionality as set out in that Article, this Regulation does not go beyond what is necessary in order to achieve that objective. (171) Directive 95/46/EC should be repealed by this Regulation. Processing already under way on the date of application of this Regulation should be brought into conformity with this Regulation within the period of two years after which this Regulation enters into force. Where processing is based on consent pursuant to Directive 95/46/EC, it is not necessary for the data subject to give his or her consent again if the manner in which the consent has been given is in line with the conditions of this Regulation, so as to allow the controller to continue such processing after the date of application of this Regulation. Commission decisions adopted and authorisations by supervisory authorities based on Directive 95/46/EC remain in force until amended, replaced or repealed. (172) The European Data Protection Supervisor was consulted in accordance with Article 28(2) of Regulation (EC) No 45/2001 and delivered an opinion on 7 March 2012. (173) This Regulation should apply to all matters concerning the protection of fundamental rights and freedoms vis-à- vis the processing of personal data which are not subject to specific obligations with the same objective set out in Directive 2002/58/EC of the European Parliament and of the Council, including the obligations on the controller and the rights of natural persons. In order to clarify the relationship between this Regulation and Directive 2002/58/EC, that Directive should be amended accordingly. Once this Regulation is adopted, Directive 2002/58/EC should be reviewed in particular in order to ensure consistency with this Regulation, HAVE ADOPTED THIS REGULATION:
(a) in the course of an activity which falls outside the scope of Union law; (b) by the Member States when carrying out activities which fall within the scope of Chapter 2 of Title V of the TEU; (c) by a natural person in the course of a purely personal or household activity; (d) by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security.
(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or (b) the monitoring of their behaviour as far as their behaviour takes place within the Union.
For the purposes of this Regulation: (1) ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person; (2) ‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction; (3) ‘restriction of processing’ means the marking of stored personal data with the aim of limiting their processing in the future; (4) ‘profiling’ means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person's performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements; (5) ‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person; (6) ‘filing system’ means any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis; (7) ‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law; (8) ‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller; (9) ‘recipient’ means a natural or legal person, public authority, agency or another body, to which the personal data are disclosed, whether a third party or not. However, public authorities which may receive personal data in the framework of a particular inquiry in accordance with Union or Member State law shall not be regarded as recipients; the processing of those data by those public authorities shall be in compliance with the applicable data protection rules according to the purposes of the processing; (10)‘third party’ means a natural or legal person, public authority, agency or body other than the data subject, controller, processor and persons who, under the direct authority of the controller or processor, are authorised to process personal data; (11)‘consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her; (12)‘personal data breach’ means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed; (13)‘genetic data’ means personal data relating to the inherited or acquired genetic characteristics of a natural person which give unique information about the physiology or the health of that natural person and which result, in particular, from an analysis of a biological sample from the natural person in question; (14)‘biometric data’ means personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, which allow or confirm the unique identification of that natural person, such as facial images or dactyloscopic data; (15)‘data concerning health’ means personal data related to the physical or mental health of a natural person, including the provision of health care services, which reveal information about his or her health status; (16)‘main establishment’ means: (a) as regards a controller with establishments in more than one Member State, the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union and the latter establishment has the power to have such decisions implemented, in which case the establishment having taken such decisions is to be considered to be the main establishment; (b) as regards a processor with establishments in more than one Member State, the place of its central administration in the Union, or, if the processor has no central administration in the Union, the establishment of the processor in the Union where the main processing activities in the context of the activities of an establishment of the processor take place to the extent that the processor is subject to specific obligations under this Regulation; (17)‘representative’ means a natural or legal person established in the Union who, designated by the controller or processor in writing pursuant to Article 27, represents the controller or processor with regard to their respective obligations under this Regulation; (18)‘enterprise’ means a natural or legal person engaged in an economic activity, irrespective of its legal form, including partnerships or associations regularly engaged in an economic activity; (19)‘group of undertakings’ means a controlling undertaking and its controlled undertakings; (20)‘binding corporate rules’ means personal data protection policies which are adhered to by a controller or processor established on the territory of a Member State for transfers or a set of transfers of personal data to a controller or processor in one or more third countries within a group of undertakings, or group of enterprises engaged in a joint economic activity; (21)‘supervisory authority’ means an independent public authority which is established by a Member State pursuant to Article 51; (22)‘supervisory authority concerned’ means a supervisory authority which is concerned by the processing of personal data because: (a) the controller or processor is established on the territory of the Member State of that supervisory authority; (b) data subjects residing in the Member State of that supervisory authority are substantially affected or likely to be substantially affected by the processing; or (c) a complaint has been lodged with that supervisory authority; (23)‘cross-border processing’ means either: (a) processing of personal data which takes place in the context of the activities of establishments in more than one Member State of a controller or processor in the Union where the controller or processor is established in more than one Member State; or (b) processing of personal data which takes place in the context of the activities of a single establishment of a controller or processor in the Union but which substantially affects or is likely to substantially affect data subjects in more than one Member State. (24)‘relevant and reasoned objection’ means an objection to a draft decision as to whether there is an infringement of this Regulation, or whether envisaged action in relation to the controller or processor complies with this Regulation, which clearly demonstrates the significance of the risks posed by the draft decision as regards the fundamental rights and freedoms of data subjects and, where applicable, the free flow of personal data within the Union; (25)‘information society service’ means a service as defined in point (b) of Article 1(1) of Directive (EU) 2015/1535 of the European Parliament and of the Council; (26)‘international organisation’ means an organisation and its subordinate bodies governed by public international law, or any other body which is set up by, or on the basis of, an agreement between two or more countries.
(a) processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’); (b) collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall, in accordance with Article 89(1), not be considered to be incompatible with the initial purposes (‘purpose limitation’); (c) adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’); (d) accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay (‘accuracy’); (e) kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the personal data will be processed solely for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) subject to implementation of the appropriate technical and organisational measures required by this Regulation in order to safeguard the rights and freedoms of the data subject (‘storage limitation’); (f) processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).
(a) the data subject has given consent to the processing of his or her personal data for one or more specific purposes; (b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract; (c) processing is necessary for compliance with a legal obligation to which the controller is subject; (d) processing is necessary in order to protect the vital interests of the data subject or of another natural person; (e) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller; (f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child. Point (f) of the first subparagraph shall not apply to processing carried out by public authorities in the performance of their tasks.
(a) Union law; or (b) Member State law to which the controller is subject. The purpose of the processing shall be determined in that legal basis or, as regards the processing referred to in point (e) of paragraph 1, shall be necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. That legal basis may contain specific provisions to adapt the application of rules of this Regulation, inter alia: the general conditions governing the lawfulness of processing by the controller; the types of data which are subject to the processing; the data subjects concerned; the entities to, and the purposes for which, the personal data may be disclosed; the purpose limitation; storage periods; and processing operations and processing procedures, including measures to ensure lawful and fair processing such as those for other specific processing situations as provided for in Chapter IX. The Union or the Member State law shall meet an objective of public interest and be proportionate to the legitimate aim pursued.
(a) any link between the purposes for which the personal data have been collected and the purposes of the intended further processing; (b) the context in which the personal data have been collected, in particular regarding the relationship between data subjects and the controller; (c) the nature of the personal data, in particular whether special categories of personal data are processed, pursuant to Article 9, or whether personal data related to criminal convictions and offences are processed, pursuant to Article 10; (d) the possible consequences of the intended further processing for data subjects; (e) the existence of appropriate safeguards, which may include encryption or pseudonymisation.
Member States may provide by law for a lower age for those purposes provided that such lower age is not below 13 years.
(a) the data subject has given explicit consent to the processing of those personal data for one or more specified purposes, except where Union or Member State law provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject; (b) processing is necessary for the purposes of carrying out the obligations and exercising specific rights of the controller or of the data subject in the field of employment and social security and social protection law in so far as it is authorised by Union or Member State law or a collective agreement pursuant to Member State law providing for appropriate safeguards for the fundamental rights and the interests of the data subject; (c) processing is necessary to protect the vital interests of the data subject or of another natural person where the data subject is physically or legally incapable of giving consent; (d) processing is carried out in the course of its legitimate activities with appropriate safeguards by a foundation, association or any other not-for-profit body with a political, philosophical, religious or trade union aim and on condition that the processing relates solely to the members or to former members of the body or to persons who have regular contact with it in connection with its purposes and that the personal data are not disclosed outside that body without the consent of the data subjects; (e) processing relates to personal data which are manifestly made public by the data subject; (f) processing is necessary for the establishment, exercise or defence of legal claims or whenever courts are acting in their judicial capacity; (g) processing is necessary for reasons of substantial public interest, on the basis of Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject; (h) processing is necessary for the purposes of preventive or occupational medicine, for the assessment of the working capacity of the employee, medical diagnosis, the provision of health or social care or treatment or the management of health or social care systems and services on the basis of Union or Member State law or pursuant to contract with a health professional and subject to the conditions and safeguards referred to in paragraph 3; (i) processing is necessary for reasons of public interest in the area of public health, such as protecting against serious cross-border threats to health or ensuring high standards of quality and safety of health care and of medicinal products or medical devices, on the basis of Union or Member State law which provides for suitable and specific measures to safeguard the rights and freedoms of the data subject, in particular professional secrecy; (j) processing is necessary for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) based on Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject.
Processing of personal data relating to criminal convictions and offences or related security measures based on Article 6(1) shall be carried out only under the control of official authority or when the processing is authorised by Union or Member State law providing for appropriate safeguards for the rights and freedoms of data subjects. Any comprehensive register of criminal convictions shall be kept only under the control of official authority.
(a) charge a reasonable fee taking into account the administrative costs of providing the information or communication or taking the action requested; or (b) refuse to act on the request. The controller shall bear the burden of demonstrating the manifestly unfounded or excessive character of the request.
(a) the identity and the contact details of the controller and, where applicable, of the controller's representative; (b) the contact details of the data protection officer, where applicable; (c) the purposes of the processing for which the personal data are intended as well as the legal basis for the processing; (d) where the processing is based on point (f) of Article 6(1), the legitimate interests pursued by the controller or by a third party; (e) the recipients or categories of recipients of the personal data, if any; (f) where applicable, the fact that the controller intends to transfer personal data to a third country or international organisation and the existence or absence of an adequacy decision by the Commission, or in the case of transfers referred to in Article 46 or 47, or the second subparagraph of Article 49(1), reference to the appropriate or suitable safeguards and the means by which to obtain a copy of them or where they have been made available.
(a) the period for which the personal data will be stored, or if that is not possible, the criteria used to determine that period; (b) the existence of the right to request from the controller access to and rectification or erasure of personal data or restriction of processing concerning the data subject or to object to processing as well as the right to data portability; (c) where the processing is based on point (a) of Article 6(1) or point (a) of Article 9(2), the existence of the right to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal; (d) the right to lodge a complaint with a supervisory authority; (e) whether the provision of personal data is a statutory or contractual requirement, or a requirement necessary to enter into a contract, as well as whether the data subject is obliged to provide the personal data and of the possible consequences of failure to provide such data; (f) the existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.
(a) the identity and the contact details of the controller and, where applicable, of the controller's representative; (b) the contact details of the data protection officer, where applicable; (c) the purposes of the processing for which the personal data are intended as well as the legal basis for the processing; (d) the categories of personal data concerned; (e) the recipients or categories of recipients of the personal data, if any; (f) where applicable, that the controller intends to transfer personal data to a recipient in a third country or international organisation and the existence or absence of an adequacy decision by the Commission, or in the case of transfers referred to in Article 46 or 47, or the second subparagraph of Article 49(1), reference to the appropriate or suitable safeguards and the means to obtain a copy of them or where they have been made available.
(a) the period for which the personal data will be stored, or if that is not possible, the criteria used to determine that period; (b) where the processing is based on point (f) of Article 6(1), the legitimate interests pursued by the controller or by a third party; (c) the existence of the right to request from the controller access to and rectification or erasure of personal data or restriction of processing concerning the data subject and to object to processing as well as the right to data portability; (d) where processing is based on point (a) of Article 6(1) or point (a) of Article 9(2), the existence of the right to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal; (e) the right to lodge a complaint with a supervisory authority; (f) from which source the personal data originate, and if applicable, whether it came from publicly accessible sources; (g) the existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.
(a) within a reasonable period after obtaining the personal data, but at the latest within one month, having regard to the specific circumstances in which the personal data are processed; (b) if the personal data are to be used for communication with the data subject, at the latest at the time of the first communication to that data subject; or (c) if a disclosure to another recipient is envisaged, at the latest when the personal data are first disclosed.
(a) the data subject already has the information; (b) the provision of such information proves impossible or would involve a disproportionate effort, in particular for processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, subject to the conditions and safeguards referred to in Article 89(1) or in so far as the obligation referred to in paragraph 1 of this Article is likely to render impossible or seriously impair the achievement of the objectives of that processing. In such cases the controller shall take appropriate measures to protect the data subject's rights and freedoms and legitimate interests, including making the information publicly available; (c) obtaining or disclosure is expressly laid down by Union or Member State law to which the controller is subject and which provides appropriate measures to protect the data subject's legitimate interests; or (d) where the personal data must remain confidential subject to an obligation of professional secrecy regulated by Union or Member State law, including a statutory obligation of secrecy.
(a) the purposes of the processing; (b) the categories of personal data concerned; (c) the recipients or categories of recipient to whom the personal data have been or will be disclosed, in particular recipients in third countries or international organisations; (d) where possible, the envisaged period for which the personal data will be stored, or, if not possible, the criteria used to determine that period; (e) the existence of the right to request from the controller rectification or erasure of personal data or restriction of processing of personal data concerning the data subject or to object to such processing; (f) the right to lodge a complaint with a supervisory authority; (g) where the personal data are not collected from the data subject, any available information as to their source; (h) the existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.
The data subject shall have the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her. Taking into account the purposes of the processing, the data subject shall have the right to have incomplete personal data completed, including by means of providing a supplementary statement.
(a) the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed; (b) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or point (a) of Article 9(2), and where there is no other legal ground for the processing; (c) the data subject objects to the processing pursuant to Article 21(1) and there are no overriding legitimate grounds for the processing, or the data subject objects to the processing pursuant to Article 21(2); (d) the personal data have been unlawfully processed; (e) the personal data have to be erased for compliance with a legal obligation in Union or Member State law to which the controller is subject; (f) the personal data have been collected in relation to the offer of information society services referred to in Article 8(1).
(a) for exercising the right of freedom of expression and information; (b) for compliance with a legal obligation which requires processing by Union or Member State law to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller; (c) for reasons of public interest in the area of public health in accordance with points (h) and (i) of Article 9(2) as well as Article 9(3); (d) for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) in so far as the right referred to in paragraph 1 is likely to render impossible or seriously impair the achievement of the objectives of that processing; or (e) for the establishment, exercise or defence of legal claims.
(a) the accuracy of the personal data is contested by the data subject, for a period enabling the controller to verify the accuracy of the personal data; (b) the processing is unlawful and the data subject opposes the erasure of the personal data and requests the restriction of their use instead; (c) the controller no longer needs the personal data for the purposes of the processing, but they are required by the data subject for the establishment, exercise or defence of legal claims; (d) the data subject has objected to processing pursuant to Article 21(1) pending the verification whether the legitimate grounds of the controller override those of the data subject.
The controller shall communicate any rectification or erasure of personal data or restriction of processing carried out in accordance with Article 16, Article 17(1) and Article 18 to each recipient to whom the personal data have been disclosed, unless this proves impossible or involves disproportionate effort. The controller shall inform the data subject about those recipients if the data subject requests it.
(a) the processing is based on consent pursuant to point (a) of Article 6(1) or point (a) of Article 9(2) or on a contract pursuant to point (b) of Article 6(1); and (b) the processing is carried out by automated means.
(a) is necessary for entering into, or performance of, a contract between the data subject and a data controller; (b) is authorised by Union or Member State law to which the controller is subject and which also lays down suitable measures to safeguard the data subject's rights and freedoms and legitimate interests; or (c) is based on the data subject's explicit consent.
(a) national security; (b) defence; (c) public security; (d) the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security; (e) other important objectives of general public interest of the Union or of a Member State, in particular an important economic or financial interest of the Union or of a Member State, including monetary, budgetary and taxation a matters, public health and social security; (f) the protection of judicial independence and judicial proceedings; (g) the prevention, investigation, detection and prosecution of breaches of ethics for regulated professions; (h) a monitoring, inspection or regulatory function connected, even occasionally, to the exercise of official authority in the cases referred to in points (a) to (e) and (g); (i) the protection of the data subject or the rights and freedoms of others; (j) the enforcement of civil law claims.
(a) the purposes of the processing or categories of processing; (b) the categories of personal data; (c) the scope of the restrictions introduced; (d) the safeguards to prevent abuse or unlawful access or transfer; (e) the specification of the controller or categories of controllers; (f) the storage periods and the applicable safeguards taking into account the nature, scope and purposes of the processing or categories of processing; (g) the risks to the rights and freedoms of data subjects; and (h) the right of data subjects to be informed about the restriction, unless that may be prejudicial to the purpose of the restriction.
(a) processing which is occasional, does not include, on a large scale, processing of special categories of data as referred to in Article 9(1) or processing of personal data relating to criminal convictions and offences referred to in Article 10, and is unlikely to result in a risk to the rights and freedoms of natural persons, taking into account the nature, context, scope and purposes of the processing; or (b) a public authority or body.
(a) processes the personal data only on documented instructions from the controller, including with regard to transfers of personal data to a third country or an international organisation, unless required to do so by Union or Member State law to which the processor is subject; in such a case, the processor shall inform the controller of that legal requirement before processing, unless that law prohibits such information on important grounds of public interest; (b) ensures that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality; (c) takes all measures required pursuant to Article 32; (d) respects the conditions referred to in paragraphs 2 and 4 for engaging another processor; (e) taking into account the nature of the processing, assists the controller by appropriate technical and organisational measures, insofar as this is possible, for the fulfilment of the controller's obligation to respond to requests for exercising the data subject's rights laid down in Chapter III; (f) assists the controller in ensuring compliance with the obligations pursuant to Articles 32 to 36 taking into account the nature of processing and the information available to the processor; (g) at the choice of the controller, deletes or returns all the personal data to the controller after the end of the provision of services relating to processing, and deletes existing copies unless Union or Member State law requires storage of the personal data; (h) makes available to the controller all information necessary to demonstrate compliance with the obligations laid down in this Article and allow for and contribute to audits, including inspections, conducted by the controller or another auditor mandated by the controller. With regard to point (h) of the first subparagraph, the processor shall immediately inform the controller if, in its opinion, an instruction infringes this Regulation or other Union or Member State data protection provisions.
The processor and any person acting under the authority of the controller or of the processor, who has access to personal data, shall not process those data except on instructions from the controller, unless required to do so by Union or Member State law.
(a) the name and contact details of the controller and, where applicable, the joint controller, the controller's representative and the data protection officer; (b) the purposes of the processing; (c) a description of the categories of data subjects and of the categories of personal data; (d) the categories of recipients to whom the personal data have been or will be disclosed including recipients in third countries or international organisations; (e) where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and, in the case of transfers referred to in the second subparagraph of Article 49(1), the documentation of suitable safeguards; (f) where possible, the envisaged time limits for erasure of the different categories of data; (g) where possible, a general description of the technical and organisational security measures referred to in Article 32(1).
(a) the name and contact details of the processor or processors and of each controller on behalf of which the processor is acting, and, where applicable, of the controller's or the processor's representative, and the data protection officer; (b) the categories of processing carried out on behalf of each controller; (c) where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and, in the case of transfers referred to in the second subparagraph of Article 49(1), the documentation of suitable safeguards; (d) where possible, a general description of the technical and organisational security measures referred to in Article 32(1).
The controller and the processor and, where applicable, their representatives, shall cooperate, on request, with the supervisory authority in the performance of its tasks.
(a) the pseudonymisation and encryption of personal data; (b) the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services; (c) the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident; (d) a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing.
(a) describe the nature of the personal data breach including where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of personal data records concerned; (b) communicate the name and contact details of the data protection officer or other contact point where more information can be obtained; (c) describe the likely consequences of the personal data breach; (d) describe the measures taken or proposed to be taken by the controller to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects.
(a) the controller has implemented appropriate technical and organisational protection measures, and those measures were applied to the personal data affected by the personal data breach, in particular those that render the personal data unintelligible to any person who is not authorised to access it, such as encryption; (b) the controller has taken subsequent measures which ensure that the high risk to the rights and freedoms of data subjects referred to in paragraph 1 is no longer likely to materialise; (c) it would involve disproportionate effort. In such a case, there shall instead be a public communication or similar measure whereby the data subjects are informed in an equally effective manner.
(a) a systematic and extensive evaluation of personal aspects relating to natural persons which is based on automated processing, including profiling, and on which decisions are based that produce legal effects concerning the natural person or similarly significantly affect the natural person; (b) processing on a large scale of special categories of data referred to in Article 9(1), or of personal data relating to criminal convictions and offences referred to in Article 10; or (c) a systematic monitoring of a publicly accessible area on a large scale.
(a) a systematic description of the envisaged processing operations and the purposes of the processing, including, where applicable, the legitimate interest pursued by the controller; (b) an assessment of the necessity and proportionality of the processing operations in relation to the purposes; (c) an assessment of the risks to the rights and freedoms of data subjects referred to in paragraph 1; and (d) the measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Regulation taking into account the rights and legitimate interests of data subjects and other persons concerned.
(a) where applicable, the respective responsibilities of the controller, joint controllers and processors involved in the processing, in particular for processing within a group of undertakings; (b) the purposes and means of the intended processing; (c) the measures and safeguards provided to protect the rights and freedoms of data subjects pursuant to this Regulation; (d) where applicable, the contact details of the data protection officer; (e) the data protection impact assessment provided for in Article 35; and (f) any other information requested by the supervisory authority.
(a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity; (b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or (c) the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 and personal data relating to criminal convictions and offences referred to in Article 10.
(a) to inform and advise the controller or the processor and the employees who carry out processing of their obligations pursuant to this Regulation and to other Union or Member State data protection provisions; (b) to monitor compliance with this Regulation, with other Union or Member State data protection provisions and with the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in processing operations, and the related audits; (c) to provide advice where requested as regards the data protection impact assessment and monitor its performance pursuant to Article 35; (d) to cooperate with the supervisory authority; (e) to act as the contact point for the supervisory authority on issues relating to processing, including the prior consultation referred to in Article 36, and to consult, where appropriate, with regard to any other matter.
(a) fair and transparent processing; (b) the legitimate interests pursued by controllers in specific contexts; (c) the collection of personal data; (d) the pseudonymisation of personal data; (e) the information provided to the public and to data subjects; (f) the exercise of the rights of data subjects; (g) the information provided to, and the protection of, children, and the manner in which the consent of the holders of parental responsibility over children is to be obtained; (h) the measures and procedures referred to in Articles 24 and 25 and the measures to ensure security of processing referred to in Article 32; (i) the notification of personal data breaches to supervisory authorities and the communication of such personal data breaches to data subjects; (j) the transfer of personal data to third countries or international organisations; or (k) out-of-court proceedings and other dispute resolution procedures for resolving disputes between controllers and data subjects with regard to processing, without prejudice to the rights of data subjects pursuant to Articles 77 and 79.
(a) demonstrated its independence and expertise in relation to the subject-matter of the code to the satisfaction of the competent supervisory authority; (b) established procedures which allow it to assess the eligibility of controllers and processors concerned to apply the code, to monitor their compliance with its provisions and to periodically review its operation; (c) established procedures and structures to handle complaints about infringements of the code or the manner in which the code has been, or is being, implemented by a controller or processor, and to make those procedures and structures transparent to data subjects and the public; and (d) demonstrated to the satisfaction of the competent supervisory authority that its tasks and duties do not result in a conflict of interests.
(a) the supervisory authority which is competent pursuant to Article 55 or 56; (b) the national accreditation body named in accordance with Regulation (EC) No 765/2008 of the European Parliament and of the Council in accordance with EN-ISO/IEC 17065/2012 and with the additional requirements established by the supervisory authority which is competent pursuant to Article 55 or 56.
(a) demonstrated their independence and expertise in relation to the subject-matter of the certification to the satisfaction of the competent supervisory authority; (b) undertaken to respect the criteria referred to in Article 42(5) and approved by the supervisory authority which is competent pursuant to Article 55 or 56 or by the Board pursuant to Article 63; (c) established procedures for the issuing, periodic review and withdrawal of data protection certification, seals and marks; (d) established procedures and structures to handle complaints about infringements of the certification or the manner in which the certification has been, or is being, implemented by the controller or processor, and to make those procedures and structures transparent to data subjects and the public; and (e) demonstrated, to the satisfaction of the competent supervisory authority, that their tasks and duties do not result in a conflict of interests.
Any transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation shall take place only if, subject to the other provisions of this Regulation, the conditions laid down in this Chapter are complied with by the controller and processor, including for onward transfers of personal data from the third country or an international organisation to another third country or to another international organisation. All provisions in this Chapter shall be applied in order to ensure that the level of protection of natural persons guaranteed by this Regulation is not undermined.
(a) the rule of law, respect for human rights and fundamental freedoms, relevant legislation, both general and sectoral, including concerning public security, defence, national security and criminal law and the access of public authorities to personal data, as well as the implementation of such legislation, data protection rules, professional rules and security measures, including rules for the onward transfer of personal data to another third country or international organisation which are complied with in that country or international organisation, case-law, as well as effective and enforceable data subject rights and effective administrative and judicial redress for the data subjects whose personal data are being transferred; (b) the existence and effective functioning of one or more independent supervisory authorities in the third country or to which an international organisation is subject, with responsibility for ensuring and enforcing compliance with the data protection rules, including adequate enforcement powers, for assisting and advising the data subjects in exercising their rights and for cooperation with the supervisory authorities of the Member States; and (c) the international commitments the third country or international organisation concerned has entered into, or other obligations arising from legally binding conventions or instruments as well as from its participation in multilateral or regional systems, in particular in relation to the protection of personal data.
On duly justified imperative grounds of urgency, the Commission shall adopt immediately applicable implementing acts in accordance with the procedure referred to in Article 93(3).
(a) a legally binding and enforceable instrument between public authorities or bodies; (b) binding corporate rules in accordance with Article 47; (c) standard data protection clauses adopted by the Commission in accordance with the examination procedure referred to in Article 93(2); (d) standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to in Article 93(2); (e) an approved code of conduct pursuant to Article 40 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects' rights; or (f) an approved certification mechanism pursuant to Article 42 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects' rights.
(a) contractual clauses between the controller or processor and the controller, processor or the recipient of the personal data in the third country or international organisation; or (b) provisions to be inserted into administrative arrangements between public authorities or bodies which include enforceable and effective data subject rights.
(a) are legally binding and apply to and are enforced by every member concerned of the group of undertakings, or group of enterprises engaged in a joint economic activity, including their employees; (b) expressly confer enforceable rights on data subjects with regard to the processing of their personal data; and (c) fulfil the requirements laid down in paragraph 2.
(a) the structure and contact details of the group of undertakings, or group of enterprises engaged in a joint economic activity and of each of its members; (b) the data transfers or set of transfers, including the categories of personal data, the type of processing and its purposes, the type of data subjects affected and the identification of the third country or countries in question; (c) their legally binding nature, both internally and externally; (d) the application of the general data protection principles, in particular purpose limitation, data minimisation, limited storage periods, data quality, data protection by design and by default, legal basis for processing, processing of special categories of personal data, measures to ensure data security, and the requirements in respect of onward transfers to bodies not bound by the binding corporate rules; (e) the rights of data subjects in regard to processing and the means to exercise those rights, including the right not to be subject to decisions based solely on automated processing, including profiling in accordance with Article 22, the right to lodge a complaint with the competent supervisory authority and before the competent courts of the Member States in accordance with Article 79, and to obtain redress and, where appropriate, compensation for a breach of the binding corporate rules; (f) the acceptance by the controller or processor established on the territory of a Member State of liability for any breaches of the binding corporate rules by any member concerned not established in the Union; the controller or the processor shall be exempt from that liability, in whole or in part, only if it proves that that member is not responsible for the event giving rise to the damage; (g) how the information on the binding corporate rules, in particular on the provisions referred to in points (d), (e) and (f) of this paragraph is provided to the data subjects in addition to Articles 13 and 14; (h) the tasks of any data protection officer designated in accordance with Article 37 or any other person or entity in charge of the monitoring compliance with the binding corporate rules within the group of undertakings, or group of enterprises engaged in a joint economic activity, as well as monitoring training and complaint-handling; (i) the complaint procedures; (j) the mechanisms within the group of undertakings, or group of enterprises engaged in a joint economic activity for ensuring the verification of compliance with the binding corporate rules. Such mechanisms shall include data protection audits and methods for ensuring corrective actions to protect the rights of the data subject. Results of such verification should be communicated to the person or entity referred to in point (h) and to the board of the controlling undertaking of a group of undertakings, or of the group of enterprises engaged in a joint economic activity, and should be available upon request to the competent supervisory authority; (k) the mechanisms for reporting and recording changes to the rules and reporting those changes to the supervisory authority; (l) the cooperation mechanism with the supervisory authority to ensure compliance by any member of the group of undertakings, or group of enterprises engaged in a joint economic activity, in particular by making available to the supervisory authority the results of verifications of the measures referred to in point (j); (m) the mechanisms for reporting to the competent supervisory authority any legal requirements to which a member of the group of undertakings, or group of enterprises engaged in a joint economic activity is subject in a third country which are likely to have a substantial adverse effect on the guarantees provided by the binding corporate rules; and (n) the appropriate data protection training to personnel having permanent or regular access to personal data.
Any judgment of a court or tribunal and any decision of an administrative authority of a third country requiring a controller or processor to transfer or disclose personal data may only be recognised or enforceable in any manner if based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State, without prejudice to other grounds for transfer pursuant to this Chapter.
(a) the data subject has explicitly consented to the proposed transfer, after having been informed of the possible risks of such transfers for the data subject due to the absence of an adequacy decision and appropriate safeguards; (b) the transfer is necessary for the performance of a contract between the data subject and the controller or the implementation of pre-contractual measures taken at the data subject's request; (c) the transfer is necessary for the conclusion or performance of a contract concluded in the interest of the data subject between the controller and another natural or legal person; (d) the transfer is necessary for important reasons of public interest; (e) the transfer is necessary for the establishment, exercise or defence of legal claims; (f) the transfer is necessary in order to protect the vital interests of the data subject or of other persons, where the data subject is physically or legally incapable of giving consent; (g) the transfer is made from a register which according to Union or Member State law is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can demonstrate a legitimate interest, but only to the extent that the conditions laid down by Union or Member State law for consultation are fulfilled in the particular case. Where a transfer could not be based on a provision in Article 45 or 46, including the provisions on binding corporate rules, and none of the derogations for a specific situation referred to in the first subparagraph of this paragraph is applicable, a transfer to a third country or an international organisation may take place only if the transfer is not repetitive, concerns only a limited number of data subjects, is necessary for the purposes of compelling legitimate interests pursued by the controller which are not overridden by the interests or rights and freedoms of the data subject, and the controller has assessed all the circumstances surrounding the data transfer and has on the basis of that assessment provided suitable safeguards with regard to the protection of personal data. The controller shall inform the supervisory authority of the transfer. The controller shall, in addition to providing the information referred to in Articles 13 and 14, inform the data subject of the transfer and on the compelling legitimate interests pursued.
In relation to third countries and international organisations, the Commission and supervisory authorities shall take appropriate steps to: (a) develop international cooperation mechanisms to facilitate the effective enforcement of legislation for the protection of personal data; (b) provide international mutual assistance in the enforcement of legislation for the protection of personal data, including through notification, complaint referral, investigative assistance and information exchange, subject to appropriate safeguards for the protection of personal data and other fundamental rights and freedoms; (c) engage relevant stakeholders in discussion and activities aimed at furthering international cooperation in the enforcement of legislation for the protection of personal data; (d) promote the exchange and documentation of personal data protection legislation and practice, including on jurisdictional conflicts with third countries.
— their parliament; — their government; — their head of State; or — an independent body entrusted with the appointment under Member State law.
(a) the establishment of each supervisory authority; (b) the qualifications and eligibility conditions required to be appointed as member of each supervisory authority; (c) the rules and procedures for the appointment of the member or members of each supervisory authority; (d) the duration of the term of the member or members of each supervisory authority of no less than four years, except for the first appointment after 24 May 2016, part of which may take place for a shorter period where that is necessary to protect the independence of the supervisory authority by means of a staggered appointment procedure; (e) whether and, if so, for how many terms the member or members of each supervisory authority is eligible for reappointment; (f) the conditions governing the obligations of the member or members and staff of each supervisory authority, prohibitions on actions, occupations and benefits incompatible therewith during and after the term of office and rules governing the cessation of employment.
(a) monitor and enforce the application of this Regulation; (b) promote public awareness and understanding of the risks, rules, safeguards and rights in relation to processing. Activities addressed specifically to children shall receive specific attention; (c) advise, in accordance with Member State law, the national parliament, the government, and other institutions and bodies on legislative and administrative measures relating to the protection of natural persons' rights and freedoms with regard to processing; (d) promote the awareness of controllers and processors of their obligations under this Regulation; (e) upon request, provide information to any data subject concerning the exercise of their rights under this Regulation and, if appropriate, cooperate with the supervisory authorities in other Member States to that end; (f) handle complaints lodged by a data subject, or by a body, organisation or association in accordance with Article 80, and investigate, to the extent appropriate, the subject matter of the complaint and inform the complainant of the progress and the outcome of the investigation within a reasonable period, in particular if further investigation or coordination with another supervisory authority is necessary; (g) cooperate with, including sharing information and provide mutual assistance to, other supervisory authorities with a view to ensuring the consistency of application and enforcement of this Regulation; (h) conduct investigations on the application of this Regulation, including on the basis of information received from another supervisory authority or other public authority; (i) monitor relevant developments, insofar as they have an impact on the protection of personal data, in particular the development of information and communication technologies and commercial practices; (j) adopt standard contractual clauses referred to in Article 28(8) and in point (d) of Article 46(2); (k) establish and maintain a list in relation to the requirement for data protection impact assessment pursuant to Article 35(4); (l) give advice on the processing operations referred to in Article 36(2); (m) encourage the drawing up of codes of conduct pursuant to Article 40(1) and provide an opinion and approve such codes of conduct which provide sufficient safeguards, pursuant to Article 40(5); (n) encourage the establishment of data protection certification mechanisms and of data protection seals and marks pursuant to Article 42(1), and approve the criteria of certification pursuant to Article 42(5); (o) where applicable, carry out a periodic review of certifications issued in accordance with Article 42(7); (p) draft and publish the criteria for accreditation of a body for monitoring codes of conduct pursuant to Article 41 and of a certification body pursuant to Article 43; (q) conduct the accreditation of a body for monitoring codes of conduct pursuant to Article 41 and of a certification body pursuant to Article 43; (r) authorise contractual clauses and provisions referred to in Article 46(3); (s) approve binding corporate rules pursuant to Article 47; (t) contribute to the activities of the Board; (u) keep internal records of infringements of this Regulation and of measures taken in accordance with Article 58(2); and (v) fulfil any other tasks related to the protection of personal data.
(a) to order the controller and the processor, and, where applicable, the controller's or the processor's representative to provide any information it requires for the performance of its tasks; (b) to carry out investigations in the form of data protection audits; (c) to carry out a review on certifications issued pursuant to Article 42(7); (d) to notify the controller or the processor of an alleged infringement of this Regulation; (e) to obtain, from the controller and the processor, access to all personal data and to all information necessary for the performance of its tasks; (f) to obtain access to any premises of the controller and the processor, including to any data processing equipment and means, in accordance with Union or Member State procedural law.
(a) to issue warnings to a controller or processor that intended processing operations are likely to infringe provisions of this Regulation; (b) to issue reprimands to a controller or a processor where processing operations have infringed provisions of this Regulation; (c) to order the controller or the processor to comply with the data subject's requests to exercise his or her rights pursuant to this Regulation; (d) to order the controller or processor to bring processing operations into compliance with the provisions of this Regulation, where appropriate, in a specified manner and within a specified period; (e) to order the controller to communicate a personal data breach to the data subject; (f) to impose a temporary or definitive limitation including a ban on processing; (g) to order the rectification or erasure of personal data or restriction of processing pursuant to Articles 16, 17 and 18 and the notification of such actions to recipients to whom the personal data have been disclosed pursuant to Article 17(2) and Article 19; (h) to withdraw a certification or to order the certification body to withdraw a certification issued pursuant to Articles 42 and 43, or to order the certification body not to issue certification if the requirements for the certification are not or are no longer met; (i) to impose an administrative fine pursuant to Article 83, in addition to, or instead of measures referred to in this paragraph, depending on the circumstances of each individual case; (j) to order the suspension of data flows to a recipient in a third country or to an international organisation.
(a) to advise the controller in accordance with the prior consultation procedure referred to in Article 36; (b) to issue, on its own initiative or on request, opinions to the national parliament, the Member State government or, in accordance with Member State law, to other institutions and bodies as well as to the public on any issue related to the protection of personal data; (c) to authorise processing referred to in Article 36(5), if the law of the Member State requires such prior authorisation; (d) to issue an opinion and approve draft codes of conduct pursuant to Article 40(5); (e) to accredit certification bodies pursuant to Article 43; (f) to issue certifications and approve criteria of certification in accordance with Article 42(5); (g) to adopt standard data protection clauses referred to in Article 28(8) and in point (d) of Article 46(2); (h) to authorise contractual clauses referred to in point (a) of Article 46(3); (i) to authorise administrative arrangements referred to in point (b) of Article 46(3); (j) to approve binding corporate rules pursuant to Article 47.
Each supervisory authority shall draw up an annual report on its activities, which may include a list of types of infringement notified and types of measures taken in accordance with Article 58(2). Those reports shall be transmitted to the national parliament, the government and other authorities as designated by Member State law. They shall be made available to the public, to the Commission and to the Board.
(a) it is not competent for the subject-matter of the request or for the measures it is requested to execute; or (b) compliance with the request would infringe this Regulation or Union or Member State law to which the supervisory authority receiving the request is subject.
In order to contribute to the consistent application of this Regulation throughout the Union, the supervisory authorities shall cooperate with each other and, where relevant, with the Commission, through the consistency mechanism as set out in this Section.
(a) aims to adopt a list of the processing operations subject to the requirement for a data protection impact assessment pursuant to Article 35(4); (b) concerns a matter pursuant to Article 40(7) whether a draft code of conduct or an amendment or extension to a code of conduct complies with this Regulation; (c) aims to approve the criteria for accreditation of a body pursuant to Article 41(3) or a certification body pursuant to Article 43(3); (d) aims to determine standard data protection clauses referred to in point (d) of Article 46(2) and in Article 28(8); (e) aims to authorise contractual clauses referred to in point (a) of Article 46(3); or (f) aims to approve binding corporate rules within the meaning of Article 47.
(a) the members of the Board and the Commission of any relevant information which has been communicated to it using a standardised format. The secretariat of the Board shall, where necessary, provide translations of relevant information; and (b) the supervisory authority referred to, as the case may be, in paragraphs 1 and 2, and the Commission of the opinion and make it public.
(a) where, in a case referred to in Article 60(4), a supervisory authority concerned has raised a relevant and reasoned objection to a draft decision of the lead authority or the lead authority has rejected such an objection as being not relevant or reasoned. The binding decision shall concern all the matters which are the subject of the relevant and reasoned objection, in particular whether there is an infringement of this Regulation; (b) where there are conflicting views on which of the supervisory authorities concerned is competent for the main establishment; (c) where a competent supervisory authority does not request the opinion of the Board in the cases referred to in Article 64(1), or does not follow the opinion of the Board issued under Article 64. In that case, any supervisory authority concerned or the Commission may communicate the matter to the Board.
The Commission may adopt implementing acts of general scope in order to specify the arrangements for the exchange of information by electronic means between supervisory authorities, and between supervisory authorities and the Board, in particular the standardised format referred to in Article 64. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 93(2).
(a) monitor and ensure the correct application of this Regulation in the cases provided for in Articles 64 and 65 without prejudice to the tasks of national supervisory authorities; (b) advise the Commission on any issue related to the protection of personal data in the Union, including on any proposed amendment of this Regulation; (c) advise the Commission on the format and procedures for the exchange of information between controllers, processors and supervisory authorities for binding corporate rules; (d) issue guidelines, recommendations, and best practices on procedures for erasing links, copies or replications of personal data from publicly available communication services as referred to in Article 17(2); (e) examine, on its own initiative, on request of one of its members or on request of the Commission, any question covering the application of this Regulation and issue guidelines, recommendations and best practices in order to encourage consistent application of this Regulation; (f) issue guidelines, recommendations and best practices in accordance with point (e) of this paragraph for further specifying the criteria and conditions for decisions based on profiling pursuant to Article 22(2); (g) issue guidelines, recommendations and best practices in accordance with point (e) of this paragraph for establishing the personal data breaches and determining the undue delay referred to in Article 33(1) and (2) and for the particular circumstances in which a controller or a processor is required to notify the personal data breach; (h) issue guidelines, recommendations and best practices in accordance with point (e) of this paragraph as to the circumstances in which a personal data breach is likely to result in a high risk to the rights and freedoms of the natural persons referred to in Article 34(1). (i) issue guidelines, recommendations and best practices in accordance with point (e) of this paragraph for the purpose of further specifying the criteria and requirements for personal data transfers based on binding corporate rules adhered to by controllers and binding corporate rules adhered to by processors and on further necessary requirements to ensure the protection of personal data of the data subjects concerned referred to in Article 47; (j) issue guidelines, recommendations and best practices in accordance with point (e) of this paragraph for the purpose of further specifying the criteria and requirements for the personal data transfers on the basis of Article 49(1); (k) draw up guidelines for supervisory authorities concerning the application of measures referred to in Article 58(1), (2) and (3) and the setting of administrative fines pursuant to Article 83; (l) review the practical application of the guidelines, recommendations and best practices referred to in points (e) and (f); (m) issue guidelines, recommendations and best practices in accordance with point (e) of this paragraph for establishing common procedures for reporting by natural persons of infringements of this Regulation pursuant to Article 54(2); (n) encourage the drawing-up of codes of conduct and the establishment of data protection certification mechanisms and data protection seals and marks pursuant to Articles 40 and 42; (o) carry out the accreditation of certification bodies and its periodic review pursuant to Article 43 and maintain a public register of accredited bodies pursuant to Article 43(6) and of the accredited controllers or processors established in third countries pursuant to Article 42(7); (p) specify the requirements referred to in Article 43(3) with a view to the accreditation of certification bodies under Article 42; (q) provide the Commission with an opinion on the certification requirements referred to in Article 43(8); (r) provide the Commission with an opinion on the icons referred to in Article 12(7); (s) provide the Commission with an opinion for the assessment of the adequacy of the level of protection in a third country or international organisation, including for the assessment whether a third country, a territory or one or more specified sectors within that third country, or an international organisation no longer ensures an adequate level of protection. To that end, the Commission shall provide the Board with all necessary documentation, including correspondence with the government of the third country, with regard to that third country, territory or specified sector, or with the international organisation. (t) issue opinions on draft decisions of supervisory authorities pursuant to the consistency mechanism referred to in Article 64(1), on matters submitted pursuant to Article 64(2) and to issue binding decisions pursuant to Article 65, including in cases referred to in Article 66; (u) promote the cooperation and the effective bilateral and multilateral exchange of information and best practices between the supervisory authorities; (v) promote common training programmes and facilitate personnel exchanges between the supervisory authorities and, where appropriate, with the supervisory authorities of third countries or with international organisations; (w) promote the exchange of knowledge and documentation on data protection legislation and practice with data protection supervisory authorities worldwide. (x) issue opinions on codes of conduct drawn up at Union level pursuant to Article 40(9); and (y) maintain a publicly accessible electronic register of decisions taken by supervisory authorities and courts on issues handled in the consistency mechanism.
(a) to convene the meetings of the Board and prepare its agenda; (b) to notify decisions adopted by the Board pursuant to Article 65 to the lead supervisory authority and the supervisory authorities concerned; (c) to ensure the timely performance of the tasks of the Board, in particular in relation to the consistency mechanism referred to in Article 63.
(a) the day-to-day business of the Board; (b) communication between the members of the Board, its Chair and the Commission; (c) communication with other institutions and the public; (d) the use of electronic means for the internal and external communication; (e) the translation of relevant information; (f) the preparation and follow-up of the meetings of the Board; (g) the preparation, drafting and publication of opinions, decisions on the settlement of disputes between supervisory authorities and other texts adopted by the Board.
(a) the nature, gravity and duration of the infringement taking into account the nature scope or purpose of the processing concerned as well as the number of data subjects affected and the level of damage suffered by them; (b) the intentional or negligent character of the infringement; (c) any action taken by the controller or processor to mitigate the damage suffered by data subjects; (d) the degree of responsibility of the controller or processor taking into account technical and organisational measures implemented by them pursuant to Articles 25 and 32; (e) any relevant previous infringements by the controller or processor; (f) the degree of cooperation with the supervisory authority, in order to remedy the infringement and mitigate the possible adverse effects of the infringement; (g) the categories of personal data affected by the infringement; (h) the manner in which the infringement became known to the supervisory authority, in particular whether, and if so to what extent, the controller or processor notified the infringement; (i) where measures referred to in Article 58(2) have previously been ordered against the controller or processor concerned with regard to the same subject-matter, compliance with those measures; (j) adherence to approved codes of conduct pursuant to Article 40 or approved certification mechanisms pursuant to Article 42; and (k) any other aggravating or mitigating factor applicable to the circumstances of the case, such as financial benefits gained, or losses avoided, directly or indirectly, from the infringement.
(a) the obligations of the controller and the processor pursuant to Articles 8, 11, 25 to 39 and 42 and 43; (b) the obligations of the certification body pursuant to Articles 42 and 43; (c) the obligations of the monitoring body pursuant to Article 41(4).
(a) the basic principles for processing, including conditions for consent, pursuant to Articles 5, 6, 7 and 9; (b) the data subjects' rights pursuant to Articles 12 to 22; (c) the transfers of personal data to a recipient in a third country or an international organisation pursuant to Articles 44 to 49; (d) any obligations pursuant to Member State law adopted under Chapter IX; (e) non-compliance with an order or a temporary or definitive limitation on processing or the suspension of data flows by the supervisory authority pursuant to Article 58(2) or failure to provide access in violation of Article 58(1).
Personal data in official documents held by a public authority or a public body or a private body for the performance of a task carried out in the public interest may be disclosed by the authority or body in accordance with Union or Member State law to which the public authority or body is subject in order to reconcile public access to official documents with the right to the protection of personal data pursuant to this Regulation.
Member States may further determine the specific conditions for the processing of a national identification number or any other identifier of general application. In that case the national identification number or any other identifier of general application shall be used only under appropriate safeguards for the rights and freedoms of the data subject pursuant to this Regulation.
This Regulation shall not impose additional obligations on natural or legal persons in relation to processing in connection with the provision of publicly available electronic communications services in public communication networks in the Union in relation to matters for which they are subject to specific obligations with the same objective set out in Directive 2002/58/EC.
International agreements involving the transfer of personal data to third countries or international organisations which were concluded by Member States prior to 24 May 2016, and which comply with Union law as applicable prior to that date, shall remain in force until amended, replaced or revoked.
(a) Chapter V on the transfer of personal data to third countries or international organisations with particular regard to decisions adopted pursuant to Article 45(3) of this Regulation and decisions adopted on the basis of Article 25(6) of Directive 95/46/EC; (b) Chapter VII on cooperation and consistency.
The Commission shall, if appropriate, submit legislative proposals with a view to amending other Union legal acts on the protection of personal data, in order to ensure uniform and consistent protection of natural persons with regard to processing. This shall in particular concern the rules relating to the protection of natural persons with regard to processing by Union institutions, bodies, offices and agencies and on the free movement of such data.
This Regulation shall be binding in its entirety and directly applicable in all Member States.
개인정보 처리와 관련한 자연인 보호와 그러한 정보의 자유로운 흐름에 대해 규정하고 지침 95/46/EC를 폐지 하는 2016년 4월 27일자 유럽의회 및 유럽연합이사회 규정(EU) 2016/679
국 가 유럽연합 원 법 률 명 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Movement of ... 제 정 2016.04.27 Regulation (EU) 2016/679 수 록 자 료 개인정보 처리와 관련한 자연인 보호와 그러한 정보의 자유로운 흐름에 대해 규정하고 지침 95/46/EC를 폐지하는 2016년 4월 27일자 유럽의회 및 유럽연합이사회 규정(EU) 2016/679, pp.1-358 발 행 사 항 서울 : 국회도서관, 2016
유럽의회 및 유럽연합이사회는 유럽연합 기능에 관한 조약 및 특히 동 조약 제16조를 고려하고, 집행위원회의 제안서를 고려하고, 제정법 초안을 각국 의회에 전달한 후, 유럽경제사회위원회의 의견을 고려하고, 지역위원회의 의견을 고려하고, 일반입법절차에 따라, 다음과 같은 이유로, (1) 개인정보 처리와 관련한 자연인 보호는 기본권이다. 유럽연합 기본권 헌장(Charter of Fundamental Rights of the European Union, ‘헌장’) 제8조제1항과 유럽연합 기능에 관한 조약(Treaty on the Functioning of the European Union, TFEU) 제16 조제1항은 모든 사람이 자신에 관한 개인정보를 보호받을 권리를 가진다고 규정한다. (2) 개인정보 처리와 관련한 자연인 보호의 원칙과 그에 대한 규정은 국적이나 거주지에 관계없이 그들의 기본권과 자유, 특히 개인정보 보호에 대한 권리를 존중해야 한다. 본 규정은 자유롭고 안전하며 정의로운 지역 그리고 경제동맹의 달성, 경제 및 사회 발전, 역내 시장 내 경제 강화 및 융합에 기여하기 위한 것이다. (3) 유럽의회 및 이사회 지침 95/46/EC는 정보 처리 활동과 관련한 자연인의 기본권과 자유 보호를 조화시키고 회원국 간 개인정보의 자유로운 흐름을 보장하고자 한다. (4) 개인정보 처리는 인류에 봉사하도록 설계되어야 한다. 개인정보 보호에 대한 권리는 절대적인 권리가 아니다. 이 권리는 그 사회적 기능과 관련하여 고려되어야 하며, 비례의 원칙에 따라 다른 기본권과 균형을 유지해야 한다. 본 규정은 모든 기본권을 존중하고 유럽연합의 조약에 명문화되어 있는 것처럼 헌장에서 인정하는 자유와 원칙을 준수한다. 특히, 사생활 및 가정생활과 가정 및 커뮤니케이션, 개인정보 보호, 사상과 양심 및 종교의 자유, 표현과 정보의 자유, 사업을 영위할 자유, 효과적인 구제를 받을 권리와 공정한 재판을 받을 권리, 문화와 종교 및 언어의 다양성을 존중한다. (5) 역내 시장의 기능에 따른 경제적, 사회적 통합으로 개인정보의 국가 간 흐름이 상당히 늘어났다. 유럽연합 전체에 걸쳐 자연인, 협회, 사업자 등을 포함하는 공공 및 민간 행위자 간의 개인정보 교환이 늘어났다. 회원국의 국가기관은 유럽연합 법률에 따라, 자신의 임무를 수행하거나 다른 회원국 국가기관을 대신해서 업무를 수행할 수 있도록 서로 협조하고 개인정보를 교환할 것을 요청받고 있다. (6) 급속한 기술 발전과 세계화는 개인정보 보호에 새로운 난관을 가져왔다. 개인정보 수집과 공유의 규모가 크게 늘어났다. 기술 덕분에 민간기업과 공공기관 모두 자신의 활동을 추구하기 위해 전례 없는 규모로 개인정보를 활용할 수 있게 되었다. 자연인들은 점점 더 많은 개인정보를 전 세계 누구나 사용할 수 있게 공개한다. 기술이 경제생활과 사회생활 양쪽 모두의 변화를 가져왔으며, 높은 개인정보 보호 수준을 유지하면서 유럽연합 역내에서의 자유로운 개인정보 흐름과 제3국 및 국제기구로의 전달을 더 용이하게 만들어야 한다. (7) 역내 시장 전반에서 디지털 경제가 발전할 수 있도록 신뢰를 창출하는 것이 중요함을 고려할 때, 이러한 발전은 유럽연합의 강력하고 더 일관된 정보보호 체계를 요구한다. 자연인이 자신의 개인정보를 통제할 수 있어야 한다. 자연인과 경제 운영자, 공공기관을 위한 법적, 실질적 확실성이 향상되어야 한다. (8) 본 규정이 회원국 법률에 의한 규칙의 내역 또는 그에 대한 제한을 제시하는 경우, 회원국은 일관성을 위해 필요하거나 국가 규정을 적용 대상이 이해하기 쉽게 만드는 데 필요하다면 본 규정의 요소를 해당 국가 법률에 통합할 수 있다. (9) 지침 95/46/EC의 목적과 원칙은 여전히 타당하지만, 유럽연합 내 정보 보호 이행의 분열이나 법적 불확실성 또는 자연인의 보호(특히 온라인 활동)와 관련해 상당한 위험이 존재한다는 대중의 보편적인 인식을 막지는 못했다. 회원국 간에 개인정보 처리와 관련한 자연인의 권리와 자유, 특히 개인정보를 보호받을 수 있는 권리에 대한 보호 수준에 차이가 있다면 유럽연합 내 개인정보의 자유로운 흐름을 방해할 수 있다. 따라서 이러한 차이는 유럽연합 차원에서 경제 활동을 추구하는 데 걸림돌이 될 수 있으며, 경쟁을 왜곡하고 각 기관이 유럽연합 법률에 따라 자신의 의무를 이행하는 데 방해가 될 수 있다. 이러한 보호 수준의 차이는 지침 95/46/EC의 이행 및 적용에 차이가 존재하기 때문에 발생한다. (10) 일관되면서도 높은 수준의 자연인 보호를 보장하고 유럽연합 내 개인정보 흐름의 방해물을 제거하기 위해서는 개인정보 처리와 관련한 자연인의 권리와 자유 보호 수준이 모든 회원국에서 균등해야 한다. 개인정보 처리와 관련한 자연인의 기본권과 자유를 보호하는 규칙이 유럽연합 전체에 걸쳐 일관성 있고 균일하게 적용되어야 한다. 법적 의무를 준수하기 위한 개인정보 처리, 공익을 위해 이루어지는 업무 수행을 위한 개인정보 처리, 정보 관리자에게 부여된 공식 권한을 행사하는 과정에서의 개인정보 처리와 관련하여, 회원국은 본 규정의 규칙 적용을 더 상세하게 명시하는 국가 규정을 유지하거나 도입할 수 있도록 허용되어야 한다. 지침 95/46/EC를 이행하는 정보 보호에 관한 보편적이고 수평적인 법률과 함께, 회원국은 더 구체적인 규정이 필요한 영역에 분야별로 특화된 여러 법률을 갖추고 있다. 본 규정은 또한, 회원국이 특수 범주 개인정보(‘민감한 정보’) 를 처리할 때 등을 포함해 각국의 규칙을 정하기 위한 운용상의 여유를 제공한다. 그러한 범위에서, 본 규정은 개인정보 처리의 합법성 조건을 더 상세하게 정하는 것을 포함해 특정 처리 상황을 위한 환경을 설정하는 회원국 법률을 배제하지 않는다. (11) 유럽연합 전체에서 효과적인 개인정보 보호가 이루어지려면, 정보 주체의 권리와 개인정보를 처리하고 개인정보 처리를 결정하는 이들의 의무를 강화하고 더 상세하게 규정할 필요가 있다. 또한, 회원국 간에 개인정보 보호 규칙의 준수를 감시하고 보장하기 위한 힘이 균등해야 하며 규칙을 위반할 경우 제재도 균등해야 한다. (12) TFEU 제16조제2항은 유럽의회와 이사회가 개인정보 처리와 관련한 자연인 보호에 관한 규칙과 개인정보의 자유로운 이동에 관한 규칙을 정하도록 하고 있다. (13) 유럽연합 전체에서 자연인에 대한 일관된 수준의 보호를 보장하고 역내 시장에서 개인정보의 자유로운 이동을 저해하는 차이를 방지하기 위해서는, 규정이 초소형기업 및 중소기업을 포함한 경제 운영자에게 법적 확실성과 투명성을 제공하고, 모든 회원국의 자연인에게 동등한 수준의 법적 강제력이 있는 권리를 부여하며, 정보 관리자 및 처리자에게 의무와 책임을 부과하고, 모든 회원국에서 일관된 개인정보 처리 모니터링과 균등한 제재, 그리고 각 회원국 감독기관 간의 효과적인 협력을 보장해야 한다. 역내 시장이 적절하게 기능하려면 유럽연합 내 개인정보의 자유로운 이동이 개인정보 처리와 관련한 자연인 보호를 이유로 제한되거나 금지되는 일이 없어야 한다. 초소형기업 및 중소기업의 특수 상황을 고려하여, 본 규정은 종업원 250인 미만 조직에 대해 기록 보존에 관한 의무를 완화하고 있다. 또한, 유럽연합 기관 및 조직, 그리고 회원국과 그 감독기관은 본 규정을 적용할 때 초소형기업 및 중소기업의 특수한 요구를 고려하도록 권장된다. 초소형기업 및 중소기업의 개념은 집행위원회 권고 2003/361/EC 부속서 제2조에 따른다. (14) 자연인의 개인정보 처리와 관련하여 본 규정이 제공하는 보호는 자연인의 국적이나 거주지에 관계없이 적용되어야 한다. 본 규정은 법인의 명칭과 형태, 법인의 연락처 세부사항 등을 포함하여 법인, 특히 법인으로 설립된 사업자의 개인정보 처리는 다루지 않는다. (15) 우회 조치의 심각한 위험을 방지하기 위해, 자연인 보호는 기술적으로 중립적이어야 하며 사용되는 기법에 의존해서는 안 된다. 개인정보가 파일링 시스템에 포함되어 있거나 포함될 예정인 경우, 자동화된 수단에 의한 개인정보 처리와 수동 처리 양쪽 모두에 자연인 보호가 적용되어야 한다. 특정 기준에 따라 구조화되지 않은 파일이나 파일 세트, 그 표지는 본 규정의 범위에 속하지 않는다. (16) 본 규정은 국가 안보에 관한 활동 등 유럽연합 법률 범위 밖에 있는 활동과 관련하여 개인정보의 기본권 및 자유 또는 자유로운 흐름을 보호하는 문제에는 적용되지 않는다. 본 규정은 유럽연합의 공통 외교 및 안보 정책 관련 활동을 수행할 때의 회원국에 의한 개인정보 처리에는 적용되지 않는다. (17) 유럽연합 기관, 단체, 관청 및 기구에 의한 개인정보 처리에는 유럽의회 및 이사회 규정(EC) No 45/2001이적용된다. 규정(EC) No 45/2001과 그러한 개인정보 처리에 적용 가능한 다른 유럽연합 법령은 본 규정에서 수립된 원칙과 규칙에 맞춰 조정되고 본 규정을 고려하여 적용되어야 한다. 유럽연합에 강력하고 일관된 정보보호 체계를 제공하기 위해, 본 규정이 채택된 후 규정(EC) No 45/2001을 필요에 따라 조정하여 본 규정과 동시에 적용될 수 있도록 해야 한다. (18) 본 규정은 순수한 개인 또는 가정 활동 중에 일어나며 따라서 직업적, 상업적 활동과는 관련이 없는 자연인에 의한 개인정보 처리에는 적용되지 않는다. 개인 또는 가정 활동에는 그러한 활동의 맥락에서 수행되는 커뮤니케이션 및 주소 보유나 소셜 네트워킹 및 온라인 활동이 포함될 수 있다. 하지만 그러한 개인 또는 가정 활동을 위해 개인정보를 처리하는 수단을 제공하는 정보 관리자 또는 처리자에게는 본 규정이 적용된다. (19) 공공안전에 대한 위협으로부터의 보호 및 위협 방지를 포함한 범죄의 예방, 수사, 탐지 또는 기소나 형사 처벌의 집행을 위한 목적으로 주무 기관이 수행하는 개인정보 처리와관련한 자연인 보호 및 그러한 정보의 자유로운 이동에는 특정 유럽연합 법령이 적용된다. 따라서 본 규정은 그러한 목적의 처리 활동에는 적용되지 않는다. 하지만 본 규정에 따라 공공기관이 처리한 개인정보가 그러한 목적으로 사용될 때는 더 구체적인 유럽연합 법령, 즉 유럽의회 및 이사회 지침(EU) 2016/680이 적용된다. 회원국은 지침(EU) 2016/680의 취지 내에서, 공공안전에 대한 위협으로부터의 보호 및 위협 방지를 포함한 범죄의 예방, 조사, 탐지 또는 기소나 형사 처벌의 집행을 위한 목적으로만 수행되는 것은 아니며 따라서 그러한 다른 목적을 위한 개인정보 처리가 유럽연합 법률 범위 내에서본 규정의 범위에 속하는 업무를 주무 기관에 위임할 수 있다. 본 규정의 범위에 속하는 목적으로 주무 기관이 수행하는 개인정보 처리와 관련하여, 회원국은 본 규정의 규칙 적용을 조정하기 위해 더 구체적인 규정을 유지하거나 도입할 수 있어야 한다. 그러한 규정은 각 회원국의 헌법 구조와 조직 및 행정 구조를 고려하여, 그러한 다른 목적을 위해 주무 기관이 수행하는 개인정보 처리 에 대한 더 구체적인 요구사항을 정할 수 있다. 민간단체에 의한 개인정보 처리가 본 규정의 범위에 속할 경우, 본 규정은 회원국이 특정 상황에서 법률로 일부 권리와 의무를 제한할 수 있게 해야 한다. 이는 그러한 제한이 공공안전과 공공안전에 대한 위협으로부터의 보호 및 위협 방지를 포함한 범죄의 예방, 조사, 탐지 또는 기소나 형사 처벌의 집행 등 민주 사회에서 특정 중요 이익을 보호하기 위해 필요한 균형 잡힌 조치에 해당하는 경우를 말한다. 자금 세탁 방지 체계나 법의학 연구소의 활동이 그 예이다. (20) 본 규정은 법원과 기타 사법 기관의 활동에도 적용되며, 유럽연합이나 회원국의 법률은 법원과 기타 사법 기관에 의한 개인정보 처리와 관련하여 처리 작업과 처리 절차를 규정할 수 있다. 의사결정을 포함한 사법적 업무 수행 시 사법부의 독립성을 보호하기 위해, 법원이 사법적 권한을 행사할 때의 개인정보 처리는 감독기관의 권한 범위에 포함되지 않아야 한다. 회원국의 사법 시스템 내에서 그러한 정보 처리 작업의 감독을 특정 기관에 위임할 수 있어야 하며, 그러한 특정 기관은 특히 본 규정의 규칙을 준수하고, 사법부 구성원의 본 규정에 따른 의무에 대한 인식을 강화하고, 그러한 정보 처리 작업과 관련한 민원을 처리해야 한다.
(21) 본 규정은 유럽의회 및 이사회 지침 2000/31/EC의 적용, 특히 해당 지침 제12조~제15조에 규정된 중개 서비스 제공자의 배상책임 규칙 적용에 영향을 미치지 않는다. 해당 지침은 회원국 간에 정보사회 서비스가 자유롭게 이동할 수 있게 함으로써 역내 시장이 적절하게 기능하는 데 기여하고자 한다. (22) 유럽연합 내 정보 관리자나 처리자의 사업장 활동이라는 맥락에서 이루어지는 모든 개인정보 처리는 처리 자체가 유럽연합 내에서 이루어지는지 여부와는 무관하게 본 규정에 따라 수행되어야 한다. 여기에서 사업장은 안정적인 방식을 통한 효과적이고 실제적인 활동 실행을 암시한다. 그러한 방식의 법적 형태는, 지사든 법인격을 가진 자회사든 상관없이, 이와 관련한 결정적 요소가 아니다. (23) 자연인이 본 규정에 따라 부여된 보호받을 권리를 빼앗기는 일이 없도록 하기 위해, 유럽연합 내에서 설립되지 않은 정보 관리자 또는 처리자에 의한 유럽연합 내 정보 주체의 개인 정보 처리는, 처리 활동이 해당 정보 주체에 대한 상품이나 서비스 제공과 관련될 경우 대금 지급과의 관련 여부와는 무관하게 본 규정을 따라야 한다. 정보 관리자 또는 처리자가 유럽연합 내 정보 주체에게 상품이나 서비스를 제공하는지 판단하기 위해서는, 해당 정보 관리자 또는 처리자가 하나 또는 그 이상의 유럽연합 회원국에서 정보 주체에 대한 서비스 제공을 구상하는 것이 명백한지 확인해야 한다. 단순히 유럽연합 내에서 정보 관리자 또는 처리자 또는 중개인의 웹사이트, 이메일 주소 또는 기타 연락처 세부사항에 접근할 수 있다는 사실이나 정보 관리자가 설립된 제3국에서 일반적으로 사용되는 언어를 사용하는 것은 그러한 의도를 확인하는 데 불충분하며, 하나 또는 그 이상의 회원국에서 일반적으로 사용되는 언어나 통화를 사용하고 해당 타 언어로 상품이나 서비스를 주문할 수 있거나 유럽연합 내 고객이나 사용자를 언급하는 등의 요소가 있다면, 정보 관리자가 유럽연합 내 정보 주체에 대한 상품이나 서비스 제공을 구상한다는 사실을 명백하게 할 수 있다. (24) 유럽연합 내에서 설립되지 않은 정보 관리자 또는 처리자에 의한 유럽연합 내 정보 주체의 개인정보 처리는, 해당 정보 주체의 행동 모니터링과 관련될 경우 그러한 행동이 유럽연합 내에서 일어나는 한 본 규정을 따라야 한다. 정보 처리 활동이 정보 주체의 행동을 모니터링하는 것으로 여겨질 수 있는지 판단하기 위해서는, 특히 정보 주체에 관한 결정을 내리기 위해 또는 정보 주체의 개인 취향, 행동 및 태도를 분석하거나 예측하기 위해 자연인이 인터넷에서 추적되는지(자연인을 프로파일링하는 개인정보 처리 기술을 추후 사용할 가능성 포함)가 확인되어야 한다. (25) 유럽연합 내에서 설립되지 않은 정보 관리자에게 국제 공법에 따라 회원국 법률이 적용되는 경우(회원국의 외교 공관이나 영사관에 위치한 정보 관리자 등), 본 규정도 해당 정보 관리자에게 적용된다. (26) 정보 보호의 원칙은 식별되었거나 식별 가능한 자연인에 관한 모든 정보에 적용되어야 한다. 가명화를 거친 개인정보는, 추가 정보를 사용하여 해당 자연인을 확인할 수 있는 경우 식별 가능한 자연인에 관한 정보로 간주되어야 한다. 자연인이 식별 가능한지 아닌지를 판단하기 위해서는, 자연인을 직간접적으로 식별하기 위해 정보 관리자나 다른 사람에 의해 사용될 합리적 가능성이 있는 정보 분리 등 모든 수단을 고려해야 한다. 어떤 수단이 자연인을 식별하기 위해 사용될 합리적 가능성이 있는지 확인하기 위해서는, 처리 시점에 이용 가능한 기술과 기술 발전을 감안하여 식별에 필요한 비용과 시간 등 모든 객관적 요소를 고려해야 한다. 따라서 정보 보호의 원칙은 익명 정보, 즉 식별되었거나 식별 가능한 자연인에 관한 것이 아닌 정보나 정보 주체가 더 이상 식별 가능하지 않은 방식으로 익명 처리된 개인정보에는 적용되지 않는다. 따라서 본 규정은 통계 또는 연구 목적을 포함한 그러한 익명 정보의 처리와는 관련이 없다. (27) 본 규정은 사망자의 개인정보에는 적용되지 않는다. 회원국은 사망자의 개인정보 처리에 관한 규칙을 정할 수 있다. (28) 개인정보에 가명화를 적용하면 해당 정보 주체에게 미치는 위험을 줄일 수 있고, 정보 관리자 또는 처리자가 정보 보호 의무를 준수하는 데 도움이 된다. 본 규정에서 ‘가명화’를 명시적으로 도입한다고 해서 다른 정보 보호 조치를 배제하는 것은 아니다. (29) 개인정보 처리 시 가명화 적용을 장려하기 위해, 정보 관리자가 관련 처리에서 본 규정이 이행되고 개인정보의 정보 주체를 확인할 수 있는 추가 정보가 별도로 관리되도록 하기 위해 필요한 기술적, 조직적 조치를 취한 경우, 일반적 분석은 허용하되 동일 관리자 내에서 가명화 조치가 가능해야 한다. 개인정보를 처리하는 정보 관리자는 동일 관리자 내에서 허가된 사람을 지정해야 한다. (30) 자연인은 자신이 사용하는 기기, 애플리케이션, 도구와 인터넷 프로토콜 주소 등의 프로토콜, 쿠키 식별자 또는 무선 주파수 식별 태그 등 기타 식별자가 제공하는 온라인 식별자와 연관될 수 있다. 이는 흔적을 남길 수 있으며, 이 흔적은 특히 고유 식별자와 서버가 수신한 다른 정보와 결합될 경우 자연인의 프로필을 생성해서 이들을 식별하는 데 사용될 수 있다. (31) 공적 사명 수행을 위한 법적 의무에 따라 개인정보를 공개받는 공공기관, 예를 들어 세금 및 관세 기관, 금융 조사 기관, 독립 행정 기관이나 유가증권 시장에 대한 규제와 감독 책임이 있는 금융 시장 기관은, 유럽연합이나 회원국 법률에 따라 공익을 위한 특정 조회를 수행하는 데 필요한 개인정보를 받은 경우에는 수령자로 간주되지 않는다. 공공기관에서 보내는 공개 요청은 항상 서면으로 작성되어야 하고, 합당한 사유에 따라 특정 경우로만 한정되어야 하며, 파일링 시스템 전반에 걸친 것이거나 파일링 시스템이 상호 연결되게 하는 것이어서는 안 된다. 그러한 공공기관에 의한 개인정보 처리는 처리 목적에 따라 적용되는 정보 보호 규칙을 준수해야 한다. (32) 개인정보 처리에 대한 동의는 전자적 수단을 포함하는 서면 진술이나 구두 진술 등을 통해, 자유롭게 제공된 구체적이며 사전 고지에 입각한 모호하지 않은 정보 주체의 동의 의사 표시에 해당하는 명확한 긍정의 행위를 통해 이루어져야 한다. 여기에는 인터넷 웹사이트 방문 시 박스 체크 표시, 정보사회 서비스의 기술 설정 선택, 또는 이러한 맥락에서 정보 주체의 본인 개인정보 처리 제안에 대한 동의를 명확하게 표시하는 다른 진술이나 행위가 포함될 수 있다. 따라서 침묵이나 미리 체크 표시된 박스, 비활동은 동의를 구성하지 않는다. 동의는 동일한 하나의 또는 여러 목적을 위해 수행하는 모든 처리 활동에 적용된다. 처리의 목적이 여럿인 경우, 동의는 해당 목적 전체에 대해 이루어져야 한다. 정보 주체의 동의가 전자적 수단에 의한 요청에 따라 이루어지는 경우, 요청은 명확하고 간결해야 하며 대상 서비스의 이용을 불필요하게 방해해서는 안 된다. (33) 정보를 수집할 당시 과학 연구 목적을 위한 개인정보 처리의 목적을 완전히 파악할 수 없는 경우가 많다. 따라서, 알려진 과학 연구의 윤리 기준에 부합하는 경우, 정보 주체가 과학 연구의 특정 영역에 대해 동의하는 것이 허용되어야 한다. 정보 주체는 의도된 목적에 따라 허용되는 범위에서 연구의 특정 영역이나 연구 프로젝트의 일부에 대해 동의할 기회를 가져야 한다. (34) 유전 정보는 자연인의 생체 시료 분석, 특히 염색체 분석, 디옥시리보핵산(DNA) 또는 리보핵산(RNA) 분석이나 이에 맞먹는 정보를 제공하는 다른 요소 분석의 결과로 얻어진 자연인의 선천적 또는 후천적 유전 특성과 관련된 개인정보로 정의된다. (35) 건강 관련 개인정보에는 정보 주체의 건강 상태와 관련한 정보로서 정보 주체의 과거, 현재 또는 미래의 신체적 또는 정신적 건강 상태에 관한 정보를 보여주는 모든 정보가 포함된다. 여기에는 유럽의회 및 이사회 지침 2011/24/EU에 언급된 보건의료 서비스의 등록 과정이나 자연인에 대한 보건의료 서비스 제공 과정에서 수집된 자연인에 관한 정보, 건강 목적으로 자연인 고유 식별을 위해 자연인에게 할당된 숫자, 기호 또는 특정 정보, 신체 일부 또는 신체 물질의 시험 또는 검사에서 얻어진 정보(유전 정보 및 생체 시료에서 얻어진 경우 포함) 가 포함되며, 정보 주체의 질병, 장애, 질병 위험, 병력, 임상 치료, 생리학적 또는 생물의학적 상태 등에 관한 정보도 의사 또는 기타 보건 전문가, 병원, 의료 기기나 체외 진단 테스트 등 그 출처에 관계없이 모두 포함된다. (36) 유럽연합 내 정보 관리자의 주된 사업장은 해당 관리자의 유럽연합 내 중심 경영 업무 장소이다. 단, 개인정보 처리의 목적과 수단에 관한 결정이 해당 관리자의 유럽연합 내 다른 사업장에서 이루어지는 경우는 예외로, 해당 경우에는 그러한 다른 사업장이 주된 사업장으로 간주된다. 유럽연합 내 정보 관리자의 주된 사업장은 객관적인 기준에 따라 정해져야 하며, 안정적인 방식을 통해 정보 처리의 목적과 수단에 관한 주요 결정을 내리는 효과적이고 실제적인 경영 활동 실행을 의미해야 한다. 그러한 기준은 개인정보 처리가 해당 장소에서 수행되는지 여부에 의존해서는 안 된다. 개인정보 처리 또는 처리 활동을 위한 기술적 수단 및 기술의 존재와 사용은 그 자체로 주된 사업장을 구성하지 않으며, 따라서 주된 사업장을 정하는 기준이 아니다. 정보 처리자의 주된 사업장은 해당 처리자의 유럽연합 내 중심 경영 업무 장소이거나, 유럽연합 내에 중심 경영 업무 장소가 없는 경우, 유럽연합 내에서 주된 처리 활동이 이루어지는 장소이다. 정보 관리자와 처리자 양쪽 모두가 관련된 경우, 주무 지휘 감독기관은 정보 관리자의 주된 사업장이 위치한 회원국의 감독기관이지만, 정보 처리자의 감독기관도 관련 감독기관으로 고려되어야 하며, 해당 감독기관도 본 규정에 따른 협력 절차에 참여해야 한다. 어떤 경우든, 결정 초안이 정보 관리자와만 관련된 경우에는 정보 처리자의 사업장 하나 또는 그 이상이 위치한 회원국의 감독기관은 관련 감독기관으로 고려되지 않는다. 정보 처리가 사업자 집단에 의해 이루어질 경우, 지배 사업자의 주된 사업장을 해당 사업자 집단의 주된 사업장으로 간주한다. 단, 정보 처리의 목적과 수단을 다른 사업자가 결정하는 경우는 예외이다. (37) 사업자 집단에는 지배 사업자와 피지배 사업자가 포함되며, 여기에서 지배 사업자는 예를 들어 소유권, 재무 참여, 운영 규칙이나 개인정보 보호 규칙을 이행할 수 있는 권한 등을 통해 다른 사업자에 대해 지배적인 영향력을 행사할 수 있는 사업자를 말한다. 제휴 사업자의 개인정보 처리를 관리하는 사업자는 해당 사업자와 함께 사업자 집단으로 간주된다. (38) 어린이는 개인정보 처리와 관련한 위험, 그 결과와 관련 보호장치 및 권리에 대한 인지가 부족할 수 있으므로 개인정보와 관련하여 특별한 보호를 받아야 한다. 그러한 특별한 보호는 특히 마케팅 목적이나 성격 또는 사용자 프로필을 만들기 위한 목적으로 어린이의 개인정보를 사용하는 경우와 어린이에게 직접 제공되는 서비스를 사용할 때 어린이에 관한 개인정보를 수집하는 경우에 적용되어야 한다. 어린이에게 직접 제공되는 예방 또는 상담 서비스의 경우에는 친권자의 동의가 필요하지 않아야 한다. (39) 모든 개인정보 처리는 합법적이고 공정해야 한다. 이는 개인정보가 수집, 사용, 참고되거나 다른 방법으로 처리되는 자연인에 대해서 투명해야 하며, 개인정보가 어느 정도 범위에서 처리되거나 처리될 것인지에 대해서 투명해야 한다. 투명성의 원칙에 따라, 그러한 개인정보 처리와 관련한 모든 정보와 알림은 접근이 용이하고 이해하기 쉬워야 하며 명확하고 평이한 표현을 사용해야 한다. 해당 원칙은 특히 정보 주체에게 정보 관리자의 신원 및 정보 처리의 목적을 알려주는 정보, 그리고 해당 자연인과 처리 대상 개인정보에 대한 확인 및 알림을 받을 수 있는 자연인의 권리와 관련하여 공정하고 투명한 처리를 보장하기 위한 추가 정보에 관한 것이다. 자연인이 개인정보 처리와 관련한 위험, 규칙, 보호장치 및 권리와 해당 처리와 관련한 권리 행사 방법을 인지하도록 해야 한다. 특히, 개인정보를 처리하는 구체적 목적은 명시적이고 합법적이어야 하며 개인정보를 수집할 당시에 결정되어 있어야 한다. 개인정보는 처리의 목적을 위해 필요한 바에 적절하고 관련성이 있어야 하며 이에 따라 제한되어야 한다. 이는 특히 개인정보 보관 기간을 엄격하게 최소한으로 제한할 것을 요구한다. 개인정보는 처리의 목적이 다른 수단으로는 합리적으로 달성될 수 없는 경우에만 처리되어야 한다. 개인정보가 필요 이상 오래 보관되지 않도록 정보 관리자는 삭제 또는 정기 검토의 시한을 정해야 한다. 부정확한 개인정보가 수정 또는 삭제되도록 모든 합리적인 조치가 취해져야 한다. 개인정보는 개인정보에 대한 적절한 보안과 기밀유지가 보장되는 방법으로 처리되어야 하며, 여기에는 개인정보 및 처리 장비에 대한 무단 접근이나 사용을 방지하는 것이 포함된다. (40) 정보 처리의 합법성을 위해, 개인정보는 해당 정보 주체의 동의에 기초하여, 또는 본 규정이나 본 규정에 언급된 다른 유럽연합이나 회원국 법률에서 규정하는 다른 법적 근거를 바탕으로 처리되어야 한다. 여기에는 정보 관리자가 따라야 하는 법적 의무 준수의 필요성, 또는 정보 주체가 당사자가 되는 계약을 체결하거나 계약 체결 전에 정보 주체의 요청에 따라 조치를 취할 필요성 등이 포함된다.
(41) 본 규정이 법적 근거나 입법 조치를 언급하는 경우, 이는 꼭 의회가 채택한 법령을 요구하는 것은 아니며, 관련 회원국의 헌법 질서에 따른 요구사항에도 영향을 미치지 않는다. 그러나 유럽연합 사법재판소(Court of Justice of the European Union, ‘사법재판소’)와 유럽 인권재판소(European Court of Human Rights) 의 판례법에 따라, 그러한 법적 근거나 입법 조치는 명확하고 정확해야 하며 그 적용은 대상자가 예측 가능해야 한다. (42) 정보 처리가 정보 주체의 동의에 기초하는 경우, 정보 관리자는 정보 주체가 처리 작업에 동의했다는 사실을 입증할 수 있어야 한다. 특히 다른 문제에 대한 서면 선언의 맥락에서, 보호장치를 통해 정보 주체가 동의가 이루어졌다는 사실과 동의 범위를 인지하도록 해야 한다. 이사회 지침 93/13/EEC에 따라, 정보 관리자가 사전에 준비한 동의서 양식이 이해 가능하고 접근하기 쉬운 형태로 제공되어야 하며, 동의서는 명확하고 평이한 표현을 사용해야 하고 불공정한 조건을 포함해서는 안 된다. 사전 고지에 입각한 동의를 위해, 정보 주체는 최소한 정보 관리자의 신원과 개인정보에 적용될 처리의 목적을 인지해야 한다. 정보 주체에게 진정한 또는 자유로운 선택권이 주어지지 않거나 정보 주체가 손해를 보지 않고는 동의를 거부하거나 철회할 수 없는 경우에는 동의가 자유롭게 이루어진 것으로 간주되지 않는다. (43) 동의가 자유롭게 이루어지도록 하기 위해, 정보 주체와 정보 관리자 사이에 명확한 불균형이 존재하는 특정 경우에는 동의가 개인정보 처리를 위한 유효한 법적 근거를 제공하지 않는다. 특히 정보 관리자가 공공기관이고 따라서 그러한 특정 상황의 모든 정황에서 동의가 자유롭게 이루어질 가능성이 낮은 경우가 이에 해당한다. 개별 사례에서 서로 다른 개인정보 처리 작업에 대해 따로따로 동의하는 것이 적절함에도 불구하고 그렇게 따로 동의하는 것이 허용되지 않는 경우, 또는 계약 이행에 동의가 필요하지 않음에도 불구하고 서비스 제공을 포함하는 계약 이행이 동의를 전제 조건으로 하는 경우에는 동의가 자유롭게 이루어지지 않은 것으로 간주된다. (44) 계약의 맥락 또는 계약을 체결하고자 하는 의도의 맥락에서 정보 처리가 필요한 경우, 이는 합법적이어야 한다. (45) 정보 처리가 정보 관리자가 준수해야 하는 법적 의무에 따라 이루어지는 경우나 공익 또는 공식 권한 행사를 위한 업무 수행에 정보 처리가 필요한 경우, 정보 처리는 유럽연합이나 회원국 법률에 근거를 두어야 한다. 본 규정은 개별 정보 처리 각각에 대해 특정 법률을 요구하지는 않는다. 정보 관리자가 준수해야 하는 법적 의무에 기초한 정보 처리의 경우나 공익 또는 공식 권한 행사를 위한 업무 수행에 정보 처리가 필요한 경우, 여러 처리 작업의 근거가 되는 법률이 있다면 충분할 수 있다. 처리의 목적을 결정하는 것도 유럽연합 또는 회원국의 법률에 따라야 한다. 또한, 해당 법률은 개인정보 처리의 합법성에 적용되는 본 규정의 일반 조건을 규정할 수 있으며, 정보 관리자, 처리 대상 개인정보의 유형, 관련 정보 주체, 개인정보를 공개받을 수 있는 대상, 목적 제한, 보관 기간 및 합법적이고 공정한 처리를 위한 기타 조치를 결정하기 위한 세부사항을 정할 수 있다. 또한 공익 또는 공식 권한 행사를 위한 업무를 수행하는 정보 관리자가 공공기관이어야 할지 아니면 공법의 지배를 받는 다른 자연인이나 법인 또는 전문협회 등 사법의 지배를 받는(공중보건, 사회보호, 보건의료 서비스 관리 등 건강 목적을 위한 경우를 포함해 그렇게 하는 것이 공익이 되는 경우) 자연인이나 법인이어야 할지 결정하는 것도 유럽연합 또는 회원국의 법률에 따라야 한다. (46) 정보 주체나 다른 자연인의 삶에 필수적인 이익을 보호하는 데 필요한 개인정보 처리는 합법적인 것으로 간주해야 한다. 다른 자연인의 필수적 이익에 기초한 개인정보 처리는, 원칙적으로, 해당 처리가 명백하게 다른 법적 근거에 기초할 수 없는 경우에만 이루어져야 한다. 일부 유형의 정보 처리는 공익과 정보 주체의 필수적 이익이라는 두 가지 중요 근거를 모두 제공할 수도 있는데, 전염병과 그 확산을 모니터링하는 경우 등 인도주의적 목적으로 정보 처리가 필요한 경우나 인도주의적 긴급 상황, 특히 자연재해나 인재 상황이 그 예이다. (47) 정보 관리자(개인정보를 공개받을 수 있는 관리자 포함)나 제3자의 정당한 이익이 정보 처리에 대한 법적 근거를 제공할 수도 있다. 단, 정보 주체의 이익이나 기본권 및 자유가 무시되어서는 안 되며, 정보 주체와 관리자의 관계에 기초한 정보 주체의 합리적인 예상을 고려해야 한다. 예를 들어 정보 주체가 정보 관리자의 고객이거나 정보 관리자의 서비스를 받는 상황에서 정보 주체와 관리자의 관계가 유의미하고 적절할 때, 그러한 정당한 이익이 존재할 수 있다. 어떤 경우든 정당한 이익의 존재에는 주의 깊은 평가가 필요하며, 여기에는 정보 주체가 개인정보 수집 당시 해당 맥락에서 그러한 목적을 위한 정보 처리가 이루어질 수 있다는 것을 합리적으로 예상 가능했는지에대한 평가가 포함된다. 특히 정보 주체가 추가 처리를 합리적으로 예상할 수 없는 상황에서 개인정보가 처리되는 경우, 정보 주체의 이익과기본권이 정보 관리자의 이익보다 우선할 수 있다. 법률에 따라 공공기관이 개인정보를 처리하는 법적 근거를 제공하는 것이 입법기관임을 고려할 때, 그러한 법적 근거는 공공기관이 업무 수행을 위해 행하는 정보 처리에 적용되어서는 안 된다. 사기를 방지하기 위해 엄격히 필요한 개인정보 처리도 관련 정보 관리자의 정당한 이익을 구성한다. 직접 마케팅을 위한 개인정보 처리는 정당한 이익을 위해 수행된 것으로 간주할 수 있다. (48) 중앙 조직과 제휴 관계에 있는 사업자 또는 기관 집단에 속하는 정보 관리자는 해당 사업자 집단 내에서 고객이나 직원의 개인정보 처리를 포함해 내부 업무 목적으로 개인정보를 전송할 정당한 이익이 있을 수 있다. 사업자 집단 내에서 제3국에 위치한 사업자에게 개인정보를 전송하는 것과 관련한 일반 원칙은 영향을 받지 않는다. (49) 네트워크 및 정보 보안 목적, 즉 특정 신뢰성 수준에서 보관 또는 전송된 개인정보의 이용 가능성, 신뢰성, 무결성 및 기밀성을 훼손하는 사고 또는 불법적이거나 악의적인 행위에 저항하는 네트워크 또는 정보 시스템의 능력, 그리고 해당 네트워크 및 시스템, 공공기관, 컴퓨터비상대응팀, 컴퓨터보안사고대응팀, 전자통신 네트워크 및 서비스 제공자, 보안 기술 및 서비스 제공자가 제공하거나 이를 통해 접근 가능한 관련 서비스의 보안을 위해 엄격히 필요한 균형 잡힌 수준의 개인정보 처리는 관련 정보 관리자의 정당한 이익을 구성한다. 여기에는 예를 들어 전자통신 네트워크에 대한 무단 접근 방지, 악성 코드 배포 방지, ‘서비스 거부’ 공격 차단, 컴퓨터 및 전자통신 시스템에 대한 손상 차단이 포함될 수 있다. (50) 개인정보를 수집한 원래 목적 외의 목적으로 개인정보를 처리하는 것은 그러한 처리가 개인정보를 수집한 원래 목적과 양립 가능한 경우에만 허용되어야 한다. 그러한 경우, 개인정보 수집을 허용한 법적 근거 외에 별도의 법적 근거는 필요하지 않다. 공익 또는 정보 관리자에게 부여된 공식 권한 행사를 위한 업무 수행에 정보 처리가 필요한 경우, 유럽연합이나 회원국의 법률은 추가 처리가 양립 가능하고 합법적인 것으로 간주되는 업무와 목적을 결정하여 명시할 수 있다. 공익을 위한 자료 보관 목적, 과학 또는 역사 연구 목적이나 통계 목적을 위한 추가 처리는 양립 가능한 합법적 처리 작업으로 간주되어야 한다. 유럽연합 또는 회원국의 법률이 제공하는 개인정보 처리의 법적 근거는 추가 처리의 법적 근거도 제공할 수 있다. 추가 처리의 목적이 개인정보를 수집한 원래 목적과 양립 가능한지 확인하기 위해, 정보 관리자는 초기 처리의 합법성에 대한 모든 요구사항을 충족한 뒤, 원래 목적과 계획된 추가 처리 목적의 관련성, 개인정보가 수집 된 맥락(특히 정보 주체와 정보 관리자의 관계에 기초한, 개인정보 추가 사용에 대한 정보 주체의 합리적인 예상), 개인정보의 성격, 계획된 추가 처리가 정보 주체에게 미치는 결과, 초기 처리 작업과 계획된 추가 처리 작업 양쪽 모두에 적절한 보호장치가 존재하는지 여부 등을 고려해야 한다. 정보 주체가 동의한 경우, 또는 민주 사회에서 특히 일반 대중의 이익이라는 중요한 목적을 보호하기 위해 필요한 균형 잡힌 조치를 규정하고 있는 유럽연합이나 회원국의 법률에 기초한 정보 처리의 경우, 목적의 양립 가능성과 관계없이 정보 관리자의 개인정보 추가 처리가 허용되어야 한다. 어떤 상황에서든, 본 규정에 명시된 원칙 그리고 특히 정보 주체의 그러한 다른 목적과 거부권을 포함한 권리에 대한 정보에 담긴 원칙의 적용은 보장되어야 한다. 정보 관리자가 범죄 행위 또는 공공안전에 대한 위협의 가능성을 지적하고 그러한 범죄 행위 또는 공공안전에 대한 위협과 관련한 개별 사례 또는 여러 사례에서 관련 개인정보를 주무 기관에 전송하는 것은 정보 관리자가 추구하는 정당한 이익에 속하는 것으로 간주해야 한다. 하지만 그러한 정보 처리가 기밀유지에 대한 법적, 직업적 또는 기타 구속력 있는 의무와 양립 가능하지 않을 때는, 정보 관리자의 정당한 이익에 따른 그러한 개인정보 전송이나 개인정보 추가 처리가 금지되어야 한다. (51) 그 성격상 기본권 및 자유와 관련하여 특히 민감한 개인정보는, 처리 상황에 따라 기본권과 자유에 심각한 위험을 초래할 수 있기 때문에 특별한 보호가 필요하다. 그러한 개인정보에는 출신 인종 또는 민족을 드러내는 개인정보가 포함된다. 본 규정에서 ‘출신 인종’이라는 용어를 사용했다고 해서 유럽연합이 별개 인종의 존재를 확정하려고 시도하는 이론을 받아들인다는 의미는 아니다. 사진 처리의 경우, 사진은 자연인의 고유 식별 또는 증명을 가능하게 하는 특정 기술 수단을 통해 처리될 경우에만 생체 정보로 정의되기 때문에, 특수 범주 개인정보 처리로 일괄 간주해서는 안 된다. 그러한 개인정보는 본 규정에 명시된 특정 사례에서 처리가 허용된 경우 외에는 처리해서는 안 되며, 회원국 법률이 법적의무 준수를 위해서나 공익 또는 정보 관리자에게 부여된 공식 권한 행사를 위한 업무 수행을 위해서 본 규정의 규칙 적용을 조정하기 위해 정보 보호에 관한 구체적 규정을 마련할 수 있다는 사실을 고려해야 한다. 그러한 처리에 대한 구체적 요구사항에 더하여, 본 규정의 일반 원칙과 기타 규칙이 특히 합법적인 처리 조건과 관련하여 적용되어야 한다. 그러한 특수 범주 개인정보 처리에 대한 일반적인 금지를 완화하는 조치는, 특히 정보 주체가 명시적으로 동의한 경우나 특정한 요구와 관련한 경우(특히 기본적 자유 행사를 허용하는 것이 목적인 특정 협회 또는 재단의 정당한 활동 과정에서 정보 처리가 이루어지는 경우), 명시적으로 규정되어야 한다. (52) 특수 범주 개인정보 처리에 대한 금지의 적용 완화는, 그렇게 하는 것이 공익에 부합할 때, 개인정보와 기타 기본권을 보호하기 위해 유럽연합이나 회원국의 법률에 규정된 경우에 적합한 보호장치를 조건으로 허용되어야 한다. 특히 고용법과 연금을 포함한 사회보호법 분야에서의 개인정보 처리, 보건 안보, 모니터링 및 경고 목적을 위한 개인정보 처리, 전염병 및 기타 건강에 대한 심각한 위험의 예방 및 관리 목적을 위한 개인정보 처리가 이에 해당한다. 그러한 적용 완화는 공중보건 및 보건의료 서비스 관리를 포함하는 보건 목적, 특히 건강보험 제도의 혜택 및 서비스에 대한 청구 해결 절차의 품질과 비용효율성을 보장하기 위해서나, 공익을 위한 자료 보관 목적, 과학 또는 역사 연구 목적이나 통계 목적을 위해 이루어질 수 있다. 법정 소송 절차나 행정 절차 또는 법정 밖에서의 절차에서 법적 청구권의 제기, 행사 또는 방어를 위해 필요한 경우에도 적용 완화를 통해 그러한 개인정보 처리를 허용해야 한다. (53) 더 높은 수준의 보호를 필요로 하는 특수 범주 개인정보는, 자연인과 사회 전체의 이익을 위해 보건 관련 목적을 달성하는 데 필요할 경우에만, 특히 보건 또는 사회복지 서비스 및 시스템의 관리라는 맥락에서 보건 관련 목적을 위해 처리되어야 한다. 여기에는 보건 또는 사회복지 시스템의 품질 관리, 경영 정보, 전국적/지역적 감독 목적, 보건 또는 사회복지의 연속성과 국경을 초월하는 보건의료 보장 목적, 보건 안보, 모니터링 및 경고 목적, 또는 공익을 위한 자료 보관 목적, 과학 또는 역사 연구 목적이나 통계 목적(공익이라는 목표를 충족해야 하는 유럽연합이나 회원국 법률 기반), 그리고 공중보건 분야에서 공익을 위해 수행되는 연구 목적을 위해 관리 기관 및 국가 중앙 보건 기관이 수행하는 정보 처리가 포함된다. 따라서 본 규정은 특정 요구와 관련하여, 특히 직업상 기밀을 유지해야 할 법적 의무가 있는 사람이 특정 보건 관련 목적으로 그러한 정보를 처리하는 경우, 그러한 특수 범주 건강 관련 개인정보 처리에 대한 일관성 있는 조건을 제공해야 한다. 유럽연합이나 회원국의 법률은 자연인의 기본권과 개인정보를 보호하기 위한 구체적이고 적절한 조치를 제공해야 한다. 회원국은 유전 정보, 생체 정보 또는 건강 관련 정보의 처리와 관련하여 제한을 포함하는 추가 조건을 유지하거나 도입하도록 허용되어야 한다. 하지만 그러한 조건이 해당 정보의 국경 간 처리에 적용될 때 유럽연합 내에서 개인정보의 자유로운 흐름을 방해해서는 안 된다. (54) 공중보건 분야에서 공익을 이유로 정보 주체의 동의 없이 특수 범주 개인정보를 처리해야 할 필요가 있을 수 있다. 그러한 처리에는 자연인의 권리와 자유를 보호하기 위해 적절하고 구체적인 조치가 적용되어야 한다. 해당 맥락에서, ‘공중보건’이라는 용어는 유럽의회 및 이사회 규정(EC) No 1338/2008에 정의된 대로 해석되어야 한다. 그에 따르면, ‘공중보건’은 건강, 즉 건강 상태와 관련된 모든 요소를 의미하며, 여기에는 질병과 장애, 건강 상태에 영향을 주는 결정 요인, 보건의료 관련 요구, 보건의료에 할당된 자원, 보건의료의 제공과 그에 대한 보편적 접근, 보건의료 지출과 재원, 사망 원인 등이 포함된다. 공익을 이유로 한 그러한 건강 관련 정보 처리는 고용주나 보험사, 은행 같은 제3자가 다른 목적으로 개인정보를 처리하는 결과를 초래해서는 안 된다. (55) 또한, 헌법이나 국제 공법에 규정된 목표를 달성하기 위해 공공기관이 공인된 종교 단체의 개인정보를 처리하는 경우, 이는 공익을 근거로 이루어지는 것이다. (56) 선거 활동 과정에서 회원국의 민주적 시스템에 따라 정당에서 사람들의 정치적 견해에 관한 개인정보를 수집해야 할 필요가 있는 경우, 그러한 정보 처리는 공익을 이유로 허용될 수 있으나, 이때 적절한 보호장치가 마련되어야 한다. (57) 정보 관리자가 처리하는 개인정보를 통해 관리자가 자연인을 식별하는 것이 허용되지 않는 경우, 정보 관리자는 본 규정의 어느 조항을 준수하기 위한 목적만으로 정보 주체를 식별하기 위해 추가 정보를 취득할 의무를 지지 않는다. 하지만, 정보 관리자는 정보 주체의 권리 행사를 뒷받침하기 위해 정보 주체가 제공하는 추가 정보 수령을 거절해서는 안 된다. 신원 증명에는 정보 주체의 디지털 신원 증명, 예를 들어 정보 관리자가 제공하는 온라인 서비스에 로그인하기 위해 정보 주체가 사용하는 인증서 같은 인증 메커니즘을 통한 디지털 신원 증명이 포함된다. (58) 투명성의 원칙에 따라, 대중이나 정보 주체에게 전달되는 모든 정보는 간결하고 쉽게 접근할 수 있으며 이해하기 쉬워야 하고, 명확하고 평이한 표현을 사용해야 하며, 적절한 경우 추가적 시각 자료를 사용해야 한다. 해당 정보는 전자적 형태로, 예를 들어 대중에 전달될 때 웹사이트를 통해, 제공될 수 있다. 이는 온라인 광고의 경우에서처럼, 행위자의 급증과 업무의 기술적 복잡성 때문에 정보 주체 입장에서 자신의 개인정보가 수집되고 있는지 여부와 누가 무슨 목적으로 개인정보를 수집하는지를 인지하고 이해하기 어려운 상황과 특히 관련이 있다. 어린이가 특별한 보호를 받아야 한다는 점을 고려하여, 정보 처리가 어린이와 관련될 경우 모든 정보와 알림은 어린이가 이해하기 쉽도록 명확하고 평이한 표현을 사용해야 한다. (59) 본 규정에 따른 정보 주체의 권리 행사가 용이하도록 세부원칙이 제공되어야 하며, 여기에는 특히 개인정보에 대한 접근 및 수정 또는 삭제와 거부권 행사를 요청하고 해당 경우 무료로 이를 확보할 수 있는 메커니즘이 포함된다. 정보 관리자는 또한, 특히 개인정보가 전자적 수단으로 처리되는 경우, 요청이 전자적으로 이루어질 수 있도록 하는 수단을 제공해야 한다. 정보 관리자는 지체 없이 늦어도 한 달 이내에 정보 주체의 요청에 답하고, 해당 요청에 응하지 않으려 할 경우에는 그 사유를 제시해야 할 의무를 가져야 한다. (60) 공정하고 투명한 처리의 원칙에 따라, 정보 주체는 처리 작업의 존재와 그 목적에 대해 고지받아야 한다. 정보 관리자는 개인정보가 처리되는 구체적 상황과 맥락을 고려하여 공정하고 투명한 처리를 보장하는 데 필요한 모든 추가 정보를 정보 주체에게 제공해야 한다. 또한, 정보 주체는 프로파일링의 존재와 해당 프로파일링의 결과에 대해 고지받아야 한다. 정보 주체로부터 개인정보를 수집하는 경우, 정보 주체는 자신이 개인정보를 제공할 의무가 있는지 여부와 해당 정보를 제공하지 않았을 때의 결과에 대해 고지받아야 한다. 그러한 정보는 쉽게 눈에 띄고 이해 가능하며 명확하게 읽히는 방식으로 계획된 처리에 관한 의미 있는 개요를 제공할 수 있도록 표준화된 아이콘과 함께 제공될 수 있다. 아이콘이 전자적으로 표시될 경우, 해당 아이콘을 기계가 판독할 수 있어야 한다.
(61) 정보 주체와 관련한 개인정보 처리에 관한 정보는, 정보 주체로부터 개인정보를 수집하는 시점에, 또는 개인정보를 다른 출처로부터 취득하는 경우에는 사례별 상황에 따라 합리적인 기간 내에, 정보 주체에게 제공되어야 한다. 개인정보가 다른 수령자에게 정당하게 공개될 수 있는 경우, 정보 주체는 해당 개인정보가 처음으로 수령자에게 공개된 시기에 대해 고지받아야 한다. 정보 관리자가 개인정보를 수집 목적과는 다른 목적으로 처리하고자 하는 경우, 정보 관리자는 해당 추가 처리 전에 정보 주체에게 해당 다른 목적과 기타 필요한 정보를 제공해야 한다. 다양한 출처가 이용되어 개인정보의 출처를 정보 주체에게 제공할 수 없는 경우, 일반적 정보를 제공해야 한다. (62) 하지만, 정보 주체가 이미 해당 정보를 가지고 있는 경우, 개인정보의 기록이나 공개가 법률에 명시적으로 규정되어 있는 경우, 또는 정보 주체에 대한 정보 제공이 불가능한 것으로 확인되거나 과도한 노력을 요구하는 경우에는 정보 제공 의무를 부과할 필요가 없다. 후자는 특히 공익을 위한 자료 보관 목적, 과학 또는 역사 연구 목적이나 통계 목적으로 정보 처리가 이루어지는 경우가 해당될 것이다. 이와 관련하여 정보 주체의 수, 정보의 연령(정보가 얼마나 오래된 것인가), 채택된 모든 적절한 보호장치를 고려해야 한다. (63) 정보 주체는 정보 처리의 합법성을 인지하고 확인하기 위해, 자신에 대해 수집된 개인정보에 접근할 수 있는 권리와 해당 권리를 합리적 간격으로 쉽게 행사할 수 있는 권리를 가져야 한다. 여기에는 정보 주체가 자신의 건강 관련 정보, 예를 들어 담당 의사의 진단, 검사 결과, 평가와 제공된 치료법 및 중재술 등의 정보를 담고 있는 의료 기록 정보에 접근할 수 있는 권리가 포함된다. 따라서 모든 정보 주체는 특히 개인정보 처리 목적, 가능한 경우 개인정보 처리 기간, 개인정보 수령자, 개인정보 자동 처리에 사용되는 로직, 그리고, 적어도 프로파일링에 기초한 경우, 해당 처리의 결과에 대해 알고 이에 대한 알림을 받을 권리가 있다. 가능한 경우, 정보 관리자는 정보 주체가 본인의 개인정보에 직접 접근할 수 있도록 하는 보안 시스템에 대한 원격 접근권을 제공할 수 있어야 한다. 그러한 권리는 영업 비밀이나 지적 재산권, 그리고 특히 소프트웨어를 보호하는 저작권을 포함한 타인의 권리나 자유에 악영향을 미쳐서는 안 된다. 하지만 이를 고려한 결과가 정보 주체에 대해 모든 정보 제공을 거절하는 것이 되어서는 안 된다. 정보 관리자가 정보 주체와 관련한 정보를 대량으로 처리하는 경우, 정보 관리자는 해당 정보를 전달하기 전에 정보 주체에게 요청 대상 정보 또는 관련 처리 활동을 명시해 달라고 요청할 수 있어야 한다. (64) 정보 관리자는, 특히 온라인 서비스 및 온라인 식별자와 관련하여, 접근을 요청하는 정보 주체의 신원을 확인하기 위해 모든 합리적 조치를 취해야 한다. 정보 관리자는 잠재적 요청에 대응할 수 있도록 하는 목적으로만 개인정보를 보유해서는 안 된다. (65) 정보 주체는 자신에 관한 개인정보가 수정되도록 할 권리와, 해당 정보를 보유하는 것이 본 규정이나 정보 관리자가 준수해야 하는 유럽연합이나 회원국 법률에 위배될 경우 ‘잊혀질 권리’를 가져야 한다. 특히, 개인정보가 수집되거나 처리된 목적과 관련하여 개인정보가 더 이상 필요하지 않을 경우, 정보 주체가 자신에 관한 개인정보의 처리에 대한 동의를 철회하거나 처리를 거부한 경우, 또는 정보 주체의 개인정보 처리가 본 규정에 부합하지 않을 경우, 정보 주체는 자신의 개인정보가 삭제되어 더 이상 처리되지 않도록 할 권리를 가져야 한다. 해당 권리는 특히 정보 주체가 정보 처리에 수반되는 위험을 충분히 인지하지 못한 어린 시절에 동의를 제공하고 나중에 특히 인터넷에서 그러한 개인정보를 제거하고 싶어하는 경우와 관련이 있다. 정보 주체는 해당자가 이제 어린이가 아니라는 사실에 관계없이 해당 권리를 행사할 수 있어야 한다. 하지만, 표현과 정보의 자유에 대한 권리 행사에 필요한 경우, 법적 의무를 준수하는 데 필요한 경우, 공익 또는 정보 관리자에게 부여된 공식 권한 행사를 위한 업무 수행에 필요한 경우, 공중보건 분야에서 공익을 근거로 필요한 경우, 공익을 위한 자료 보관 목적, 과학 또는 역사 연구 목적이나 통계 목적에 필요한 경우, 법적 청구권의 제기, 행사 또는 방어를 위해 필요한 경우에는 개인정보를 계속 보유하는 것은 합법이어야 한다. (66) 온라인 환경에서 잊혀질 권리를 강화하기 위해, 개인정보를 일반에 공개한 정보 관리자가 해당 개인정보를 처리하고 있는 모든 정보 관리자에게 해당 개인정보에 대한 링크, 사본 또는 복제물을 모두 삭제하도록 고지할 의무를 가지게 하는 방식 등으로 삭제에 대한 권리도 확장되어야 한다. 이때, 해당 정보 관리자는 정보 주체가 요청한 개인정보를 처리하고 있는 정보 관리자에게 고지하기 위해, 이용 가능한 기술과 수단을 고려하여 기술적 조치를 포함한 합리적 조치를 취해야 한다. (67) 개인정보 처리를 제한하는 방법에는 특히, 선택한 정보를 일시적으로 다른 처리 시스템으로 옮기는 방법, 선택한 개인정보를 사용자들이 볼 수 없게 하는 방법, 게시된 정보를 일시적으로 웹사이트에서 제거하는 방법이 포함될 수 있다. 자동화된 파일링 시스템의 경우, 개인정보에 추가 처리 작업이 적용되지 않고 개인정보가 변경 불가능하게 되는 방식 등으로, 처리 제한이 원칙적으로 기술적 수단을 통해 보장되어야 한다. 개인정보 처리가 제한된다는 사실이 시스템에 명확하게 표시되어야 한다. (68) 개인정보 처리가 자동화된 수단에 의해 수행되는 경우 본인 정보에 대한 통제를 더 강화하기 위해, 정보 주체는 자신이 정보 관리자에게 제공했던 본인 관련 개인정보를 체계적이고 통상적으로 사용되며 기계 판독 가능하고 상호 호환 가능한 형식으로 제공받아 다른 정보 관리자에게 전송하도록 허용되어야 한다. 정보 관리자가 정보 이동성을 가능하게 하는 상호 호환 가능한 형식을 개발하도록 장려해야 한다. 해당 권리는 정보 주체가 자신의 동의에 기초하여 개인정보를 제공한 경우나 계약 이행을위해 정보 처리가 필요한 경우에 적용되어야 한다. 이는 정보 처리가 동의나 계약 외의 법적 근거에 기초한 경우에 적용되어서는 안 된다. 본질적으로 해당 권리는 공적 임무를 수행하는 과정에서 개인정보를 처리하는 정보 관리자에 대해 행사되어서는 안 된다. 따라서 이는 정보 관리자가 따라야 하는 법적 의무를 준수하는 데 개인정보 처리가 필요한 경우나 공익 또는 정보 관리자에게 부여된 공식 권한 행사를 위한 업무 수행에 개인정보 처리가 필요한 경우에는 적용되지 않는다. 자신에 관한 개인정보를 전송하거나 제공받을 수 있는 정보 주체의 권리는 정보 관리자가 기술적으로 호환되는 처리 시스템을 채택하거나 유지해야 할 의무를 발생시키지 않는다. 하나의 특정 개인정보 세트에 여러 명의 정보 주체가 관련되는 경우, 개인정보를 제공받을 권리는 본 규정에 따른 다른 정보 주체의 권리와 자유에 영향을 미치지 않는다. 또한, 해당 권리는 개인정보가 삭제되도록 할 정보 주체의 권리와 본 규정에 명시된 해당 권리의 제한에 영향을 미치지 않으며, 특히 계약 이행을 위해 개인정보가 필요한 범위에서 계약 이행을 위해 본인이 제공한 정보 주체에 관한 개인정보 삭제를 의미하지 않는다. 기술적으로 실현 가능한 경우, 정보 주체는 개인정보가 한 정보 관리자에게서 다른 정보 관리자에게로 직접 전송되도록 할 권리를 가져야 한다. (69) 공익 또는 정보 관리자에게 부여된 공식 권한 행사를 위한 업무 수행에 정보 처리가 필요하다는 이유로, 또는 정보 관리자나 제3자의 정당한 이익을 근거로 개인정보를 합법적으로 처리할 수 있는 경우에도, 정보 주체는 자신의 특정 상황과 관련한 개인정보의 처리를 거부할 수 있는 권리를 가져야 한다. 정보 관리자는 자신의 설득력 있는 정당한 이익이 정보 주체의 이익이나 기본권 및 자유보다 우선함을 입증해야 한다. (70) 직접 마케팅을 위해 개인정보가 처리되는 경우, 정보 주체는 언제든지 무료로, 초기 처리든 추가 처리든 관계없이, 해당 직접 마케팅과 관련한 프로파일링을 포함하여, 그러한 처리를 거부할 수 있는 권리를 가져야 한다. 해당 권리는 정보 주체의 주의를 확실하게 끌 수 있도록 다른 정보와는 별도로 명확하게 제시되어야 한다. (71) 정보 주체는, 온라인 신용 거래 신청 자동 거절이나 인간의 개입이 없는 전자 채용 절차 등과 같이, 자동화된 처리만을 바탕으로 정보 주체의 개인적 요소를 평가하는 조치를 포함할 수 있으며 자신과 관련한 법적 영향 또는 이와 유사하게 중대한 영향을 미치는 결정의 대상이 되지 않을 권리를 가져야 한다. 그러한 처리에는 자연인과 관련한 개인적 요소를 평가하는 개인정보에 대한 여하한 형태의 자동 처리로 구성된 프로파일링, 특히 정보 주체의 업무 성과, 경제 상황, 건강, 개인 취향 또는 관심사, 신뢰성 또는 행동, 위치 또는 이동을 분석하거나 예측하기 위한 것으로, 해당자와 관련한 법적 영향 또는 이와 유사하게 중대한 영향을 미치는 프로파일링이 포함된다. 그러나 프로파일링을 포함한 그러한 처리에 기초한 의사결정은, 정보 관리자가 준수해야 하는 유럽연합이나 회원국 법률이 명시적으로 허가하는 경우에는 허용되어야 한다. 여기에는 유럽연합 기관 또는 국가 감독 기구의 규정, 표준, 권고에 따라 수행되는 사기 및 세금 회피 모니터링 및 방지 목적을 위한 경우, 정보 관리자가 제공하는 서비스의 보안과 신뢰성을 확보하기 위한 경우, 정보 주체와 정보 관리자 간의 계약 체결이나 이행에 필요한 경우, 정보 주체가 명시적으로 동의한 경우가 포함된다. 어떤 경우든 그러한 처리에는 적합한 보호장치가 적용되어야 하며, 여기에는 정보 주체에 대한 구체적 정보 제공, 인간의 개입을 받을 권리, 자신의 견해를 표현할 권리, 그러한 평가 후 도달된 결론에 관해 설명을 들을 권리, 결정에 이의를 제기할 권리가 포함되어야 한다. 그러한 조치는 어린이와는 관련이 없어야 한다. 정보 주체와 관련한 공정하고 투명한 처리를 보장하기 위해, 개인정보가 처리되는 구체적 상황과 맥락을 고려하여, 정보 관리자는 프로파일링을 위한 적절한 수학 또는 통계 절차를 사용하고, 적절한 기술적, 조직적 조치를 이행하여 특히 개인정보의 부정확성을 야기하는 요인을 시정하고 오류 위험을 최소화하며, 정보 주체의 이익 및 권리를 위해 관련된 잠재 위험을 고려하고 특히 출신 인종 또는 민족, 정치적 견해, 종교 또는 신념, 노동조합 가입 여부, 유전 또는 건강 상태, 또는 성적 지향 등에 기초한 정보 주체에 대한 차별적 영향을 방지하거나 그러한 효과를 지닌 조치를 초래하는 방식으로 개인정보를 안전하게 관리해야 한다. 특수 범주 개인정보에 기초한 자동화된 의사결정 및 프로파일링은 특정 조건에서만 허용되어야 한다. (72) 프로파일링은 정보 처리의 법적 근거나 정보 보호 원칙 등 개인정보 처리에 적용되는 본 규정의 규칙을 따라야 한다. 본 규정에 의해 설립된 유럽정보보호위원회(European Data Protection Board, ‘보호위원회’)는 해당 맥락에서 지침을 제시할 수 있어야 한다. (73) 개인정보에 대한 정보 확보, 접근, 수정, 삭제에 대한 권리 및 구체적 원칙, 정보 이동성에 대한 권리, 처리를 거부할 권리, 프로파일링에 기초한 결정, 정보 주체에 대한 개인정보 침해 고지와 정보 관리자의 특정 관련 의무에 관하여 유럽연합이나 회원국 법률에 따라 제한이 부과될 수 있다. 이는 공공안전을 지키기 위해 민주 사회에서 필요하고 균형 잡힌 조치에 한하며, 여기에는 특히 자연재해 또는 인재에 대응한 인간의 생명 보호, 범죄의 예방, 수사 및 기소 또는 형사 처벌의 집행(공공안전에 대한 위협이나 규제 직업의 윤리 위반에 대한 대비 및 예방 포함), 유럽연합이나 회원국 일반 대중의 이익이 달린 다른 중요 목적(특히 유럽연합이나 회원국의 중요한 경제적, 재무적 이익), 일반 대중의 이익을 위해 보관되는 공공 기록물 보존, 과거 전체주의 정권 치하에서의 정치적 행동과 관련한 특정 정보를 제공하기 위해 보관된 개인정보를 추가 처리하는 일, 정보 주체나 다른 사람의 권리 및 자유 보호(사회보호, 공중보건 및 인도주의적인 목적 포함)가 포함된다. 그러한 제한은 헌장과 인권 및 기본적 자유의 보호에 관한 유럽협약(European Convention for the Protection of Human Rights and Fundamental Freedoms)에 명시된 요구사항을 따라야 한다. (74) 정보 관리자에 의해 또는 정보 관리자를 대신하여 수행된 개인정보 처리에 대한 정보 관리자의 책임 및 배상책임이 확립되어야 한다. 특히, 정보 관리자는 적절하고 효과적인 조치를 이행할 의무를 가져야 하며, 그러한 조치의 효과를 포함하여 처리 활동이 본 규정에 부합함을 입증할 수 있어야 한다. 그러한 조치는 처리의 성격, 범위, 맥락과 목적, 그리고 자연인의 권리와 자유에 대한 위험을 고려해야 한다. (75) 자연인의 권리와 자유에 대한 위험은 가능성과 심각성의 정도가 다양하며, 개인정보 처리에서 발생하여 물리적, 물질적 또는 비물질적 피해로 이어질 수 있다. 이는 특히, 정보 처리가 차별, 신분 도용 또는 사기, 재정적 손실, 명성 손상, 직업상 기밀유지 의무로 보호되는 개인정보의 기밀성 상실, 가명화의 무단 역처리, 기타 중대한 경제적, 사회적 불이익을 일으킬 수 있는 경우, 정보 주체가 자신의 권리와 자유를 박탈당하거나 자신의 개인정보에 대한 통제권을 행사하지 못하게 될 수 있는 경우, 출신 인종 또는 민족, 정치적 견해, 종교 또는 철학적 신념, 노동조합 가입 여부를 드러내는 개인정보가 처리되는 경우와 유전 정보, 건강 관련 정보, 성생활이나 형사 판결 및 범죄 행위 또는 관련 보안 조치에 관한 정보가 처리되는 경우, 개인적인 면이 평가되는 경우, 개인 프로필을 생성하거나 사용하기 위해 개인적 요소가 평가되는 경우(특히 업무 성과, 경제 상황, 건강, 개인 취향 또는 관심사, 신뢰성 또는 행동, 위치 또는 이동 관련 요소가 분석 또는 예측되는 경우), 취약한 자연인, 특히 어린이의 개인정보가 처리되는 경우, 처리에 대량의 개인정보가 연루되고 많은 정보 주체에 영향을 미치는 경우에 발생할 수 있다. (76) 정보 주체의 권리와 자유에 대한 위험의 가능성과 심각성은 처리의 성격, 범위, 맥락 및 목적을 참고하여 결정되어야 한다. 위험은 객관적인 평가를 바탕으로 판단되어야 하며, 이에 따라 정보 처리 작업이 위험 또는 높은 위험을 수반하는지 여부가 정해진다. (77) 적절한 조치의 이행에 대한 지침과 정보 관리자 또는 처리자에 의한 준수 입증에 대한 지침, 특히 처리와 관련한 위험의 식별, 위험의 근원, 성격, 가능성 및 심각성 관점에서의 위험 평가, 그리고 위험을 완화하기 위한 모범 관행 파악에 관한 지침은 승인된 행위지침, 승인된 인증, 보호위원회가 제공하는 지침 또는 정보보호 책임자가 제공하는 지시 등을 통해 제공될 수 있다. 보호위원회는 또한 자연인의 권리와 자유에 높은 위험을 초래할 가능성이 낮은 것으로 간주되는 처리 작업에 관한 지침을 제시하고, 해당 경우 그러한 위험을 해결하는 데 어떤 조치면 충분할지를 명시할 수 있다. (78) 개인정보 처리와 관련한 자연인의 권리와 자유 보호는, 본 규정의 요구사항을 충족하기 위해 적절한 기술적, 조직적 조치를 취할 것을 요구한다. 본 규정 준수를 입증할 수 있으려면, 정보 관리자는 내부 정책을 채택하고 특히 설계에 의한 정보 보호와 기본설정에 의한 정보 보호 원칙을 만족하는 조치를 이행해야 한다. 그러한 조치에는 특히 개인정보 처리 최소화, 개인정보의 최대한 빠른 가명화, 개인정보의 기능과 처리에 관한 투명성 확보, 정보 주체의 정보 처리 모니터링 허용, 정보 관리자의 보안 기능을 생성 및 향상 허용이 포함될 수 있다. 개인정보 처리를 바탕으로 하거나 자신의 업무를 수행하기 위해 개인정보를 처리하는 애플리케이션, 서비스 및 제품을 개발, 설계, 선정, 사용할 경우, 해당 제품, 서비스, 애플리케이션의 생산자는 그러한 제품, 서비스, 애플리케이션을 개발 및 설계할 때 정보 보호에 대한 권리를 고려하도록 권장되어야 하며, 최신 기술을 충분히 고려하여 정보 관리자와 처리자가 정보 보호 의무를 충족할 수 있게 하도록 권장되어야 한다. 설계에 의한 정보 보호와 기본설정에 의한 정보 보호의 원칙은 공개 입찰의 맥락에서도 고려되어야 한다. (79) 정보 주체의 권리와 자유 보호 그리고 정보 관리자와 처리자의 책임 및 배상책임은, 감독기관에 의한 모니터링 및 조치와 관련하여도 본 규정에 따른 책임의 명확한 할당을 요구한다. 여기에는 정보 관리자가 다른 정보 관리자와 공동으로 정보 처리의 목적과 수단을 결정하는 경우나 처리 작업이 정보 관리자를 대신하여 수행되는 경우가 포함된다. (80) 유럽연합 내에서 설립되지 않은 정보 관리자 또는 처리자가 유럽연합 내 정보 주체의 개인정보를 처리하고, 해당 처리 활동이 정보 주체의 대금 지급이 필요한지 여부와는 관계없이 유럽연합 내 정보 주체에 대한 상품 또는 서비스 제공과 관련되거나 유럽연합 내에서 일어나는 정보 주체의 행동 모니터링과 관련되는 경우, 해당 정보 관리자 또는 처리자는 대리인을 지정해야 한다. 단, 처리가 가끔씩만 이루어지며, 특수 범주 개인정보 대량 처리나 형사 판결 및 범죄 행위와 관련한 개인정보 처리를 포함하지 않고, 처리의 성격, 맥락, 범위 및 목적을 고려할 때 자연인의 권리와 자유에 대한 위험을 초래할 가능성이 낮거나 정보 관리자가 공공기관 또는 공공단체인 경우는 예외이다. 대리인은 정보 관리자나 처리자를 대신하여 행위해야 하며 어떤 감독기관이든 대리인에게 연락할 수 있다. 대리인은 정보 관리자나 처리자의 서면 위임에 의해 본 규정에 따른 의무와 관련하여 해당자를 대신하여 행위하는 것으로 명확하게 지정되어야 한다. 그러한 대리인의 지정은 본 규정에 따른 정보 관리자나 처리자의 책임 또는 배상책임에 영향을 미치지 않는다. 그러한 대리인은 정보 관리자나 처리자로부터 받은 위임 내용에 따라 그 업무를 수행해야 하며, 여기에는 본 규정을 준수하기 위한 조치와 관련하여 주무 감독기관과 협력하는 일이 포함된다. 지정된 대리인은 정보 관리자나 처리자의 불이행이 발생한 경우 집행 절차를 따라야 한다,
(81) 정보 관리자를 대신해서 정보 처리자에 의해 수행되는 처리와 관련하여 본 규정의 요구사항 준수를 보장하기 위해, 정보 처리자에게 처리 활동을 위탁하는 경우, 정보 관리자는 특히 전문지식, 신뢰성 및 자원의 관점에서, 처리의 보안을 위한 조치를 포함하여 본 규정의 요구사항을 충족하는 기술적, 조직적 조치를 이행한다는 충분한 보증을 제공하는 정보 처리자만을 이용해야 한다. 정보 처리자가 승인된 행위지침이나 승인된 인증 메커니즘을 준수하는 것은 정보 관리자의 의무 준수를 입증하는 요소로 사용될 수 있다. 정보 처리자에 의한 처리 수행은 유럽연합이나 회원국 법률에 따른 계약 또는 기타 법적 조치에 의해 통제되어야 하며, 이는 정보 처리자를 정보 관리자에 구속되게 하고, 처리의 주제 사안과 기간, 처리의 성격과 목적, 개인정보의 유형과 정보 주체의 범주를 규정하며, 수행되는 처리와 정보 주체의 권리 및 자유에 대한 위험이라는 맥락에서 정보 처리자의 구체적 업무와 책임을 고려한다. 정보 관리자와 처리자는 개별 계약을 사용할지 아니면 표준 계약 조항을 사용할지 선택할 수 있으며, 표준 계약 조항은 집행위원회가 직접 채택하거나 일관성 메커니즘에 따라 감독기관이 채택한 뒤 집행위원회가 채택한다. 정보 관리자를 대신한 처리가 완료된 뒤, 정보 처리자는 정보 관리자의 선택에 따라 개인정보를 반환하거나 삭제해야 한다. 단, 정보 처리자가 준수해야 하는 유럽연합이나 회원국 법률에 따라 개인정보를 보관해야 한다는 요구사항이 존재하는 경우는 예외이다. (82) 본 규정 준수를 입증하기 위해, 정보 관리자나 처리자는 자신의 책임하에 있는 처리 활동에 대한 기록을 유지해야 한다. 각 정보 관리자와 처리자는 감독기관과 협력하고, 요청을 받은 경우 해당 처리 작업의 모니터링에 이용할 수 있도록 감독기관이 해당 기록을 볼 수 있게 할 의무를 가져야 한다. (83) 보안을 유지하고 처리가 본 규정에 위배되는 일을 방지하기 위해, 정보 관리자나 처리자는 처리에 내재하는 위험을 검토하고 암호화 등 그러한 위험을 완화하는 조치를 이행해야한다. 그러한 조치는 최신 기술과 보호 대상 개인정보의 위험 및 성격과 관련한 이행 비용을 고려하여, 기밀성을 포함한 적절한 보안 수준을 보장해야 한다. 정보 보안 위험을 평가할 때는, 전송 또는 보관되거나 달리 처리되는 개인정보의 우발적 또는 불법적 파괴, 손실, 변경, 무단 공개나 그에 대한 접근 등 개인정보 처리에서 드러나는 위험으로서 물리적, 물질적 또는 비물질적 피해로 이어질 수 있는 위험을 고려해야 한다. (84) 처리 작업이 자연인의 권리와 자유에 높은 위험을 초래할 가능성이 큰 경우 본 규정 준수를 강화하기 위해, 정보 관리자는 특히 해당 위험의 기원, 성격, 특수성 및 심각성을 평가하는 정보보호 영향평가 수행에 대한 책임을 져야 한다. 개인정보 처리가 본 규정을 준수한다는 사실을 입증하기 위해 취해야 할 적절한 조치를 결정할 때 해당 평가 결과를 고려해야 한다. 처리 작업이 이용 가능한 기술과 이행 비용 관점에서 정보 관리자가 적절한 조치를 통해 완화할 수 없는 높은 위험을 수반한다는 사실이 정보보호 영향평가를 통해 드러날 경우, 정보 처리 전에 감독기관과의 협의가 이루어져야 한다. (85) 개인정보 침해는 적시에 적절한 방식으로 해결하지 않을 경우 개인정보에 대한 통제 상실이나 권리 제한, 차별, 신분 도용 또는 사기, 재정적 손실, 가명화의 무단 역처리, 명성 손상, 직업상 기밀유지 의무로 보호되는 개인정보의 기밀성 상실, 기타 관련 자연인에 대한 중대한 경제적, 사회적 불이익 등 자연인에 대한 물리적, 물질적 또는 비물질적 피해를 초래할 수 있다. 따라서 정보 관리자는 개인정보 침해가 발생한 사실을 인지하는 즉시, 지체 없이, 가능하면 그 사실을 인지한 때로부터 72시간 이내에 감독기관에 개인정보 침해 사실을 통지해야 한다. 단, 정보 관리자가 책임성의 원칙에 따라 해당 개인정보 침해가 자연인의 권리와 자유에 대한 위험을 초래하지 않음을 입증할 수 있는 경우는 예외이다. 그러한 통지를 72시간 내에 완수할 수 없는 경우, 지연 사유를 통지와 함께 전달해야 하며, 정보는 추가 지체 없이 단계적으로 제공될 수 있다. (86) 개인정보 침해가 자연인의 권리와 자유에 높은 위험을 초래할 가능성이 큰 경우, 정보 주체가 필요한 예방 대책을 취할 수 있도록, 정보 관리자는 지체 없이 정보 주체에게 해당 개인정보 침해 사실을 알려야 한다. 해당 알림 내용은 개인정보 침해의 성격과 관련 자연인에 대한 잠재적 악영향을 완화하기 위한 권장사항을 기술해야 한다. 정보 주체에 대한 해당 알림은 합리적으로 가능한 한 빨리 감독기관과의 밀접한 협력하에 이루어져야 하며, 감독기관이나 법 집행 기관 등 기타 관련 기관이 제공하는 지침을 존중해야 한다. 예를 들어, 즉각적인 피해 위험을 완화할 필요가 있는 경우라면 정보 주체에게 즉시 연락해야 할 것이며, 지속적이거나 유사한 개인정보 침해에 대한 적절한 조치를 이행해야 할 필요가 있는 경우라면 알림에 좀 더 시간을 두는 것이 정당화될 수 있다. (87) 개인정보 침해 발생 여부를 즉시 확인하고 감독기관과 정보 주체에게 바로 고지하기 위한 모든 적절한 기술적 보호 및 조직적 조치가 이행되었는지를 확인해야 한다. 특히 개인정보 침해의 성격 및 중대성과 정보 주체에게 미치는 결과 및 악영향을 고려하여, 통지가 지체 없이 이루어졌다는 사실이 확인되어야 한다. 해당 통지는 본 규정에 명시된 업무와 권한에 따른 감독기관의 개입을 초래할 수도 있다. (88) 개인정보 침해의 통지에 적용되는 형식과 절차에 관한 세부 규칙을 정할 때는, 개인정보가 적절한 기술적 보호 조치를 통해 보호되었는지, 신원 도용 또는 다른 형태의 오용 가능성이 효과적으로 제한되었는지 등을 포함한 해당 위반의 상황이 충분히 고려되어야 한다. 또한, 그러한 규칙과 절차는, 이른 공개가 개인정보 침해의 상황에 대한 조사를 불필요하게 방해할 수 있는 경우, 법 집행 기관의 정당한 이익을 고려해야 한다. (89) 지침 95/46/EC는 개인정보 처리를 감독기관에 통지해야 할 일반적 의무를 규정했다. 해당 의무는 행정적, 재정적 부담을 발생시키지만 모든 경우에 개인정보 보호를 개선하는 데 기여하지는 못했다. 따라서 이러한 무차별적인 일반적 통지 의무는 폐지되어야 하며, 그 성격과 범위, 맥락 및 목적상 자연인의 권리와 자유에 높은 위험을 초래할 가능성이 큰 유형의 처리 작업에 초점을 맞춘 효과적인 절차와 메커니즘으로 대체되어야 한다. 그러한 유형의 처리 작업은 특히 새로운 기술 사용을 수반하는 작업 또는 새로운 종류의 작업으로 정보 관리자가 이전에 정보보호 영향평가를 수행한 적이 없거나 초기 처리 이후 시간이 많이 경과하여 영향평가가 필요해진 작업일 수 있다. (90) 그러한 경우, 해당 처리의 성격, 범위, 맥락 및 목적과 위험의 근원을 고려하여 높은 위험의 구체적 가능성 및 심각성을 평가하기 위해 처리 전에 정보 관리자가 정보보호 영향평가를 수행해야 한다. 해당 영향평가는 특히 해당 위험 완화와 개인정보 보호 보장 및 본 규정 준수 입증을 위해 구상된 조치, 보호장치 및 메커니즘을 포함해야 한다. (91) 이는 특히, 상당한 양의 개인정보를 지역적, 국가적 또는 초국가적 수준에서 처리하는 것을 목표로 하는 대규모 처리 작업으로서 많은 정보 주체에 영향을 줄 수 있으며 그 민감성 등으로 인해 높은 위험을 초래할 가능성이 큰 작업, 기술 지식의 달성 상태에 따라 새로운 기술이 대규모로 사용되는 경우에 적용되어야 한다. 이는 또한 정보 주체의 권리와 자유에 높은 위험을 초래하는 다른 처리 작업, 특히 해당 작업이 정보 주체의 권리 행사를 어렵게 만드는 경우에도 적용되어야 한다. 프로파일링에 기초한 자연인에 관한 개인적 요소의 체계적이고 광범위한 평가에 뒤이어 또는 특수 범주 개인정보, 생체 정보, 형사 판결 및 범죄 행위 또는 관련 보안 조치에 관한 정보의 처리에 뒤이어 특정 자연인에 관한 의사결정을 위해 개인정보가 처리되는 경우에도 정보보호 영향평가가 수행되어야 한다. 일반이 접근 가능한 영역을 대규모로 모니터링하는 경우, 특히 광전자 기기를 사용하는 경우나 주무 감독기관이 정보 주체의 권리와 자유에 높은 위험을 초래할 가능성이 크다고 여기는 기타 작업의 경우에도 마찬가지로 정보보호 영향평가가 요구된다. 이는 특히 그러한 처리 작업이 정보 주체의 권리 행사나 서비스 또는 계약 이용을 방해하기 때문이거나 그러한 처리 작업이 체계적으로 그리고 대규모로 수행되기 때문이다. 개인정보 처리가 개별 의사, 기타 보건 전문가나 변호사에 의한 환자나 고객의 개인정보에 관한 것일 경우, 해당 개인정보 처리는 대규모인 것으로 간주되지 않는다. 그러한 경우에는 정보보호 영향평가를 의무화해서는 안 된다. (92) 정보보호 영향평가의 대상을 단일 프로젝트보다 넓은 범위로 설정하는 것이 합리적이고 경제적일 수 있는 상황이 있다. 여러 공공기관 또는 공공단체가 공통의 애플리케이션 또는 처리 플랫폼을 수립하고자 할 때나, 여러 정보 관리자가 특정 산업 부문 또는 분야에 걸친 또는 광범위하게 이용되는 수평적 활동을 위한 공통의 애플리케이션 또는 처리 환경을 도입하고자 할 때가 그 예이다. (93) 공공기관 또는 공공단체 업무 수행의 기반이 되며 문제의 특정 처리 작업 또는 처리 작업 세트를 규제하는 회원국 법률 채택과 관련하여, 회원국은 처리 활동 이전에 그러한 평가 수행이 필요하다고 간주할 수 있다. (94) 위험을 완화하는 보호장치, 보안 조치 및 메커니즘이 없다면 정보 처리로 인해 자연인의 권리와 자유에 높은 위험이 초래될 것임이 정보보호 영향평가를 통해 드러나고, 정보 관리자도 그러한 위험이 이용 가능한 기술과 이행 비용이라는 관점에서 합리적인 수단을 통해 완화될 수 없다는 견해일 경우, 처리 활동 시작 전에 감독기관과의 협의가 이루어져야 한다. 그러한 높은 위험은 처리의 특정 유형과 처리의 규모 및 빈도에 따라 초래될 가능성이 크며, 이는 또한 자연인의 권리와 자유에 대한 피해 또는 간섭을 초래할 수 있다. 감독기관은 지정된 기간 내에 협의 요청에 응해야 한다. 하지만 감독기관이 해당 기간 내에 대응하지 않았다고 해도, 해당 감독기관이 본 규정에 명시된 업무와 권한에 따라 개입하는 데에는 영향을 미치지 않으며, 여기에는 처리 작업을 금지하는 권한이 포함된다. 그러한 협의 절차의 일환으로, 쟁점이 되는 정보 처리와 관련하여 수행된 정보보호 영향평가의 결과가 감독기관에 제출될 수 있으며, 특히 자연인의 권리와 자유에 대한 위험을 완화하도록 구상된 조치가 이에 해당한다. (95) 정보 처리자는 필요한 경우, 그리고 요청을 받은 경우, 정보보호 영향평가 수행과 감독기관과의 사전 협의에서 파생되는 의무를 준수하려는 정보 관리자를 지원해야 한다. (96) 개인정보 처리에 대해 규정하는 법적 조치 또는 규제 조치를 준비하는 과정에서도, 계획된 처리가 본 규정을 준수하도록 보장하고 특히 정보 주체에 대한 위험을 완화하기 위해 감독기관과의 협의가 이루어져야 한다. (97) 공공기관이 처리를 수행하는 경우(법원이나 독립된 사법 기관이 사법적 권한을 행사하는 경우 제외), 민간 부문에서 정보 주체에 대한 대규모의 정기적, 체계적 모니터링을 필요로 하는 처리 작업이 핵심 활동인 정보 관리자가 처리를 수행하는 경우, 또는 정보 관리자나 처리자의 핵심 활동이 특수 범주 개인정보와 형사 판결 및 범죄 행위 관련 정보를 대규모로 처리하는 일인 경우, 정보 보호 법률 및 관행에 관한 전문지식을 보유한 사람이 정보 관리자나 처리자가 본 규정의 내부 준수를 모니터링하는 일을 지원해야 한다. 민간 부문에서 정보 관리자의 핵심 활동은 그 주요 활동과 관련되며 부수적인 활동으로서 개인정보 처리와는 관련이 없다. 필요한 전문지식 수준은 특히 정보 관리자나 처리자가 수행하는 정보 처리 작업과 그에 의해 처리되는 개인정보에 대해 요구되는 보호에 따라 정해져야 한다. 그러한 정보보호 책임자는 정보 관리자의 피고용인이든 아니든 관계없이 독립적인 방식으로 자신의 임무와 업무를 수행할 수 있는 위치에 있어야 한다. (98) 정보 관리자 또는 처리자의 범주를 대표하는 협회 또는 그 밖의 단체는, 본 규정의 효과적인 적용을 촉진하기 위해 본 규정의 한도 내에서 특정 부문에서 수행되는 처리의 구체적 특성과 초소형기업 및 중소기업의 특수한 요구를 고려하여 행위지침을 작성하도록 권장되어야 한다. 특히, 그러한 행위지침은 자연인의 권리와 자유에 대해 정보 처리가 초래할 수 있는 위험을 고려하여 정보 관리자와 처리자의 의무를 보정할 수 있을 것이다. (99) 행위지침을 작성할 때나 그러한 규범을 개정 또는 확대할 때, 정보 관리자 또는 처리자의 범주를 대표하는 협회 또는 그 밖의 단체는 관련 이해당사자와(가능한 경우 정보 주체 포함) 협의해야 하며, 그러한 협의에서 제시된 제안과 견해를 유념해야 한다. (100) 투명성과 본 규정 준수를 강화하기 위해, 인증 메커니즘과 정보 보호 인장 및 마크 수립을 장려하여, 정보 주체가 관련 제품과 서비스의 정보 보호 수준을 빠르게 평가할 수 있도록 해야 한다.
(101) 유럽연합 외부 국가 및 국제기구와의 개인정보 교류는 국제 무역과 국제 협력을 증진하기 위해 필요한 일이다. 그러한 교류의 증가는 개인정보 보호와 관련하여 새로운 난관과 우려를 제기한다. 그러나 개인정보가 유럽연합으로부터 제3국에 있는 정보 관리자나 처리자 또는 기타 수령자에게 또는 국제기구에 전송될 때, 본 규정에 따라 유럽연합 내에서 보장되는 자연인의 보호 수준이 훼손되어서는 안 된다. 여기에는 해당 제3국 또는 국제기구에서 동일한 또는 다른 제3국의 정보 관리자나 처리자 또는 국제기구에 개인정보가 연이어 전송되는 경우도 포함된다. 어떤 경우에도, 제3국 및 국제기구로의 전송은 본 규정을 완전하게 충족하는 경우에만 수행될 수 있다. 정보 관리자나 처리자가 제3국 또는 국제기구로의 개인정보 전송과 관련하여 본 규정에 명시된 조건을 준수할 경우에만(단, 본 규정의 다른 조항 적용) 전송이 이루어질 수 있다. (102) 본 규정은, 정보 주체에 대한 적절한 보호장치를 포함하여 개인정보 전송을 규제하는 유럽연합과 제3국 간에 체결된 국제협약에는 영향을 미치지 않는다. 회원국은 제3국이나 국제기구로의 개인정보 전송을 수반하는 국제협약을 맺을 수 있다. 단, 그러한 협약이 본 규정이나 유럽연합 법률의 그 외 규정에 영향을 미쳐서는 안 되며, 협약 내용에 정보 주체의 기본권에 대한 적절한 수준의 보호가 포함되어야 한다. (103) 집행위원회는 어느 제3국, 제3국의 영토 또는 특정 부문이나 국제기구가 적절한 수준의 정보 보호를 제공한다는 내용의 유럽연합 전체에 효력을 미치는 결정을 내릴 수 있으며, 그 결정은 그러한 수준의 보호를 제공하는 것으로 간주되는 해당 제3 국 또는 국제기구와 관련하여 유럽연합 전체에 법적 확실성과 통일성을 제공한다. 그러한 경우, 해당 제3 국 또는 국제기구로의 개인정보 전송은 추가 허가를 받을 필요 없이 이루어질 수 있다. 집행위원회는 또한, 해당 제3국 또는 국제기구에 상세 사유 설명과 함께 통지를 제공하여, 그러한 결정을 취소하는 결정을 내릴 수도 있다. (104) 유럽연합 설립의 바탕이 된 근본적인 가치, 특히 인권 보호 정신에 따라, 집행위원회는 제3국, 제3국의 영토 또는 특정 부문을 평가할 때 해당 제3국이 법치주의를 얼마나 존중하는지, 즉 정의와 국제 인권 규범 및 표준, 그리고 해당 국가의 일반 법률과 부문별 법률(공공안전, 국방 및 국가안보, 공공질서 관련 법률과 형법 포함)에 어떤 식으로 접근하는지를 고려해야 한다. 제3국의 영토 또는 특정 부문과 관련하여 적절성 결정을 채택할 때는, 구체적인 처리 활동과 해당 제3국에서 시행 중인 적용 가능한 법적 기준 및 법령의 범위 등 명확하고 객관적인 기준을 고려해야 한다. 해당 제3국은, 특히 개인정보가 하나 또는 여러 특정 부문에서 처리될 경우, 유럽연합 내에서 보장되는 수준과 본질적으로 동등한 적절한 수준의 보호가 이루어질 것임을 보장해야 한다. 특히, 해당 제3국은 효과적인 독립적 정보 보호 감독을 보장해야 하고, 회원국 정보 보호 기관과의 협력 메커니즘을 제공해야 하며, 정보 주체는 효과적이고 집행 가능한 권리와 효과적인 행정적, 사법적 구제를 제공받아야 한다. (105) 제3국 또는 국제기구가 체결한 국제규약과는 별도로, 집행위원회는 제3 국 또는 국제기구가 특히 개인정보 보호와 관련한 다자간 또는 지역 시스템에 참여하면서 발생하는 의무와 그러한 의무의 이행에 대해 고려해야 한다. 특히, 제3국이 개인정보 자동 처리와 관련한 개인 보호에 대한 1981 년 1월 28일자 유럽평의회 협약(Council of Europe Convention) 및 추가의정서에 참여했는지를 고려해야 한다. 집행위원회는 제3국 또는 국제기구의 보호 수준을 평가할 때 보호위원회와 협의해야 한다. (106) 집행위원회는 제3국, 제3국의 영토 또는 특정 부문이나 국제기구의 보호 수준에 대한 결정이 어떻게 기능하는지 모니터링해야 하며, 지침 95/46/EC 제25조제6항 또는 제26 조제4항에 기초하여 채택된 결정이 어떻게 기능하는지도 모니터링해야 한다. 적절성 결정을 내린 경우, 집행위원회는 해당 결정의 기능에 대한 주기적 검토 메커니즘을 제공해야 한다. 그러한 주기적 검토는 문제의 제3국 또는 국제기구와의 협의를 통해 수행되어야 하며, 해당 제3국 또는 국제기구의 모든 관련 상황 전개를 고려해야 한다. 모니터링과 주기적 검토 수행을 위해, 집행위원회는 유럽의회 및 이사회와 그 밖의 관련 기관 및 자료 출처의 견해와 조사 결과를 고려해야 한다. 집행위원회는 적절한 기간 내에 후자 결정의 기능을 평가하여 모든 관련 조사 결과를 본 규정에 따라 설립된 위원회(유럽의회 및 이사회 규정(EU) No 182/2011에 따른 의미)와 유럽의회 및 이사회에 보고해야 한다. (107) 집행위원회는 제3국, 제3국의 영토 또는 특정 부문이나 국제기구가 더 이상 적절한 수준의 정보 보호를 제공하지 않음을 인정할 수 있다. 그에 따라, 구속력 있는 기업 규칙을 포함한 적절한 보호장치가 적용되는 전송 및 특정 상황에 대한 적용 완화에 대한 본 규정의 요구사항이 충족되지 않는 한, 해당 제3국 또는 국제기구로의 개인정보 전송이 금지되어야 한다. 해당 경우, 집행위원회와 해당 제3국 또는 국제기구 간 협의를 위한 규정이 마련되어야 한다. 집행위원회는 적시에 제3국 또는 국제기구에 사유를 고지하고 상황을 해결하기 위한 협의에 들어가야 한다. (108) 적절성 결정이 내려지지 않은 경우, 정보 관리자나 처리자는 정보 주체를 위한 적절한 보호장치를 통해 제3국의 정보 보호 부족을 보완하는 조치를 취해야 한다. 그러한 적절한 보호장치에는 구속력 있는 기업 규칙, 집행위원회가 채택한 표준 정보 보호 조항, 감독기관이 채택한 표준 정보 보호 조항, 또는 감독기관이 허가한 계약 조항을 활용하는 것이 포함될 수 있다. 그러한 보호장치는 유럽연합 내에서의 정보 처리에 적합한 정보 보호 요구사항 및 정보 주체의 권리를 충족해야 하며, 여기에는 유럽연합 또는 제3국에서 집행 가능한 정보 주체의 권리와 효과적인 법적 구제(효과적인 행정적, 사법적 구제를 얻고 보상을 청구하는 것 포함)를 이용할 수 있어야 한다는 조건이 포함된다. 이는 특히 개인정보 처리와 관련한 일반 원칙, 설계에 의한 정보 보호 원칙, 그리고 기본설정에 의한 정보 보호 원칙 준수와 관련되어야 한다. 정보 전송은 공공기관 또는 공공단체에 의해, 상응하는 업무 또는 기능을 가진 제3국의 공공기관 또는 공공단체나 국제기구를 상대로 이루어질 수 있으며, 여기에는 집행 가능하고 효과적인 정보 주체의 권리를 규정하는 행정약정(양해각서 등)에 삽입될 규정을 기반으로 하는 경우가 포함된다. 법적 구속력이 없는 행정약정을 통해 보호장치가 제공되는 경우에는 주무 감독기관의 허가를 받아야 한다. (109) 정보 관리자나 처리자가 집행위원회 또는 감독기관이 채택한 표준 정보 보호 조항을 사용할 수 있다고 해서, 정보 관리자나 처리자가 더 광범위한 계약(정보 처리자와 다른 정보 처리자 간의 계약 등)에 표준 정보 보호 조항을 포함시키거나 다른 조항 또는 추가 보호장치를 추가하는 것이 금지되는 것은 아니다. 단, 해당 조항 등은 집행위원회 또는 감독기관이 채택한 표준 정보 보호 조항을 직접적으로든 간접적으로든 부정하거나 정보 주체의 기본권과 자유에 영향을 미쳐서는 안 된다. 정보 관리자와 처리자는 표준 보호 조항을 보완하는 계약상 약속을 통해 추가 보호장치를 제공하도록 장려되어야 한다. (110) 공동의 경제 활동에 종사하는 사업자 집단 또는 기업 집단은, 유럽연합에서 해당 동일 사업자 집단 또는 기업 집단 내 조직으로의 국제 전송에 대해 승인된 구속력 있는 기업 규칙을 활용할 수 있어야 한다. 단, 그러한 기업 규칙은 개인정보의 전송이나 전송 범주에 관한 적절한 보호장치를 보장하기 위해 모든 주요 원칙과 집행 가능한 권리를 포함해야 한다. (111) 정보 주체가 명백하게 동의한 경우, 또는 전송이 가끔씩만 이루어지며 계약 또는 법적 청구(법정 소송 절차에서든, 규제기구에 제기된 절차를 포함한 행정 절차 또는 법정 밖에서의 절차에서든 관계없이)와 관련하여 필요한 경우 등 특정 상황에서의 전송 가능성에 관한 규정이 마련되어야 한다. 또한, 유럽연합이나 회원국의 법률에 규정된 공익과 관련한 중요한 근거가 요구하는 경우, 또는 법률에 따라 수립되었으며 일반 대중 또는 정당한 이해관계가 있는 사람의 참고를 위한 기록부에서 전송이 이루어지는 경우의 전송 가능성에 관한 규정도 마련되어야 한다. 후자의 경우, 그러한 전송은 해당 기록부에 수록된 개인정보 전체 또는 정보의 범주 전체를 포함해서는 안 되며, 해당 기록부가 정당한 이해관계가 있는 사람의 참고를 위한 것인 경우, 그러한 사람이 요청하거나 그러한 사람이 수령자인 경우에 한하여 전송이 이루어져야 하며, 정보 주체의 이익과 기본권이 충분히 고려되어야 한다. (112) 그러한 적용 완화는 특히 공익과 관련한 중요한 이유로(예를 들어 경쟁 담당 기관 간, 세금 또는 관세 부처 간, 금융 감독 기관 간, 사회보장 문제에 대한 주무 단체 간 국제 정보 교환의 경우 등) 또는 공중보건을 위해(예를 들어 전염병에 대한 접촉자 추적 조사의 경우, 스포츠에서 도핑 감소/근절을 위해서 등) 요구되거나 필요한 정보 전송에 적용되어야 한다. 정보 주체가 동의를 제공할 수 없는 상황에서, 신체의 완전성이나 생명을 포함해 정보 주체나 다른 사람의 중요한 이익을 위해 필수적인 이익을 보호하는 데 개인정보 전송이 필요한 경우, 그러한 개인정보 전송은 합법적인 것으로 간주되어야 한다. 적절성 결정이 내려지지 않은 경우, 유럽연합이나 회원국 법률은 공익과 관련한 중요한 이유로, 특수 범주 정보를 제3국이나 국제기구에 전송하는 것을 명시적으로 제한할 수 있다. 회원국은 그러한 규정을 집행위원회에 통지해야 한다. 물리적인 이유나 법적인 이유로 동의를 제공할 수 없는 정보 주체의 개인정보를 국제 인도주의 단체에 전송하는 것은, 제네바 협약에 따라 필요한 업무 달성 또는 무력 충돌에 적용 가능한 국제 인도주의 법률 준수라는 관점에서, 공익과 관련한 중요한 이유로 또는 정보 주체의 중요한 이익에 해당하여 필요한 것으로 간주될 수 있다. (113) 반복적으로 일어나지 않으며 제한된 수의 정보 주체만 관련된다는 자격에 부합할 수 있는 전송은, 정보 관리자가 추구하는 설득력 있는 정당한 이익을 위해서도 가능할 수 있다. 단, 이는 정보 주체의 이익이나 권리 및 자유가 그러한 이익보다 우선하지 않으며, 정보 관리자가 해당 정보 전송을 둘러싼 모든 상황을 평가한 경우에 한한다. 정보 관리자는 특히 개인정보의 특성, 제안된 처리 작업의 목적과 기간, 원출처 국가와 제3국 및 최종 목적지 국가의 상황을 고려해야 하며, 개인정보 처리와 관련하여 자연인의 기본권과 자유를 보호하는 데 적합한 보호장치를 제공해야 한다. 그러한 전송은 전송에 적용 가능한 다른 근거가 없는 나머지 경우에만 가능해야 한다. 과학 또는 역사 연구 목적이나 통계 목적의 경우에는 지식의 증대라는 사회의 정당한 기대를 고려해야 한다. 정보 관리자는 감독기관 및 정보 주체에게 전송에 대해 고지해야 한다. (114) 어떤 경우든, 집행위원회가 제3국 내 적절한 수준의 정보 보호에 대한 결정을 내리지 않은 경우, 일단 정보가 전송되고 나면 정보 관리자나 처리자는 유럽연합 내에서 정보 처리와 관련하여 정보 주체에게 집행 가능하고 효과적인 권리를 제공하는 방법을 이용해 정보 주체가 계속 기본권과 보호장치를 누릴 수 있게 해야 한다. (115) 일부 제3국은 회원국의 관할하에 있는 자연인과 법인의 처리 활동을 직접 규제한다고 주장하는 법률, 규정 및 기타 법적 조치를 채택하고 있다. 여기에는 정보 관리자나 처리자에게 개인정보 전송 또는 공개를 요구하는 제3국 제3국 법원 또는 재판소 판결이나 행정 기관 결정으로서, 사법공조조약 등 요청자인 제3 국과 유럽연합 또는 회원국 간의 유효한 국제 협약에 기초하지 않은 법적 조치가 포함될 수 있다. 그러한 법률, 규정 및 기타 법적 조치를 해당 영토 밖에서 적용할 경우, 이는 국제법 위반이 될 수 있으며 본 규정에 따라 유럽연합 내에서 보장되는 자연인 보호라는 목적 달성을 방해할 수 있다. 정보 전송은 제3국으로의 전송에 관한 본 규정의 조건이 충족될 경우에만 허용되어야 한다. 특히 정보 관리자가 준수해야 하는 유럽연합이나 회원국 법률이 인정하는 공익과 관련한 중요한 근거에 따라 공개가 필요한 경우가 이에 해당할 수 있다. (116) 개인정보가 유럽연합 밖으로 국경을 넘어 이동할 때 자연인의 정보 보호 권리 행사, 특히 해당 정보의 불법 사용 또는 공개로부터 보호받을 권리에 대한 위험이 증가할 수 있다. 그와 동시에, 감독기관이 국경 밖의 활동과 관련하여 민원을 제기하거나 조사를 수행하지 못할 수도 있다. 그러한 국경을 넘는 상황에서 감독기관의 협력 노력 역시 불충분한 예방 또는 구제 권한, 서로 다른 법제도, 그리고 자원 부족 같은 현실적 장애물의 방해를 받을 수 있다. 따라서 정보 보호 감독기관 간에 더 밀접한 협력을 촉진하여 서로 정보를 교환하고 함께 조사를 수행하도록 도울 필요가 있다. 개인정보 보호를 위한 법령을 집행하기 위한 국제적 상호 지원을 촉진하고 제공하는 국제 협력 메커니즘 개발을 위해, 집행위원회와 감독기관은 호혜주의에 입각해 본 규정에 따라 정보를 교환하고 그들의 권한 행사와 관련한 활동에서 제3국의 주무 기관과 협력해야 한다. (117) 회원국에서 완전한 독립성을 가지고 업무를 수행하고 권한을 행사할 수 있는 감독기관을 설립하는 것은, 개인정보 처리와 관련한 자연인 보호를 위한 필수 요소이다. 회원국은 해당 국가의 헌법적, 조직적, 행정적 구조를 반영하여 여러 개의 감독기관을 설립할 수 있어야 한다. (118) 감독기관의 독립성은 해당 감독기관이 재정 지출에 대한 통제 또는 모니터링 메커니즘이나 사법적 검토의 적용 대상이 될 수 없다는 뜻은 아니다. (119) 회원국이 여러 감독기관을 설립하는 경우, 법률을 통해 해당 감독기관이 일관성 메커니즘에 효과적으로 참여하게 하는 메커니즘을 수립해야 한다. 회원국은 특히, 다른 감독기관, 보호위원회 및 집행위원회와의 신속하고 원활한 협력을 보장하기 위해, 해당 감독기관의 효과적인 메커니즘 참여를 위한 단일 연락 창구 기능을 하는 감독기관을 지정해야 한다. (120) 각 감독기관은 유럽연합 전체 다른 감독기관과의 상호 지원 및 협력 관련 업무를 포함한 그 업무를 효과적으로 수행하는 데 필요한 재정적 자원, 인적 자원, 공간 및 인프라를 제공받아야 한다. 각 감독기관은 전체 국가 예산의 일부가 될 수 있는 별도의 공공 연간 예산을 가져야 한다.
(121) 감독기관 구성원에 대한 일반 조건은 각 회원국의 법률로 정해야 하며, 특히 감독기관의 구성원은 투명한 절차를 통해 행정부, 행정부 구성원, 의회 또는 의회 원(상원/하원)의 제청으로 회원국의 의회, 행정부 또는 국가 원수가 임명하거나 회원국 법률에 따라 위임받은 독립 기관이 임명해야 한다. 감독기관의 독립성을 보장하기 위해, 감독기관의 구성원은 정직하게 행동해야 하고 임무에 부합하지 않는 모든 행동을 삼가야 하며 임기 동안 보수 여부에 관계없이 양립 불가능한 직업에 종사해서는 안 된다. 감독기관은 감독기관이 선발하거나 회원국 법률에 따라 설립된 독립 기관이 선발하는 자체 직원을 두어야 하며, 해당 직원은 감독기관 구성원의 지시만을 따라야 한다. (122) 각 감독기관은 해당 회원국의 영토 내에서 본 규정에 따라 부여된 권한을 행사하고 업무를 수행할 주무 권한을 가져야 한다. 특히 해당 회원국의 영토 내 정보 관리자나 처리자의 사업장 활동이라는 맥락에서 이루어지는 정보 처리, 공공기관이나 공익을 위해 일하는 민간단체가 수행하는 개인정보 처리, 해당 영토 내 정보 주체에게 영향을 미치는 정보 처리, 유럽연합 내에서 설립되지 않은 정보 관리자나 처리자가 수행하는 정보 처리(대상 정보 주체가 해당 영토 내에 거주하는 경우)를 다루어야 한다. 감독기관의 업무에는 정보 주체가 제기하는 민원 처리, 본 규정 적용에 관한 조사 시행, 개인정보 처리와 관련한 위험, 규칙, 보호장치, 권리에 대한 대중의 인식 제고가 포함되어야 한다. (123) 감독기관은 개인정보 처리와 관련하여 자연인을 보호하고 역내 시장 내에서 개인정보의 흐름을 촉진하기 위해, 본 규정에 따른 조항 적용을 모니터링해야 하며 유럽연합 전체에서 본 규정이 일관되게 적용되는 데 기여해야 한다. 이를 위해, 감독기관은 회원국 간 상호 지원 제공이나 협력에 관한 합의 필요 없이, 서로 협력하고 집행위원회와도 협력해야 한다. (124) 개인정보 처리가 유럽연합 내 정보 관리자나 처리자의 사업장 활동이라는 맥락에서 이루어지고 해당 정보 관리자나 처리자가 복수의 회원국에서 설립된 경우나, 처리가 유럽연합 내 정보 관리자나 처리자의 단일 사업장 활동이라는 맥락에서 이루어지고 이후 복수의 회원국에 있는 정보 주체에게 상당한 영향을 미치거나 상당한 영향을 미칠 가능성이 큰 경우, 해당 정보 관리자나 처리자의 주된 사업장 또는 단일 사업장을 담당하는 감독기관이 지휘 기관의 역할을 해야 한다. 지휘 기관은 다른 관련 기관과 협력해야 하는데, 정보 관리자나 처리자가 해당 회원국 영토에 사업장을 두고 있는 경우, 해당 영토에 거주하는 정보 주체가 상당한 영향을 받은 경우, 또는 해당 기관에 민원이 제기된 경우 관련 기관이 된다. 또한, 해당 회원국에 거주하지 않는 정보 주체가 민원을 제기한 경우, 그러한 민원을 접수한 감독기관도 관련 감독기관이 된다. 보호위원회는 본 규정 적용과 관련한 의문 사항에 대한 지침을 제시하는 보호위원회의 업무 범위 내에서, 특히 문제의 정보 처리가 복수의 회원국에 있는 정보 주체에 상당한 영향을 미치는지 확인하기 위해 고려해야 하는 기준에 관한 지침과 타당하고 합리적인 이의를 구성하는 조건에 관한 지침을 제시할 수 있어야 한다. (125) 지휘 기관은 본 규정에 따라 부여된 권한을 적용하는 조치와 관련하여 구속력 있는 결정을 채택할 주무 권한을 가져야 한다. 지휘 기관으로서의 업무 범위 내에서, 해당 감독기관은 의사결정 과정에 관련 감독기관을 긴밀하게 참여시키고 이를 조율해야 한다. 결정이 정보 주체의 민원 전부 또는 일부를 기각하는 내용인 경우, 이 결정은 해당 민원을 접수한 감독기관에 의해 채택되어야 한다. (126) 결정은 지휘 감독기관과 관련 감독기관의 공동 합의를 거쳐야 하고, 정보 관리자나 처리자의 주된 사업장 또는 단일 사업장에 전달되어야 하며, 해당 정보 관리자나 처리자에 대해 구속력을 가져야 한다. 정보 관리자나 처리자는 본 규정을 준수하고 지휘 감독기관이 유럽연합 내 처리 활동과 관련하여 해당 정보 관리자나 처리자의 주된 사업장에 통지한 결정을 이행하는 데 필요한 조치를 취해야 한다. (127) 지휘 감독기관이 아닌 각 감독기관은, 정보 관리자나 처리자가 복수의 회원국에서 설립되어 있으나 해당 특정 처리의 주제 사안이 단일 회원국에서 수행되는 처리에만 관련되며 해당 단일 회원국의 정보 주체만 연루되어 있는(예를 들어 주제 사안이 한 회원국의 특정 고용 상황에서 직원 개인정보를 처리하는 것과 관련된 경우) 지역 사례를 처리할 주무 권한을 가져야 한다. 그러한 경우, 감독기관은 해당 사안을 지휘 감독기관에 지연 없이 고지해야 한다. 고지를 받은 지휘 감독기관은, 지휘 감독기관과 다른 관련 감독기관 간 협력 규정(‘원스톱 숍 메커니즘’)에 따라 자신이 사건을 처리할지, 아니면 고지를 제공한 감독기관이 지역 차원에서 사건을 처리할지 결정해야 한다. 자신이 사건을 처리할지 말지를 결정할 때, 지휘 감독기관은 정보 관리자나 처리자에 대한 결정의 효과적인 집행을 보장하기 위해, 고지를 제공한 감독기관이 속한 회원국에 정보 관리자나 처리자의 사업장이 있는지 여부를 고려해야 한다. 지휘 감독기관이 사건을 처리하기로 한 경우, 고지를 제공한 감독기관은 결정을 위한 초안을 제출할 기회를 가져야 하며, 지휘 감독기관은 원스톱 숍 메커니즘에 따라 자신의 결정 초안을 작성할 때 이 초안을 최대한 고려해야 한다. (128) 지휘 감독기관과 원스톱 숍 메커니즘에 관한 규칙은 공공기관이나 공익을 위한 민간단체가 수행하는 처리의 경우에는 적용되지 않는다. 해당 경우, 본 규정에 따라 부여된 권한을 행사할 주무 권한을 가진 유일한 감독기관은 해당 공공기관이나 민간단체가 설립된 회원국의 감독기관이다. (129) 유럽연합 전체에 걸쳐 본 규정의 일관된 모니터링과 집행을 보장하기 위해, 감독기관은 각 회원국 내에서 동일한 업무와 유효한 권한을 가져야 한다. 여기에는 조사 권한, 시정 권한 및 제재 권한, 허가 및 조언 권한이 포함되며, 특히 자연인이 민원을 제기한 경우, 본 규정 위반 사실을 사법 기관에 고발하고 소송에 관여할 권한도 포함된다(회원국 법률에 따른 검찰 기관의 권한에는 영향을 미치지 않음). 그러한 권한은 또한, 정보 처리에 대해 금지를 포함한 잠정적 또는 최종적 제한을 부과할 권한을 포함해야 한다. 회원국은 본 규정에 따른 개인정보 보호와 관련된 다른 업무를 명시할 수 있다. 감독기관의 권한은 유럽연합 및 회원국 법률에 명시된 적절한 절차적 보호장치에 따라 적절한 시간 내에 공평하고 공정하게 행사되어야 한다. 특히 각각의 조치는 본 규정 준수 보장이라는 관점에서 적절하고 필요하며 균형을 유지해야 하고, 개별 사례 각각의 상황을 고려해야 하며, 자신에게 악영향을 미치는 개별 조치가 이루어지기 전에 의견을 개진할 모든 사람의 권리를 존중해야 하고, 관계자에게 불필요한 비용을 발생시키거나 과도한 불편을 초래하는 일을 피해야 한다. 부지 출입과 관련한 조사 권한은 사법 기관의 사전 허가를 받아야 한다는 요구사항 등, 회원국 절차법에 규정된 구체적 요구사항에 따라 행사되어야 한다. 감독기관의 법적 구속력 있는 조치 각각은 서면으로 작성되어야 하고, 명확하고 모호하지 않아야 하며, 해당 조치 서면을 발행한 감독기관과 발행일을 명시해야 하고, 감독기관의 장 또는 장이 권한을 부여한 구성원의 서명이 있어야 하며, 조치의 사유를 제시해야 하고, 효과적인 구제를 받을 권리를 언급해야 한다. 이는 회원국 절차법에 따른 추가 요구사항을 배제하지 않아야 한다. 법적 구속력 있는 결정의 채택은 해당 결정을 채택한 감독기관이 속한 회원국에서 사법심사를 야기할 수 있음을 암시한다. (130) 민원을 접수한 감독기관이 지휘 감독기관이 아닌 경우, 지휘 감독기관은 본 규정에 명시된 협력과 일관성에 관한 규정에 따라 민원을 접수한 감독기관과 긴밀하게 협력해야 한다. 그러한 경우, 지휘 감독기관은, 과징금 부과를 포함한 법적 영향을 발생시킬 목적의 조치를 취할 때, 민원을 접수한 감독기관의 견해를 최대한 고려해야 하며, 민원을 접수한 감독기관은 주무 감독기관과 연락하면서 해당 회원국 영토에 대한 조사를 수행할 주무 권한을 그대로 가져야 한다. (131) 다른 감독기관이 정보 관리자나 처리자의 처리 활동에 대한 지휘 감독기관의 역할을 담당해야 하지만, 민원의 구체적 주제 사안이나 잠재적 위반이 해당 민원이 제기되거나 잠재적 위반이 감지된 회원국 내 정보 관리자나 처리자의 처리 활동과만 관련되며 해당 사안이 다른 회원국의 정보 주체에게는 상당한 영향을 미치지 않거나 상당한 영향을 미칠 가능성이 낮은 경우, 민원을 접수했거나 본 규정 위반 가능성을 수반하는 상황을 감지했거나 달리 알게 된 감독기관은 정보 관리자와 원만하게 해결하기 위해 노력해야 하며, 그것이 여의치 않은 경우에는 모든 권한을 행사해야 한다. 여기에는 해당 감독기관이 속한 회원국 영토 내에서 수행되거나 해당 회원국 영토 내 정보 주체에 관한 정보 처리, 해당 감독기관이 속한 회원국 영토 내 정보 주체를 구체적으로 겨냥한 상품 또는 서비스 제공의 맥락에서 수행되는 정보 처리, 회원국 법률에 따른 관련 법적 의무를 고려하여 평가되어야 하는 정보 처리가 포함되어야 한다. (132) 감독기관의 대중에 대한 인식 제고 활동은 특히 교육적 맥락에서 자연인은 물론 초소형기업과 중소기업을 포함하는 정보 관리자와 처리자에 대한 구체적 조치를 포함해야 한다. (133) 감독기관은, 역내 시장에서 본 규정의 일관된 적용과 집행을 보장하기 위해, 업무 수행 시 서로를 지원해야 한다. 상호 지원을 요청한 감독기관은 상대 감독기관의 해당 요청 접수 후 한 달 이내에 상호 지원 요청에 대해 답을 받지 못한 경우 임시 조치를 채택할 수 있다. (134) 각 감독기관은 적절한 경우 다른 감독기관과의 공동 작업에 참여해야 한다. 요청을 받은 감독기관은 지정된 기간 내에 요청에 답해야 할 의무를 가져야 한다. (135) 유럽연합 전체에서 본 규정의 일관된 적용을 보장하기 위해, 감독기관 간 협력에 대한 일관성 메커니즘이 수립되어야 한다. 해당 메커니즘은 특히 감독기관이 여러 회원국의 상당수 정보 주체에게 상당한 영향을 미치는 처리 작업과 관련하여 법적 영향을 발생시킬 목적의 조치를 채택하고자 하는 경우에 적용되어야 한다. 이는 관련 감독기관이나 집행위원회가 해당 사안을 일관성 메커니즘에 따라 처리해야 한다고 요청하는 경우에도 적용되어야 한다. 해당 메커니즘은 집행위원회가 유럽연합의 조약에 따른 권한을 행사하면서 취하는 조치에 영향을 미쳐서는 안 된다. (136) 일관성 메커니즘을 적용할 때, 보호위원회는 구성원 과반수가 그렇게 결정하거나 관련 감독기관이나 집행위원회가 이를 요청한 경우 지정된 기간 내에 의견을 제시해야 한다. 또한 감독기관 간에 다툼이 있는 경우 보호위원회가 법적 구속력 있는 결정을 채택할 권한을 가져야 한다. 이를 위해, 보호위원회는 감독기관 간에(특히 사건의 시비에 따라 지휘 감독기관과 관련 감독기관 간 협력 메커니즘에서) 의견 충돌이 있는 명확하게 명시된 사건에서 원칙적으로 구성원의 3분의 2 다수결로 본 규정 위반이 있었는지에 대한 법적 구속력 있는 결정을 제시해야 한다. (137) 정보 주체의 권리와 자유를 보호하기 위해, 특히 정보 주체의 권리 이행이 상당히 방해받을 수 있는 위험이 존재할 때, 긴급하게 행동해야 할 필요가 있을 수 있다. 따라서 감독기관은 3개월을 초과하지 않는 지정된 유효 기간을 갖는 담당 영토에 대한 정당한 임시 조치를 채택할 수 있어야 한다. (138) 해당 메커니즘의 적용은, 메커니즘 적용이 필수인 사건에서 감독기관의 법적 영향을 발생시킬 목적의 조치가 합법성을 갖추기 위한 조건이어야 한다. 여러 국가가 관련된 다른 사건에서는 지휘 감독기관과 관련 감독기관 간 협력 메커니즘이 적용되어야 하며, 일관성 메커니즘을 유발하지 않고 양자 간 또는 다자 간 기반으로 관련 감독기관 간에 상호 지원과 공동 작업이 이루어질 수 있다. (139) 본 규정의 일관성 있는 적용을 촉진하기 위해, 보호위원회는 유럽연합의 독립된 기관으로 설립되어야 한다. 보호위원회의 목적을 달성하기 위해, 보호위원회는 법인격을 가져야 한다. 보호위원회는 위원장에 의해 대표되어야 한다. 보호위원회는 지침 95/46/EC에 의해 설립된 개인정보 처리에 관한 개인 보호 작업반(Working Party on the Protection of Individuals with Regard to the Processing of Personal Data)을 대체해야 한다. 보호위원회는 각 회원 국 감독기관의 장과 유럽정보보호감독관(European Data Protection Supervisor) 또는 해당자의 대리인으로 구성되어야 한다. 집행위원회는 의결권 없이 보호위원회의 활동에 참여해야 하며, 유럽정보보호감독관은 특정 의결권을 가져야 한다. 보호위원회는 특히 제3국이나 국제기구의 보호 수준에 관해 집행위원회에 권고하고, 유럽연합 전체에서 감독기관의 협력을 촉진하는 등, 유럽연합 내에서 본 규정이 일관되게 적용되는 데 기여해야 한다. 보호위원회는 그 업무를 수행할 때 독립적으로 행동해야 한다. (140) 보호위원회는 유럽정보보호감독관이 제공하는 사무국의 지원을 받아야 한다. 본 규정에 따라 보호위원회에 부여된 업무 수행에 관여하는 유럽정보보호감독관의 직원은 보호위원회 위원장 지시만을 따라 업무를 수행하고 보호위원회 위원장에게 보고해야 한다.
(141) 모든 정보 주체는 특히 상시 거주지 회원국의 단일 감독기관에 민원을 제기할 권리를 가져야 하며, 정보 주체가 본 규정에 따른 자신의 권리가 침해당했다고 생각하는 경우, 또는 감독기관이 민원 제기에 대응하지 않거나 민원 일부 또는 전부를 기각 또는 각하하거나 정보 주체의 권리를 보호하는 데 필요한 행동을 취하지 않는 경우, 헌장 제47조에 따라 효과적인 사법적 구제를 받을 권리를 가져야 한다. 민원 제기에 따른 조사는, 사법심사에 따르는 것을 조건으로, 해당 사건에 적합한 범위에서 수행되어야 한다. 감독기관은 합리적인 기간 내에 정보 주체에게 민원 제기에 따른 진행 상황과 결과를 고지해야 한다. 추가 조사가 필요하거나 다른 감독기관과의 협력이 필요한 경우, 정보 주체에게 중간 정보를 제공해야 한다. 민원 제출이 쉽게 이루어질 수 있도록, 각 감독기관은 전자적으로도 작성할 수 있는 민원 제출 양식을 제공하는 등(다른 커뮤니케이션 수단을 배제하는 것은 아님)의 조치를 취해야 한다. (142) 정보 주체가 본 규정에 따른 자신의 권리가 침해당했다고 생각하는 경우, 정보 주체는 회원국 법률에 따라 구성되고 공익을 위한 법정 목표를 가지며 개인정보 보호 분야에서 활동하고 있는 비영리 단체, 조직 또는 협회에 정보 주체를 대신해서 감독기관에 민원을 제기하거나, 정보 주체를 대신해서 사법적 구제를 받을 권리를 행사하거나, 회원국 법률에 규정된 경우 정보 주체를 대신해서 보상을 받을 권리를 행사하도록 위임할 권리를 가져야 한다. 회원국은 그러한 단체, 조직 또는 협회가 정보 주체의 위임과는 별도로 해당 회원국에서 민원을 제기할 권리와, 본 규정에 위배되는 개인정보 처리의 결과로 정보 주체의 권리가 침해당했다고 생각할 이유가 있는 경우 효과적인 사법적 구제를 받을 권리를 갖도록 규정할 수 있다. 그러한 단체, 조직 또는 협회가 정보 주체의 위임과는 별도로 정보 주체를 대신해서 보상을 요청하도록 허용할 수는 없다. (143) 모든 자연인 또는 법인은 TFEU 제263조에 규정된 조건에 따라 사법재판소에 보호위원회의 결정에 대한 무효 소송을 제기할 권리를 가진다. 그러한 결정의 수취인으로서 결정에 이의를 제기하고자 하는 관련 감독기관은 TFEU 제263조에 따라 결정을 통지받은 때로부터 2개월 이내에 소송을 제기해야 한다. 보호위원회의 결정이 정보 관리자, 정보 처리자 또는 민원 제기자와 관련되는 직접적이고 개별적인 것일 경우, 후자는 TFEU 제263조에 따라 결정이 보호위원회 웹사이트에 게시된 때로부터 2개월 이내에 해당 결정에 대한 소송을 제기할 수 있다. TFEU 제263조에 따른 이러한 권리에 미치는 영향 없이, 모든 자연인과 법인은 본인과 관련한 법적 영향을 발생시키는 감독기관의 결정에 대해 관할 국가 법원에서 효과적인 사법적 구제를 받아야 한다. 그러한 결정은 특히 감독기관의 조사, 시정 및 승인 권한 행사나 민원의 각하 또는 기각과 관련된다. 하지만 효과적인 사법적 구제를 받을 권리는 감독기관이 제시한 의견이나 조언 등 감독기관의 법적 구속력 없는 조치에는 적용되지 않는다. 감독기관에 대한 소송은 감독기관이 설립된 회원국 법원에 제기되어야 하며, 해당 회원국의 절차법에 따라 진행되어야 한다. 그러한 법원은 완전한 관할권을 행사해야 하며, 여기에는 분쟁과 관련한 모든 사실 및 법률 문제를 심리할 권한이 포함되어야 한다. 감독기관이 민원을 기각 또는 각하한 경우, 민원 제기자는 같은 회원국의 법원에 소송을 제기할 수 있다. 본 규정의 적용과 관련한 사법적 구제라는 맥락에서, 판결을 내리는 데 필요한 문제에 대한 결정을 고려하는 국가 법원은 사법재판소에 본 규정을 포함한 유럽연합 법률의 해석에 관한 선결적 판결을 제공해 달라고 요청할 수 있거나, TFEU 제267 조에 명시된 경우에는 이를 요청해야 한다. 또한, 보호위원회 결정을 이행하는 감독기관의 결정과 관련하여 국가 법원에 이의가 제기되고 보호위원회 결정의 유효성이 문제가 되는 상황에서, 국가 법원은 보호위원회 결정을 무효로 선언할 권한은 없지만, 해당 결정이 무효라고 생각할 경우 사법재판소의 해석에 따른 TFEU 제267조에 따라 유효성 문제를 사법재판소에 회부해야 한다. 하지만 해당 결정에 대한 무효 소송을 제기할 기회가 있었으나 TFEU 제263조에 정해진 기간 내에 소송을 제기하지 않았던 자연인 또는 법인(특히 해당자가 해당 결정에 직접적, 개별적으로 관련된 경우) 요청한 경우, 국가 법원은 보호위원회 결정의 유효성 문제를 회부하지 않을 수 있다. (144) 감독기관의 결정에 대한 소송 절차를 맡은 법원이 동일한 정보 관리자나 처리자에 의한 정보 처리에 관한 동일한 주제 사안, 동일한 소송 사유 등 동일한 정보 처리에 관한 소송이 다른 회원국의 관할 법원에 제기되었다고 믿을 만한 이유가 있는 경우, 이 법원은 해당 다른 법원에 연락하여 그러한 관련 소송의 존재를 확인해야 한다. 관련 소송이 다른 회원국 법원에 계류 중일 경우, 최초 소송 담당 법원을 제외한 다른 법원은 소송 절차를 중지하거나, 최초 소송 담당 법원이 문제의 소송에 대한 관할권이 있고 법률에 따라 그러한 관련 소송의 통합이 허용되는 경우, 소송 당사자 중 하나의 요청에 따라 최초 소송 담당 법원을 위해 관할권 행사를 사양할 수 있다. 별도로 소송을 진행한 결과 양립 불가능한 판결이 날 위험을 방지하기 위해, 소송이 서로 밀접하게 연결되어 있어서 통합하여 심리하고 판결하는 것이 편리한 경우 해당 소송은 서로 관련된 것으로 간주된다. (145) 정보 관리자나 처리자에 대한 소송에서, 원고는 정보 관리자나 처리자의 사업장이 있는 회원국 또는 정보 주체가 거주하는 회원국 법원에 소송을 제기할 선택권을 가져야 한다. 단, 정보 관리자가 공권력을 행사하는 회원국의 공공기관인 경우는 예외이다. (146) 정보 관리자나 처리자는 본 규정에 위배되는 처리의 결과로 누군가가 입을 수 있는 모든 피해를 보상해야 한다. 정보 관리자나 처리자가 어떤 식으로든 피해에 대한 책임이 없다는 것을 입증한 경우에는 배상책임이 면제되어야 한다. 피해의 개념은 본 규정의 목적을 충분히 반영하는 방식으로 사법재판소의 판례법에 비추어 넓게 해석되어야 한다. 이는 유럽연합이나 회원국 법률의 다른 규칙 위반으로부터 발생한 피해에 대한 손해배상 청구에 영향을 미치지 않는다. 본 규정에 위배되는 처리에는 본 규정과 본 규정의 규칙을 정하는 회원국 법률에 따라 채택된 위임 법령 및 실행 법령에 위배되는 처리가 포함된다. 정보 주체는 자신이 받은 피해에 대해 충분하고 효과적인 보상을 받아야 한다. 여러 정보 관리자나 처리자가 동일한 처리에 관여한 경우, 각 정보 관리자나 처리자가 전체 피해에 대해 배상책임을 져야 한다. 하지만 해당자들이 동일한 소송에 관여하는 경우에는, 피해를 입은 정보 주체에 대한 충분하고 효과적인 보상이 보장되는 것을 조건으로, 회원국 법률에 따라 해당 처리에 의한 피해에 대한 각 정보 관리자나 처리자의 책임 정도에 따라 보상이 배분될 수 있다. 전체 보상금을 지급한 정보 관리자나 처리자는 동일한 처리에 관여한 다른 정보 관리자나 처리자를 상대로 상환청구 소송을 제기할 수 있다. (147) 특히 정보 관리자나 처리자에 대해 보상을 포함한 사법적 구제를 받고자 하는 소송 절차와 관련하여, 본 규정에 관할권에 관한 구체적 규칙이 포함되어 있는 경우, 유럽의회 및 이사회 규정(EU) No 1215/2012의 규칙 등 일반적인 관할권 규칙은 그러한 구체적인 규칙의 적용에 영향을 미치지 않는다. (148) 본 규정의 규칙 집행을 강화하기 위해, 본 규정 위반에 대해 과징금을 포함한 처벌이 부과되어야 하며, 이는 본 규정에 따라 감독기관이 부과하는 적절한 조치에 추가로 또는 이를 대신하여 부과되는 것이다. 사소한 위반의 경우나 과징금 부과가 자연인에게 과도한 부담이 될 경우, 과징금 대신 견책 처분이 내려질 수 있다. 하지만 이때는 위반의 성격, 중대성 및 기간, 위반의 고의성, 피해를 완화하기 위해 취한 조치, 책임의 정도나 관련 위반 이력, 감독기관이 위반을 인지하게 된 경위, 해당 정보 관리자나 처리자에게 명령된 조치 준수, 행위지침 준수, 기타 가중 또는 감경 요소를 충분히 고려해야 한다. 과징금을 포함한 처벌 부과에는 유럽연합 법률과 헌장의 일반 원칙에 따른 적절한 절차적 보호(효과적인 사법적 보호와 정당한 절차 포함)가 적용되어야 한다. (149) 회원국은, 본 규정에 따라 본 규정의 한도 내에서 채택된 국가 법률 위반을 포함한 본 규정 위반에 대한 형사 처벌 관련 규칙을 마련할 수 있어야 한다. 그러한 형사 처벌은 본 규정 위반을 통해 취득한 수익의 박탈도 허용할 수 있다. 하지만 그러한 국가 법률 위반에 대한 형사 처벌 부과와 과징금 부과는 사법재판소의 해석에 따른 일사부재리의 원칙에 위배되어서는 안 된다. (150) 본 규정 위반에 대한 행정 처벌을 강화하고 조화를 추구하기 위해, 각 감독기관은 과징금 부과 권한을 가져야 한다. 본 규정은 해당 위반과 관련 과징금 설정을 위한 상한선 및 기준을 명시해야 한다. 과징금은 각 개별 사례에서 주무 감독기관이 결정해야 하며, 이때 구체적 경우의 모든 관련 상황을 고려하고 특히 위반의 성격, 중대성 및 기간, 위반의 결과, 그리고 본 규정에 따른 의무를 준수하고 위반의 결과를 방지하거나 완화하기 위해 취한 조치를 충분히 고려해야 한다. 과징금이 사업자에게 부과될 경우, 그 사업자는 해당 목적과 관련하여 TFEU 제101조와 제102조에 따른 사업자로 이해되어야 한다. 과징금이 사업자가 아닌 사람에게 부과될 경우, 감독기관은 해당 회원국의 일반적인 소득 수준과 해당자의 경제 상황을 고려하여 적절한 과징금 액수를 정해야 한다. 과징금의 일관성 있는 적용을 촉진하기 위해 일관성 메커니즘을 사용할 수도 있다. 공공기관이 과징금의 대상이 되는지와 그 수준은 회원국이 정하는 것으로 해야 한다. 과징금 부과나 경고 처분은 본 규정에 따른 감독기관의 다른 권한 적용이나 다른 처벌 적용에 영향을 미치지 않는다. (151) 덴마크와 에스토니아의 법률 체계는 본 규정에 명시된 과징금을 허용하지 않는다. 과징금에 관한 규칙은 덴마크에서는 형사 처벌로서 관할 국가 법원이 벌금을 부과하는 방식으로, 에스토니아에서는 경범죄 절차의 틀에서 감독기관이 벌금을 부과하는 방식으로 적용될 수 있다. 단, 해당 회원국에서의 그러한 규칙 적용은 감독기관이 부과하는 과징금과 동등한 효과를 가져야 한다. 따라서 관할 국가 법원은 해당 벌금을 발의한 감독기관의 권고를 고려해야 한다. 어떤 경우에든 부과된 벌금은 효과적이고 비례적이며 제지 효과가 있어야 한다. (152) 본 규정이 행정 처벌의 조화를 이루지 못하는 경우, 또는 본 규정의 심각한 위반 사례 등 다른 사례에서 필요한 경우, 회원국은 효과적이고 비례적이며 제지 효과가 있는 처벌을 제공하는 시스템을 구현해야 한다. 그러한 처벌의 성격을 형사 처벌로 할지 행정 처벌로 할지는 회원국의 법률로 정해야 한다. (153) 회원국 법률은 언론, 학문, 예술, 문학 표현을 포함하는 표현 및 정보의 자유에 적용되는 규칙과 본 규정에 따른 개인정보 보호에 대한 권리를 조화시켜야 한다. 언론 관련 목적이나 학문, 예술 또는 문학 표현 관련 목적만을 위한 개인정보 처리에는 헌장 제11조에 명문화된 대로, 개인정보 보호에 관한 권리와 표현 및 정보의 자유를 조화시키는 데 필요한 경우 본 규정의 특정 조항 적용의 완화 또는 면제가 적용되어야 한다. 이는 특히 시청각 분야 그리고 뉴스 아카이브 및 보도 자료실에서의 개인정보 처리에 적용되어야 한다. 따라서 회원국은 그러한 기본권 간의 균형을 위한 목적에 필요한 면제 및 완화를 규정하는 입법 조치를 채택해야 한다. 회원국은 일반 원칙, 정보 주체의 권리, 정보 관리자와 처리자, 제3국이나 국제기구에 대한 개인정보 전송, 독립적 감독기관, 협력과 일관성, 그리고 구체적 정보 처리 상황에 대해 그러한 면제 및 완화를 채택해야 한다. 그러한 면제 및 완화가 회원국마다 다를 경우, 정보 관리자가 준수해야 하는 회원국 법률이 적용되어야 한다. 모든 민주 사회에서 표현의 자유에 대한 권리가 갖는 중요성을 감안하기 위해, 언론 등 해당 자유와 관련한 개념을 넓게 해석할 필요가 있다. (154) 본 규정은 본 규정을 적용할 때 공식 문서에 대한 공공 접근 원칙을 고려하는 것을 허용한다. 공식 문서에 대한 공공 접근은 공익에 따른 것으로 간주될 수 있다. 공공기관 또는 공공단체가 보유하고 있는 문서에 담긴 개인정보는 해당 공공기관 또는 공공단체가 준수해야 하는 유럽연합이나 회원국 법률이 공개를 규정하고 있는 경우 해당 공공기관 또는 공공단체가 일반 대중에 공개할 수 있어야 한다. 그러한 법률은 공식 문서에 대한 공공 접근 및 공공 부문 정보의 재사용과 개인정보 보호 권리를 조화시켜야 하며, 따라서 본 규정에 따른 개인정보 보호 권리와의 필요한 조화를 규정할 수도 있다. 그러한 맥락에서 공공기관 또는 공공단체에 대한 언급은 문서 공공 접근에 관한 회원국 법률이 다루는 모든 기관 또는 기타 단체를 포함해야 한다. 유럽의회 및 이사회 지침 2003/98/EC는 유럽연합과 회원국 법률 조항에 따른 개인정보 처리와 관련한 자연인의 보호 수준을 온전히 유지하고 어떤 방식으로도 이에 영향을 미치지 않으며, 특히 본 규정에 명시된 의무와 권리를 변경하지 않는다. 특히, 해당 지침은 개인정보 보호에 근거하는 열람 체제로 인해 열람이 배제되거나 제한되는 문서와, 그러한 체제에서 열람 가능한 문서의 일부이지만 이에 포함된 개인정보의 재사용이 개인정보 처리와 관련한 자연인의 보호에 관한 법률과 양립 불가능한 것으로 법률에 규정된 경우에는 적용되지 않는다. (155) 회원국의 법률 또는 근로협약을 포함하는 단체협약은 고용 관련 맥락에서의 종업원 개인정보 처리에 대한 구체적인 규칙을 정할 수 있다. 이는 특히 종업원의 동의를 바탕으로, 그리고 채용, 고용 계약의 이행(법률 또는 단체협약이 정한 의무 이행 포함), 경영, 업무 계획과 체계화, 직장에서의 평등과 다양성, 직장에서의 건강과 안전 목적, 개인 또는 단체 기반으로 고용과 관련한 권리를 행사하고 혜택을 누리기 위한 목적, 그리고 고용 관계를 해소하기 위한 목적에 기초하여, 고용 관련 맥락에서 개인정보를 처리할 수 있는 상황에 대해 규정할 수 있다. (156) 공익을 위한 자료 보관 목적, 과학 또는 역사 연구 목적이나 통계 목적을 위한 개인정보 처리에는 본 규정에 따른 정보 주체의 권리와 자유를 위한 적절한 보호장치가 적용되어야 한다. 그러한 보호장치는 특히 정보 최소화의 원칙을 보장하기 위한 기술적, 조직적 조치가 갖추어지도록 보장해야 한다. 공익을 위한 자료 보관 목적, 과학 또는 역사 연구 목적이나 통계 목적을 위한 개인정보 추가 처리는, 정보 관리자가 정보 주체 식별을 허용하지 않거나 더 이상 허용하지 않는 정보 처리를 통해 그러한 목적을 충족할 가능성을 평가한 후, 적절한 보호장치(예를 들어 정보의 가명화 등)가 존재하는 것을 조건으로 수행되어야 한다. 회원국은 공익을 위한 자료 보관 목적, 과학 또는 역사 연구 목적이나 통계 목적을 위한 개인정보 처리에 대한 적절한 보호장치를 규정해야 한다. 회원국은 공익을 위한 자료 보관 목적, 과학 또는 역사 연구 목적이나 통계 목적을 위한 개인정보 처리 시 정보 요구사항과 수정 및 삭제에 대한 권리, 잊혀질 권리, 처리 제한에 대한 권리, 정보 이동성에 대한 권리, 처리를 거부할 권리와 관련하여, 특정 조건에서 정보 주체를 위한 적절한 보호장치를 전제로 하여, 자세한 내역과 완화 조건을 규정할 수 있는 권한을 가져야 한다. 문제의 조건 및 보호장치는, 특정 처리가 추구하는 목적에 비추어 적절한 경우, 정보 주체가 그러한 권리를 행사하기 위한 구체적 절차를 수반할 수 있으며, 비례와 필요성의 원칙에 따라 개인정보 처리를 최소화하기 위한 기술적, 조직적 조치가 포함될 수 있다. 과학 목적을 위한 개인정보 처리는 임상 시험에 관한 법령 등 다른 관련 법령도 준수해야 한다. (157) 연구자는 등록부의 정보를 결합하여 심혈관 질환, 암, 우울증 같은 일반에 만연한 질병과 관련해 큰 가치가 있는 새로운 지식을 얻을 수 있다. 등록부를 바탕으로 할 경우, 더 많은 인구에서 결과가 도출되므로 연구 결과가 향상될 수 있다. 사회과학의 경우, 등록부를 바탕으로 한 연구를 통해, 연구자는 실업, 교육 등 많은 사회적 조건과 다른 생활 조건의 장기적 상관관계에 관한 중요한 지식을 얻을 수 있다. 등록부를 통해 얻은 연구 결과는 견고한 고품질의 지식을 제공하며, 이는 지식 기반 정책 마련 및 이행을 위한 근거를 제공하고, 많은 사람의 삶의 질을 향상시키며, 사회 서비스의 효율을 개선할 수 있다. 과학 연구를 촉진하기 위해, 유럽연합이나 회원국 법률에 규정된 적절한 조건 및 보호장치를 전제로 하여, 과학 연구 목적을 위한 개인정보 처리가 허용된다. (158) 개인정보가 자료 보관 목적으로 처리되는 경우, 해당 처리에도 본 규정이 적용되어야 한다. 단, 본 규정은 사망자에게는 적용되지 않음을 염두에 두어야 한다. 공익 목적으로 기록을 보관하는 공공기관이나 공공단체 또는 민간단체는 유럽연합이나 회원국 법률에 따라 일반 공익을 위한 지속적 가치를 지니는 기록을 취득, 보존, 감정, 정리, 설명, 소통, 홍보, 보급하고 이 기록에 접근할 수 있게 할 법적 의무를 가진 서비스 기관이어야 한다. 회원국은 또한 자료 보관 목적을 위한, 예를 들어 과거 전체주의 정권 치하에서의 정치적 행동, 대량 학살, 반인도적 범죄, 특히 홀로코스트, 또는 전쟁 범죄와 관련한 특정 정보를 제공하기 위한 개인정보 추가 처리에 대해 규정할 수 있는 권한을 가져야 한다. (159) 개인정보가 과학 연구 목적으로 처리되는 경우, 해당 처리에도 본 규정이 적용되어야 한다. 본 규정과 관련하여, 과학 연구 목적을 위한 개인정보 처리는 예를 들어 기술 개발 및 입증, 기초 연구, 응용 연구, 민간 투자 연구 등을 포함하여 폭넓게 해석되어야 한다. 또한, 유럽단일연구공간(European Research Area) 달성이라는 TFEU 제179조제1항에 따른 유럽연합의 목표가 고려되어야 한다. 과학 연구 목적은 공중보건 분야에서 공익을 위해 수행되는 연구도 포함해야 한다. 과학 연구 목적을 위한 개인정보 처리가 갖는 특수성에 맞춰, 특정한 조건이 특히 과학 연구 목적이라는 맥락에서의 개인정보 발행 또는 공개와 관련하여 적용되어야 한다. 과학 연구의 결과가 특히 건강이라는 맥락에서 정보 주체의 이익을 위한 추가 조치의 이유를 제공할 경우, 그러한 조치의 관점에서 본 규정의 일반 규칙이 적용되어야 한다. (160) 개인정보가 역사 연구 목적으로 처리되는 경우, 해당 처리에도 본 규정이 적용되어야 한다. 이는 역사 연구와 족보 관련 목적의 연구도 포함해야 하며, 본 규정은 사망자에게는 적용되지 않음을 염두에 두어야 한다.
(161) 임상 시험에서 과학 연구 활동 참여에 동의하는 것과 관련하여, 유럽의회 및 이사회 규정(EU) No 536/2014의 관련 조항이 적용되어야 한다. (162) 개인정보가 통계 목적으로 처리되는 경우, 해당 처리에도 본 규정이 적용되어야 한다. 유럽연합이나 회원국 법률은 본 규정의 한도 내에서 통계 내용, 접근 통제, 통계 목적을 위한 개인정보 처리의 세부사항, 정보 주체의 권리와 자유를 보호하고 통계 기밀성을 보장하기 위한 적절한 보호장치를 정해야 한다. 통계 목적이란 통계 조사나 통계 결과 도출에 필요한 모든 개인정보 수집 및 처리 작업을 의미한다. 그러한 통계 결과는 다시 과학 연구 목적 등 다양한 용도로 사용될 수 있다. 통계 목적이란 통계 목적을 위한 처리의 결과가 개인정보가 아닌 집계 정보라는 의미와 해당 결과 또는 개인정보가 특정 자연인에 관한 조치나 결정을 뒷받침하는 데 사용되지 않는다는 의미를 내포한다. (163) 유럽연합 및 국가 통계 기관이 공식 유럽연합 통계 및 공식 국가 통계를 작성하기 위해 수집한 기밀정보는 보호되어야 한다. 유럽연합 통계는 TFEU 제338조제2항에 규정된 통계 원칙에 따라 개발, 작성, 보급되어야 하며, 국가 통계는 회원국의 법률도 준수해야 한다. 유럽의회 및 이사회 규정(EC) No 223/2009 가 유럽연합 통계의 통계 기밀성에 관한 추가 세부사항을 제공한다. (164) 정보 관리자나 처리자로부터 개인정보에 대한 접근권 및 부지 접근권을 얻어낼 감독기관의 권한과 관련하여, 회원국은 개인정보 보호에 대한 권리와 직업상 기밀유지 의무의 조화에 필요한 경우 본 규정의 한도 내에서 직업상 또는 기타 동등한 기밀유지 의무를 보호하기 위한 구체적인 규칙을 법률로 채택할 수 있다. 이는 유럽연합 법률이 요구하는 경우 직업상 기밀유지에 관한 규칙을 채택해야 하는 회원국의 기존 의무에 영향을 미치지 않는다. (165) TFEU 제17조에서 인정한 대로, 본 규정은 회원국의 교회 및 종교 단체 또는 커뮤니티의 기존 헌법에 따른 상태를 존중하며 그에 영향을 미치지 않는다. (166) 본 규정의 목적, 즉 자연인의 기본권과 자유, 특히 개인정보 보호에 대한 권리를 보호하고 유럽연합 내에서 개인정보의 자유로운 흐름을 보장한다는 목적을 달성하기 위해, TFEU 제290조에 따른 법령을 채택할 권한이 집행위원회에 위임되어야 한다. 특히 인증 메커니즘의 기준과 요구사항, 표준화된 아이콘으로 표시되어야 할 정보, 그러한 아이콘을 제공하는 절차와 관련하여 위임 법령이 채택되어야 한다. 집행위원회가 준비 작업 중에 적절한 협의를 수행하는 것이 특히 중요하며, 여기에는 전문가 수준에서의 협의가 포함된다. 집행위원회는 위임 법령을 준비하고 입안할 때 관련 문서를 유럽의회와 이사회에 동시적이고 적시적이며 적절한 방식으로 전송해야 한다. (167) 본 규정의 이행을 위한 통일된 조건을 보장하기 위해, 본 규정이 정한 때에 집행위원회에 이행 권한이 부여되어야 한다. 그러한 권한은 규정(EU) No 182/2011에 따라 행사되어야 한다. 해당 맥락에서, 집행위원회는 초소형기업 및 중소기업을 위한 특수 조치를 고려해야 한다. (168) 정보 관리자와 처리자 간 그리고 정보 처리자 간 표준 계약 조항, 행위지침, 인증을 위한 기술 표준 및 메커니즘, 제3국 또는 제3국의 영토 또는 특정 부문이나 국제기구가 제공할 적절한 보호 수준, 표준 보호 조항, 구속력 있는 기업 규칙을 위한 정보 관리자와 처리자 및 감독기관 간의 전자적 수단을 통한 정보 교환의 형식과 절차, 상호 지원, 감독기관 간 그리고 감독기관과 보호위원회 간의 전자적 수단을 통한 정보 교환을 위한 약정에 관한 실행 법령을 채택할 때 심사 절차가 사용되어야 한다. (169) 집행위원회는 이용 가능한 증거를 통해 제3국, 제3국의 영토 또는 특정 부문이나 국제기구가 적절한 수준의 보호를 보장하지 않음이 밝혀지고 긴급성에 대한 엄연한 근거가 이를 요구하는 경우, 즉시 적용 가능한 실행 법령을 채택해야 한다. (170) 본 규정의 목적, 즉 유럽연합 전역에서 자연인에 대한 동등한 수준의 보호와 개인정보의 자유로운 흐름을 보장한다는 목적은 회원국에 의해서는 충분히 달성될 수 없으며, 행동의 규모나 영향력을 볼 때 유럽연합 차원에서 더 잘 달성될 수 있으므로, 유럽연합은 유럽연합에 관한 조약(Treaty on European Union, TEU) 제5조에 명시된 보충성의 원칙에 따라 조치를 채택할 수 있다. 해당 조항에 명시된 비례의 원칙에 따라, 본 규정은 그러한 목적을 달성하는 데 필요한 범위를 벗어나지 않는다. (171) 지침 95/46/EC는 본 규정에 따라 폐지되어야 한다. 본 규정 적용일에 이미 진행 중인 정보 처리는 본 규정 발효 후 2년 이내에 본 규정에 부합되게 해야 한다. 정보 처리가 지침 95/46/EC에 따른 동의에 기초한 경우, 해당 동의가 본 규정의 조건에 부합하는 방식으로 제공되었다면, 정보 관리자가 본 규정 적용일 이후 해당 처리를 계속하도록 하기 위해 정보 주체가 다시 동의를 제공할 필요는 없다. 지침 95/46/EC를 바탕으로 채택된 집행위원회 결정과 감독기관의 허가는 개정, 대체 또는 폐지될 때까지 유효하다. (172) 규정(EC) No 45/2001 제28조제2항에 따라 유럽정보보호감독관의 조언을 구했으며 2012년 3월 7일에 감독관이 의견을 전달했다. (173) 본 규정은 유럽의회 및 이사회 지침 2002/58/EC에 규정된 동일한 목적의 특정 의무가 적용되지 않는 개인정보 처리와 관련하여 기본권과 자유 보호에 관한 모든 사안에 적용되며, 여기에는 정보 관리자의 의무와 자연인의 권리가 포함된다. 본 규정과 지침 2002/58/EC의 관계를 명확히 하기 위해, 해당 지침은 이에 맞춰 개정되어야 한다. 본 규정이 채택되면, 특히 본 규정과의 일관성을 보장하기 위해 지침 2002/58/EC에 대한 검토가 이루어져야 한다. 본 규정을 채택했다.
a) 유럽연합 법률의 범위를 벗어나는 활동 중에 이루어지는 개인정보 처리 (b) TEU 제5편 제2장의 범위에 속하는 활동을 이행하는 중에 회원국이 수행하는 개인정보 처리 (c) 순수한 개인 또는 가정 활동 중에 자연인이 수행하는 개인정보 처리(d) 공공안전에 대한 위협으로부터의 보호 및 위협 방지를 포함한 범죄의 예방, 수사, 탐지 또는 기소나 형사 처벌의 집행을 위한 목적으로 주무 기관이 수행하는 개인정보 처리
(a) 유럽연합 내 정보 주체에 대한 상품 또는 서비스 제공. 정보 주체의 대금 지급이 필요한지 여부는 무관함 (b) 유럽연합 내에서 일어나는 정보 주체의 행동 모니터링
본 규정과 관련한 용어 정의는 다음과 같다. (1) ‘개인정보’는 식별되었거나 식별 가능한 자연인(‘정보 주체’) 에 관한 정보를 의미한다. 식별 가능한 자연인은 특히 이름, 식별 번호, 위치 정보, 온라인 식별자 같은 식별자를 참조하거나 해당 자연인의 물리적, 생리적, 유전적, 정신적, 경제적, 문화적 또는 사회적 정체성에 특정된 하나 또는 여러 요소를 참조하여 직간접적으로 식별될 수 있는 자연인이다. (2) ‘처리’는 수집, 기록, 조직화, 구조화, 보관, 조정 또는 변경, 검색, 참고, 사용, 전송에 의한 공개, 보급 또는 달리 사용할 수 있게 하는 것, 정렬 또는 조합, 제한, 삭제 또는 파괴 등, 자동화된 수단에 의한 것인지와는 관계없이 개인정보 또는 개인정보 세트에 대해 수행되는 모든 작업 또는 작업 세트를 의미한다. (3) ‘처리 제한’은 향후 처리를 제한할 목적으로 보관된 개인정보에 표시하는 것을 의미한다. (4) ‘프로파일링’은 자연인에 관한 특정 개인적 요소를 평가하기 위해, 특히 정보 주체의 업무 성과, 경제 상황, 건강, 개인 취향 또는 관심사, 신뢰성 또는 행동, 위치 또는 이동을 분석하거나 예측하기 위해 개인정보를 사용하는 모든 형태의 자동화된 개인정보 처리를 의미한다. (5) ‘가명화’는 추가 정보를 사용하지 않으면 개인정보가 더는 특정 정보 주체와 연결되지 않도록 개인정보를 처리하는 것을 의미한다. 단, 그러한 추가 정보는 별도로 관리되어야 하며, 개인정보가 식별되었거나 식별 가능한 자연인과 연결되지 않도록 하기 위한 기술적, 조직적 조치가 이루어져야 한다. (6) ‘파일링 시스템’은 기능적 또는 지리적 측면에서 중앙에 집중되어 있는지 아니면 분산되어 있는지에 관계없이, 특정 기준에 따라 접근할 수 있는 구조화된 개인정보 세트를 의미한다. (7) ‘정보 관리자’는 단독으로 또는 타인과 공동으로 개인정보 처리의 목적과 수단을 결정하는 자연인이나 법인, 공공기관, 기구 또는 기타 단체를 의미한다. 그러한 처리의 목적과 수단이 유럽연합이나 회원국 법률에 의해 결정되는 경우, 유럽연합이나 회원국 법률은 정보 관리자가 누구인지를 규정하거나 정보 관리자 지명에 대한 구체적 기준을 규정할 수 있다. (8) ‘정보 처리자’는 정보 관리자를 대신해 개인정보를 처리하는 자연인이나 법인, 공공기관, 기구 또는 기타 단체를 의미한다. (9) ‘수령자’는 제3자든 아니든 관계없이, 개인정보를 공개받는 자연인이나 법인, 공공기관, 기구 또는 기타 단체를 의미한다. 하지만 유럽연합이나 회원국 법률에 따른 특정 조회라는 틀 내에서 개인정보를 수령할 수 있는 공공기관은 수령자로 간주되지 않는다. 그러한 공공기관에 의한 개인정보 처리는 해당 정보 처리의 목적에 따라 적용 가능한 정보 보호 규칙을 준수해야 한다. (10)‘제3자’는 정보 주체, 정보 관리자, 정보 처리자, 그리고 정보 관리자나 처리자의 직접적 권한에 따라 개인정보를 처리하도록 허가된 사람 외의 자연인이나 법인, 공공기관, 기구 또는 기타 단체를 의미한다. (11)정보 주체의 ‘동의’는 자유롭게 제공된 구체적이며 사전 고지에 입각한 모호하지 않은 정보 주체의 의사 표시로서, 진술 또는 명확한 긍정의 행위를 통해 자신과 관련한 개인정보 처리에 대한 동의를 표하는 것을 의미한다. (12)‘개인정보 침해’는 전송 또는 보관되거나 달리 처리되는 개인정보의 우발적 또는 불법적 파괴, 손실, 변경, 무단 공개나 그에 대한 접근으로 이어지는 보안 침해를 의미한다. (13)‘유전 정보’는 자연인의 생리 또는 건강에 관한 고유 정보를 제공하며, 특히 해당 자연인의 생체 시료 분석의 결과로 얻어진, 자연인의 선천적 또는 후천적 유전 특성과 관련된 개인정보를 의미한다. (14)‘생체 정보’는 얼굴 이미지나 지문 정보 등, 자연인의 고유 식별을 허용하거나 이를 확인하는, 자연인의 물리적, 생리적 또는 행동적 특성과 관련한 특정한 기술적 처리의 결과로 얻어진 개인정보를 의미한다. (15)‘건강 관련 정보’는 정보 주체의 건강 상태에 관한 정보를 보여주는, 보건의료 서비스 제공 내역을 포함한 자연인의 신체적 또는 정신적 건강과 관련한 개인정보를 의미한다. (16)‘주된 사업장’은 다음을 의미한다. (a) 복수의 회원국에 사업장을 두고 있는 정보 관리자의 경우, 해당 관리자의 유럽연합 내 중심 경영 업무 장소. 단, 개인정보 처리의 목적과 수단에 관한 결정이 해당 관리자의 유럽연합 내 다른 사업장에서 이루어지며 후자의 사업장이 그러한 결정이 이행되도록 할 권한을 가진 경우는 예외로, 해당 경우에는 그러한 결정권을 가진 사업장이 주된 사업장으로 간주된다. (b) 복수의 회원국에 사업장을 두고 있는 정보 처리자의 경우, 해당 처리자의 유럽연합 내 중심 경영 업무 장소. 또는 유럽연합 내에 중심 경영 업무 장소가 없는 경우, 정보 처리자가 본 규정에 따른 구체적 의무를 준수하는 범위 내에서 해당 처리자의 사업장 활동이라는 맥락에서 주된 처리 활동이 이루어지는 유럽연합 내 해당 처리자의 사업장 (17)‘대리인’은 제27조에 따라 정보 관리자나 처리자가 서면으로 지정하고, 본 규정에 따른 해당자의 의무와 관련해서 정보 관리자나 처리자를 대리하는, 유럽연합 내에서 설립된 자연인 또는 법인을 의미한다. (18)‘기업’은 정기적으로 경제 활동에 종사하는 조합이나 협회를 포함하여, 법적 형태와는 상관없이 경제 활동에 종사하는 자연인이나 법인을 의미한다. (19)‘사업자 집단’은 지배 사업자와 그 피지배 사업자를 의미한다. (20)‘구속력 있는 기업 규칙’은 회원국 영토 내에서 설립된 정보 관리자나 처리자가 공동의 경제 활동에 종사하는 사업자 집단 또는 기업 집단에 속하는 하나 또는 여러 제3국에 위치한 정보 관리자나 처리자에게로의 개인정보 전송 또는 전송 세트에 대해 준수하는 개인정보 보호 정책을 의미한다. (21)‘감독기관’은 제51조에 따라 회원국이 설립한 독립적 공공기관을 의미한다. (22)‘관련 감독기관’은 다음과 같은 이유로 개인정보 처리와 관련이 있는 감독기관을 의미한다. (a) 정보 관리자나 처리자가 해당 감독기관의 회원국 영토 내에서 설림됨 (b) 해당 감독기관의 회원국에 거주하는 정보 주체가 해당 처리로 인해 상당한 영향을 받거나 상당한 영향을 받을 가능성이 큼 (c) 해당 감독기관에 민원이 제기됨 (23)‘국경 간 처리’는 다음을 의미한다. (a) 정보 관리자나 처리자가 복수의 회원국에서 설립된 경우, 유럽연합 내 복수의 회원국에 위치한 정보 관리자나 처리자의 사업장 활동이라는 맥락에서 이루어지는 개인정보 처리 (b) 유럽연합 내 정보 관리자나 처리자의 단일 사업장 활동이라는 맥락에서 이루어지지만, 이후 복수의 회원국에 있는 정보 주체에게 상당한 영향을 미치거나 상당한 영향을 미칠 가능성이 큰 개인정보 처리 (24)‘타당하고 합리적인 이의’는 본 규정 위반 여부 또는 정보 관리자나 처리자가 구상 중인 행동이 본 규정에 부합하는지 여부에 관한 결정 초안에 대한 이의로서, 정보 주체의 기본권과 자유, 그리고 해당하는 경우, 유럽연합 내 개인정보의 자유로운 흐름과 관련하여 해당 결정 초안이 품고 있는 위험의 심각성을 명확하게 입증하는 이의를 의미한다. (25)‘정보사회 서비스’는 유럽의회 및 이사회 지침(EU) 2015/1535 제1 조제(b)호에 정의된 서비스를 의미한다. (26)‘국제기구’는 국제 공법의 적용을 받는 단체 및 그 하위 조직이나, 둘 이상의 국가 간 협약에 의해 또는 그에 기초하여 설립된 기타 조직을 의미한다.
(a) 합법적으로, 공정하게, 그리고 정보 주체와 관련하여 투명한 방식으로 처리되어야 한다(‘합법성, 공정성, 투명성’). (b) 구체적이고 명시적이며 정당한 목적으로 수집되어야 하고, 그러한 목적과 양립 불가능한 방식으로 추가 처리되어서는 안 된다. 제89 조제1항에 따른 공익을 위한 자료 보관 목적, 과학 또는 역사 연구 목적이나 통계 목적을 위한 추가 처리는 원래 목적과 양립 불가능한 것으로 간주되지 않는다(‘목적 제한’). (c) 처리 목적과 관련하여 적절하고 관련성이 있어야 하며, 이에 따라 필요한 범위로 제한되어야 한다(‘정보 최소화’). (d) 정확해야 하며 필요한 경우 최신 상태로 유지되어야 한다. 부정확한 개인정보가 처리 목적을 고려하여 지연 없이 삭제 또는 수정되도록 모든 합리적 조치를 취해야 한다(‘정확성’). (e) 처리 목적에 필요한 기간보다 오래 정보 주체 식별을 허용하는 형태로 보관되어서는 안 된다. 개인정보가 제89조제1항에 따른 공익을 위한 자료 보관 목적, 과학 또는 역사 연구 목적이나 통계 목적을 위해서만 처리되는 경우, 정보 주체의 권리와 자유를 보호하기 위해 본 규정이 요구하는 적절한 기술적, 조직적 조치를 이행하는 조건으로 개인정보를 더 오래 보관할 수 있다(‘보관 제한’). (f) 적절한 기술적, 조직적 조치를 활용해 무단 또는 불법 처리와 우발적 손실, 파괴, 손상을 막는 등 개인정보의 적절한 보안을 보장하는 방식으로 처리되어야 한다(‘무결성과 기밀성’).
(a) 정보 주체가 하나 이상의 구체적 목적을 위한 개인정보 처리에 동의한 경우 (b) 정보 주체가 당사자인 계약 이행을 위해 또는 계약 체결 전 정보 주체의 요청으로 조치를 취하기 위해 처리가 필요한 경우 (c) 정보 관리자에게 적용되는 법적 의무 준수에 처리가 필요한 경우(d) 정보 주체나 다른 자연인의 필수적 이익을 보호하기 위해 처리가 필요한 경우 (e) 공익 또는 정보 관리자에게 부여된 공식 권한 행사를 위한 업무 수행에 처리가 필요한 경우 (f) 정보 관리자나 제3자가 추구하는 정당한 이익을 목적으로 처리가 필요한 경우. 단, 개인정보 보호를 요구하는 정보 주체의 이익이나 기본권 및 자유가 그러한 이익보다 우선하는 경우, 특히 정보 주체가 어린이일 경우는 제외된다. 제1항제(f)호는 업무 수행 중에 이루어지는 공공기관에 의한 정보 처리에는 적용되지 않는다.
(a) 유럽연합 법률, 또는 (b) 정보 관리자가 준수해야 하는 회원국 법률 정보 처리의 목적은 그러한 법적 근거에 따라 결정되거나, 또는 제1항제(e)호에 언급된 처리의 경우 공익 또는 정보 관리자에게 부여된 공식 권한 행사를 위한 업무 수행에 필요한 것이어야 한다. 그러한 법적 근거는 본 규정의 규칙 적용을 조정하는 구체적 규정을 포함할 수 있으며, 여기에는 특히 정보 관리자에 의한 처리의 합법성에 적용되는 일반 조건, 처리 대상 정보의 유형, 관련 정보 주체, 개인정보를 공개받을 수 있는 대상과 그 목적, 목적 제한, 보관 기간, 처리 작업 및 처리 절차(제9장에 명시된 다른 특정 처리 상황을 위한 조치 등 합법적이고 공정한 처리를 위한 조치 포함)가 포함될 수 있다.
(a) 개인정보 수집 목적과 계획된 추가 처리 목적의 관련성 (b) 개인정보가 수집된 맥락. 특히 정보 주체와 정보 관리자의 관계 관련 (c) 개인정보의 성격. 특히 제9조에 따른 특수 범주 개인정보가 처리되는지 여부 또는 제10조에 따른 형사 판결 및 범죄 행위와 관련한 개인정보가 처리되는지 여부 (d) 계획된 추가 처리가 정보 주체에게 미치는 잠재적 결과 (e) 적절한 보호장치의 존재. 여기에는 암호화 또는 가명화가 포함될 수 있음
회원국은 이와 관련하여 더 낮은 나이 기준을 법률로 규정할 수 있지만, 이는 최소한 13세 이상이어야 한다.
(a) 정보 주체가 하나 이상의 구체적 목적을 위한 개인정보 처리에 명시적으로 동의한 경우. 단, 유럽연합 또는 회원국의 법률이 제1항에 언급된 금지를 정보 주체가 해제하지 못한다고 규정하는 경우는 제외된다. (b) 고용과 사회보장법 및 사회보호법 분야에서 정보 관리자의 의무 이행과 특정 권리 행사를 위해 처리가 필요한 경우. 단, 정보 주체의 기본권과 이익에 대한 적절한 보호장치를 규정하는 유럽연합이나 회원국 법률 또는 회원국 법률에 따른 단체협약이 허가하는 경우에 한한다. (c) 정보 주체가 물리적인 이유나 법적인 이유로 동의를 제공할 수 없는 상황에서 정보 주체나 다른 자연인의 필수적 이익을 보호하는 데 처리가 필요한 경우 (d) 정치적, 철학적, 종교적 또는 노동 조합 목적을 가진 재단, 협회, 기타 비영리 단체에 의해 적절한 보호장치를 갖춘 정당한 활동 과정에서 처리가 이루어지는 경우. 단, 그러한 처리가 해당 단체의 구성원 또는 전 구성원이나 해당 단체의 목적과 관련하여 단체와 정기적으로 접촉하는 사람과만 관련되어야 하며, 정보 주체의 동의 없이는 해당 단체 외부에 개인정보가 공개되지 않는다는 조건이 충족되어야 한다. (e) 처리가 정보 주체가 명백히 일반에 공개한 개인정보와 관련된 경우(f) 법적 청구권의 제기, 행사 또는 방어에 처리가 필요한 경우, 또는 법원이 사법적 권한을 행사하는 모든 경우 (g) 상당한 공익을 이유로 처리가 필요한 경우. 단, 이는 추구하는 목적에 비례하고, 정보 보호에 대한 권리의 본질을 존중하며, 정보 주체의 기본권과 이익을 보호하기 위한 적절하고 구체적인 조치를 규정하는 유럽연합이나 회원국 법률을 바탕으로 해야 한다. (h) 예방의학이나 직업의학 목적으로, 종업원의 작업 능력 평가, 건강 진단, 의료나 사회복지 또는 치료 제공, 보건의료 또는 사회복지 시스템 및 서비스의 관리를 위해 처리가 필요한 경우. 단, 이는 유럽연합이나 회원국 법률을 바탕으로 하거나 보건 전문가와의 계약에 따라 이루어져야 하며, 제3항에 언급된 조건 및 보호장치가 적용되어야 한다. (i) 보건에 대한 심각한 국경 간 위협으로부터의 보호, 보건의료 및 의약품 또는 의료기기의 품질과 안전에 대한 높은 기준 보장 등, 공중보건 분야의 공익을 이유로 처리가 필요한 경우. 단, 이는 정보 주체의 권리와 자유, 특히 직업상 기밀을 보호하기 위한 적절하고 구체적인 조치를 규정하는 유럽연합이나 회원국 법률을 바탕으로 해야 한다. (j) 제89조제1항에 따른 공익을 위한 자료 보관 목적, 과학 또는 역사 연구 목적이나 통계 목적을 위해 처리가 필요한 경우. 단, 이는 추구하는 목적에 비례하고, 정보 보호에 대한 권리의 본질을 존중하며, 정보 주체의 기본권과 이익을 보호하기 위한 적절하고 구체적인 조치를 규정하는 유럽연합이나 회원국 법률을 바탕으로 해야 한다.
제6조제1항을 바탕으로 한 형사 판결 및 범죄 행위 또는 관련 보안 조치와 관련한 개인정보 처리는 공식 권한의 통제하에 있는 경우 또는 해당 처리가 정보 주체의 권리와 자유에 대한 적절한 보호장치를 규정하는 유럽연합이나 회원국 법률에 의해 허가된 경우에만 이루어져야 한다. 포괄적인 형사 판결 기록부는 공식 권한의 통제하에서만 보관되어야 한다.
(a) 요청된 정보 또는 알림을 제공하거나 조치를 취하는 데 드는 행정 비용을 고려한 합리적인 수수료 부과 (b) 요청에 대한 대응 거부 요청의 성격이 명백하게 사실무근이거나 과도함을 입증하는 것은 정보 관리자의 책임이다.
(a) 정보 관리자, 그리고 해당하는 경우, 정보 관리자 대리인의 신원 및 연락처 세부사항 (b) 해당하는 경우, 정보보호 책임자의 연락처 세부사항 (c) 개인정보에 적용될 처리의 목적과 처리의 법적 근거 (d) 처리가 제6조제1항제(f)호를 기반으로 하는 경우, 정보 관리자나 제3자가 추구하는 정당한 이익 (e) 존재하는 경우, 개인정보 수령자 또는 수령자 범주 (f) 해당하는 경우, 정보 관리자가 개인정보를 제3국이나 국제기구에 전송하고자 한다는 사실과 집행위원회 적절성 결정의 존재 또는 부존재, 또는 제46조나 제47조, 제49조제1항 두 번째 문단에 언급된 전송의 경우, 적절한 또는 적합한 보호장치에 대한 참고자료와 해당 자료 사본을 구할 수 있는 수단 또는 해당 자료를 이용할 수 있는 곳
(a) 개인정보 보관 기간, 또는 그것이 불가능할 경우, 해당 기간을 결정하는 데 사용되는 기준 (b) 정보 관리자에게 개인정보에 대한 접근, 개인정보 수정 또는 삭제, 정보 주체와 관련한 처리 제한을 요청할 수 있는 권리, 처리를 거부할 수 있는 권리, 정보 이동성에 대한 권리의 존재 (c) 처리가 제6조제1항제(a)호 또는 제9조제2항제(a)호를 기반으로 하는 경우, 철회 전 동의에 기초하여 이루어진 처리의 합법성에 영향을 미치지 않으면서, 언제든지 동의를 철회할 수 있는 권리의 존재 (d) 감독기관에 민원을 제기할 권리 (e) 개인정보 제공이 법적 또는 계약상 요구사항이건 계약 체결에 필요한 요구사항인지 여부, 정보 주체가 개인정보를 제공할 의무가 있는지 여부, 그러한 정보를 제공하지 않았을 때의 가능한 결과 (f) 제22조제1항 및 제4항에 언급된 프로파일링을 포함한 자동화된 의사결정의 존재, 그리고 적어도 그러한 경우, 이에 사용되는 로직에 관한 의미 있는 정보와 해당 처리가 정보 주체에 대해 갖는 중요성과 예상 결과
(a) 정보 관리자, 그리고 해당하는 경우, 정보 관리자 대리인의 신원 및 연락처 세부사항 (b) 해당하는 경우, 정보보호 책임자의 연락처 세부사항 (c) 개인정보에 적용될 처리의 목적과 처리의 법적 근거 (d) 관련 개인정보의 범주 (e) 존재하는 경우, 개인정보 수령자 또는 수령자 범주 (f) 해당하는 경우, 정보 관리자가 개인정보를 제3국이나 국제기구에 전송하고자 한다는 사실과 집행위원회 적절성 결정의 존재 또는 부존재, 또는 제46조나 제47조, 제49조제1항 두 번째 문단에 언급된 전송의 경우, 적절하거나 적합한 보호장치에 대한 참고자료와 해당 자료 사본을 구할 수 있는 수단 또는 해당 자료를 이용할 수 있는 곳
(a) 개인정보 보관 기간, 또는 그것이 불가능할 경우, 해당 기간을 결정하는 데 사용되는 기준 (b) 처리가 제6조제1항제(f)호를 기반으로 하는 경우, 정보 관리자나 제3자가 추구하는 정당한 이익 (c) 정보 관리자에게 개인정보에 대한 접근, 개인정보 수정 또는 삭제, 정보 주체와 관련한 처리 제한을 요청할 수 있는 권리, 처리를 거부할 수 있는 권리, 정보 이동성에 대한 권리의 존재 (d) 처리가 제6조제1항제(a)호 또는 제9조제2항제(a)호를 기반으로 하는 경우, 철회 전 동의에 기초하여 이루어진 처리의 합법성에 영향을 미치지 않으면서, 언제든지 동의를 철회할 수 있는 권리의 존재 (e) 감독기관에 민원을 제기할 권리 (f) 개인정보의 출처, 그리고 해당 경우, 일반이 접근 가능한 출처에서 유래되었는지 여부 (g) 제22조제1항 및 제4항에 언급된 프로파일링을 포함한 자동화된 의사결정의 존재, 그리고 적어도 그러한 경우, 이에 사용되는 로직에 관한 의미 있는 정보와 해당 처리가 정보 주체에 대해 갖는 중요성과 예상 결과
(a) 개인정보가 처리되는 구체적 상황을 고려하여, 개인정보 취득 후 합리적인 기간 내, 하지만 늦어도 한 달 이내 (b) 개인정보가 정보 주체와의 연락에 사용될 예정인 경우, 늦어도 정보 주체와의 첫 연락 시점 (c) 다른 수령자에 대한 공개가 예상되는 경우, 늦어도 개인정보의 첫 공개 시점
(a) 정보 주체가 이미 정보를 가지고 있는 경우 (b) 해당 정보의 제공이 불가능한 것으로 확인되거나 과도한 노력을 요구하는 경우(특히 제89조제1항에 언급된 조건 및 보호장치를 전제로 하여 공익을 위한 자료 보관 목적, 과학 또는 역사 연구 목적이나 통계 목적을 위한 처리의 경우), 또는 본 조 제1항에 언급된 의무가 처리의 목적 달성을 불가능하게 하거나 심각하게 저해할 가능성이 큰 경우. 그러한 경우, 정보 관리자는 해당 정보를 공일반이 이용할 수 있도록 하는 것을 포함해 정보 주체의 권리와 자유 그리고 정당한 이익을 보호하기 위해 적절한 조치를 취해야 한다. (c) 정보 관리자가 준수해야 하며 정보 주체의 정당한 이익을 보호하기 위한 적절한 조치를 규정하는 유럽연합이나 회원국 법률에 개인 정보의 취득과 공개가 명시적으로 규정되어 있는 경우 (d) 법적 기밀유지 의무를 포함해서 유럽연합이나 회원국 법률이 규정하는 직업상 기밀유지 의무에 따라 개인정보의 기밀을 유지해야 하는 경우
(a) 처리의 목적 (b) 관련 개인정보의 범주 (c) 개인정보를 공개받았거나 공개받을 예정인 수령자 또는 수령자 범주, 특히 제3국이나 국제기구의 수령자 또는 수령자 범주 (d) 가능한 경우, 예상되는 개인정보 보관 기간, 또는 그것이 불가능할 경우, 해당 기간을 결정하는 데 사용되는 기준 (e) 정보 관리자에게 개인정보 수정 또는 삭제, 정보 주체와 관련한 처리 제한을 요청할 수 있는 권리, 처리를 거부할 수 있는 권리의 존재 (f) 감독기관에 민원을 제기할 권리 (g) 개인정보가 정보 주체로부터 수집되지 않은 경우, 그 출처에 관한 이용 가능한 정보 (h) 제22조제1항 및 제4항에 언급된 프로파일링을 포함한 자동화된 의사결정의 존재, 그리고 적어도 그러한 경우, 이에 사용되는 로직에 관한 의미 있는 정보와 해당 처리가 정보 주체에 대해 갖는 중요성과 예상 결과
정보 주체는 자신에 관한 부정확한 개인정보에 대해 정보 관리자의 지체 없는 수정을 얻어낼 권리가 있다. 처리의 목적을 고려하여, 정보 주체는 보충 설명을 제공하는 방식을 포함해 불완전한 개인정보를 완전하게 만들도록 할 권리가 있다.
(a) 개인정보가 그 수집 또는 처리 목적과 관련하여 더 이상 필요하지 않은 경우 (b) 정보 주체가 제6조제1항제(a)호 또는 제9조제2항제(a)호에 따라 처리의 기반이 된 동의를 철회하고 해당 처리의 다른 법적 근거가 없는 경우 (c) 정보 주체가 제21조제1항에 따라 처리를 거부하고 이보다 우선하는 처리의 정당한 근거 없는 경우, 또는 정보 주체가 제21조제2항에 따라 처리를 거부한 경우 (d) 개인정보가 불법적으로 처리된 경우(e) 개인정보가 정보 관리자가 준수해야 하는 유럽연합이나 회원국 법률의 법적 의무 준수를 위해 삭제되어야 하는 경우 (f) 개인정보가 제8조제1항에 언급된 정보사회 서비스 제공과 관련해서 수집된 경우
(a) 표현과 정보의 자유에 대한 권리 행사 (b) 정보 관리자가 준수해야 하는 유럽연합이나 회원국 법률에 따라 처리를 필요로 하는 법적 의무 준수, 또는 공익 또는 정보 관리자에게 부여된 공식 권한 행사를 위한 업무 수행 (c) 제9조제2항제(h)호 및 제(i)호와 제9조제3항에 따른 공중보건 분야에서의 공익을 위한 목적 (d) 제89조제1항에 따른 공익을 위한 자료 보관 목적, 과학 또는 역사 연구 목적이나 통계 목적. 단, 제1항에 언급된 권리가 처리의 목적 달성을 불가능하게 하거나 심각하게 저해할 가능성이 큰 경우에 한함 (e) 법적 청구권의 제기, 행사 또는 방어
(a) 정보 주체가 개인정보의 정확성에 대해 이의를 제기한 경우, 정보 관리자가 개인정보의 정확성을 확인할 수 있는 기간 동안 (b) 처리가 불법적이며 정보 주체가 개인정보 삭제에 반대하고 대신 사용 제한을 요청하는 경우 (c) 정보 관리자는 처리의 목적을 위해 더 이상 개인정보를 필요로 하지 않지만 정보 주체가 법적 청구권의 제기, 행사 또는 방어를 위해 개인정보를 필요로 하는 경우 (d) 정보 주체가 제21조제1항에 따라 처리를 거부하는 경우, 정보 관리자의 정당한 근거가 정보 주체의 근거보다 우선하는지 확인하는 동안
정보 관리자는 해당 알림이 불가능한 것으로 확인되거나 과도한 노력을 요구하는 경우가 아닌 한, 해당 개인정보를 공개받은 수령자에게 제16조, 제17조제1항 및 제18조에 따라 이루어진 개인정보의 수정 또는 삭제나 처리 제한에 대해 알려야 한다. 정보 관리자는 정보 주체가 요청한 경우 정보 주체에게 해당 수령자에 관해 고지해야 한다.
(a) 처리가 제6조제1항제(a)호 또는 제9조제2항제(a)호에 따라 동의에 기초한 경우, 또는 제6조제1항제(b)호에 따라 계약에 기초한 경우 (b) 처리가 자동화된 수단에 의해 수행되는 경우
(a) 정보 주체와 정보 관리자 간의 계약 체결 또는 이행에 필요한 경우(b) 정보 관리자가 준수해야 하며 정보 주체의 권리 및 자유와 정당한 이익을 보호하기 위한 적절한 조치를 규정하는 유럽연합이나 회원국 법률이 허가하는 경우 (c) 정보 주체의 명시적 동의에 기초한 경우
(a) 국가안보 (b) 국방 (c) 공공안전 (d) 공공안전에 대한 위협으로부터의 보호 및 위협 방지를 포함한 범죄의 예방, 수사, 탐지 또는 기소나 형사 처벌의 집행 (e) 유럽연합이나 회원국 일반 대중의 이익이 달린 다른 중요 목적, 특히 금융, 예산 및 세금 문제, 공중보건 및 사회보장 등 유럽연합이나 회원국의 중요한 경제적, 재무적 이익 (f) 사법권 독립과 소송 절차의 보호(g) 규제 직업의 윤리 위반 예방, 조사, 탐지 및 기소 (h) 제(a)호~제(e)호 및 제(g)호에 언급된 경우의 공식 권한 행사와 관련된(가끔씩만 관련되는 경우라도) 모니터링, 조사 또는 규제 기능 (i) 정보 주체나 다른 사람의 권리와 자유 보호 (j) 민법상 청구권의 집행
(a) 처리 또는 처리 범주의 목적 (b) 개인정보의 범주 (c) 도입되는 제한의 범위 (d) 남용이나 불법 접근 또는 전송을 방지하기 위한 보호장치 (e) 정보 관리자 또는 정보 관리자 범주에 대한 상세설명 (f) 처리 또는 처리 범주의 성격, 범위 및 목적을 고려한 보관 기간과 적용 가능한 보호장치 (g) 정보 주체의 권리와 자유에 대한 위험 (h) 제한에 대한 고지를 받을 정보 주체의 권리. 단, 고지가 제한의 목적에 해를 미칠 수 있는 경우는 제외
(a) 처리가 가끔씩만 이루어지며, 제9 조제1항에 언급된 특수 범주 정보의 대량 처리나 제10조에 언급된 형사 판결 및 범죄 행위와 관련한 개인정보 처리를 포함하지 않고, 처리의 성격, 맥락, 범위 및 목적을 고려할 때 자연인의 권리와 자유에 대한 위험을 초래할 가능성이 낮은 경우 (b) 공공기관 또는 공공단체
(a) 제3국 또는 국제기구로의 개인정보 전송과 관련한 경우를 포함해, 정보 관리자의 서면 지시에 따라서만 개인정보를 처리한다. 단, 정보 처리자가 준수해야 하는 유럽연합이나 회원국 법률이 요구하는 경우는 예외이며, 그러한 경우, 정보 처리자는 처리 전에 정보 관리자에게 그러한 법적 요구사항을 고지해야 한다. 단, 해당 법률이 공익과 관련한 중요한 근거로 그러한 정보를 금지하는 경우는 예외이다. (b) 개인정보를 처리하도록 허가된 사람이 기밀유지를 약속했거나 적절한 법적 기밀유지 의무를 지고 있는지 확인한다. (c) 제32조에 따라 요구되는 모든 조치를 취한다. (d) 다른 정보 처리자를 참여시키는 것에 관한 제2항 및 제4항에 언급된 조건을 존중한다. (e) 처리의 성격을 고려하여, 제3장에 규정된 정보 주체의 권리 행사 요청에 대응해야 하는 정보 관리자의 의무를 충족할 수 있도록, 가능한 한 적절한 기술적, 조직적 조치를 통해 정보 관리자를 지원한다. (f) 처리의 성격과 정보 처리자가 이용 가능한 정보를 고려하여, 제32조~ 제36조에 따른 의무 준수를 보장하려는 정보 관리자를 지원한다. (g) 정보 관리자의 선택에 따라, 처리에 관한 서비스 제공이 종료된 뒤 모든 개인정보를 삭제하거나 정보 관리자에게 반환하고, 기존 사본을 삭제한다. 단, 유럽연합이나 회원국 법률이 개인정보 보관을 요구하는 경우는 예외이다. (h) 본 조에 규정된 의무 준수를 입증하는 데 필요한 모든 정보를 정보 관리자가 이용할 수 있게 하고, 정보 관리자 또는 정보 관리자가 권한을 부여한 다른 감사관이 수행하는 감사(조사 포함)를 허용하고 이에 협조한다. 첫 번째 문단의 제(h)호와 관련하여, 정보 처리자는 지시가 본 규정 또는 다른 유럽연합이나 회원국 정보 보호 규정에 위배된다고 생각될 경우 정보 관리자에게 바로 고지해야 한다.
정보 처리자, 그리고 정보 관리자나 처리자의 권한에 따라 행위하는 사람으로서 개인정보에 대한 접근권을 가진 사람은, 정보 관리자의 지시에 의한 경우 외에는 그러한 정보를 처리해서는 안 된다. 단, 유럽연합이나 회원국 법률이 요구하는 경우는 예외이다.
(a) 정보 관리자, 그리고 해당하는 경우, 공동 정보 관리자, 정보 관리자 대리인, 정보보호 책임자의 이름과 연락처 세부사항 (b) 처리의 목적 (c) 정보 주체의 범주와 개인정보의 범주에 관한 설명 (d) 개인정보를 공개받았거나 공개받을 예정인 수령자의 범주. 제3국이나 국제기구의 수령자 포함 (e) 해당하는 경우, 제3국이나 국제기구로의 개인정보 전송 사실(해당 제3국 또는 국제기구의 정체 포함), 또한 제49조제1항 두 번째 문단에 언급된 전송의 경우, 적합한 보호장치에 관한 문서 (f) 가능한 경우, 각기 다른 범주의 정보 삭제에 대한 예상 시한 (g) 가능한 경우, 제32조제1항에 언급된 기술적, 조직적 보안 조치에 관한 일반적 설명
(a) 정보 처리자, 정보 처리자가 대행하는 정보 관리자, 그리고 해당하는 경우, 정보 관리자 또는 처리자의 대리인, 정보보호 책임자의 이름과 연락처 세부사항 (b) 각 정보 관리자를 대신하여 수행한 처리의 범주 (c) 해당하는 경우, 제3국이나 국제기구로의 개인정보 전송 사실(해당 제3국 또는 국제기구의 정체 포함), 또한 제49조제1항 두 번째 문단에 언급된 전송의 경우, 적합한 보호장치에 관한 문서 (d) 가능한 경우, 제32조제1항에 언급된 기술적, 조직적 보안 조치에 관한 일반적 설명
정보 관리자와 처리자, 그리고 해당하는 경우, 그 대리인은 요청을 받은 경우 업무를 수행하는 감독기관과 협력해야 한다.
(a) 개인정보의 가명화와 암호화 (b) 처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성 및 복원력을 보장하는 능력 (c) 물리적 또는 기술적 사고가 발생했을 경우 적시에 개인정보의 가용성과 접근성을 복원하는 능력 (d) 처리 보안을 보장하기 위한 기술적, 조직적 조치의 효과를 정기적으로 시험, 평가, 감정하는 절차
(a) 개인정보 침해의 성격에 관한 설명. 가능한 경우, 관련 정보 주체의 범주와 대략적인 수, 관련 개인정보 기록의 범주와 대략적인 개수 포함 (b) 정보보호 책임자 또는 추가 정보를 얻을 수 있는 기타 연락 창구의 이름과 연락처 세부사항 (c) 개인정보 침해의 예상 결과에 관한 설명 (d) 개인정보 침해를 해결하기 위해 정보 관리자가 취했거나 취할 예정인 조치에 관한 설명. 적절한 경우, 가능한 악영향을 완화하기 위한 조치 포함
(a) 정보 관리자가 적절한 기술적, 조직적 보호 조치를 이행했으며, 그러한 조치, 특히 암호화 등 정보에 대한 접근이 허가되지 않은 사람은 개인정보를 이해할 수 없게 하는 조치가 개인정보 침해에 영향을 받은 개인정보에 적용된 경우 (b) 정보 관리자가 제1항에 언급된 정보 주체의 권리와 자유에 대한 높은 위험이 실현될 가능성이 더 이상 크지 않도록 하는 후속 조치를 취한 경우 (c) 해당 알림이 과도한 노력을 요구하는 경우. 해당 경우, 일반 대중을 대상으로 한 알림 또는 동일하게 효과적인 방식으로 정보 주체에게 사실을 알릴 수 있는 유사한 조치가 대신 이루어져야 한다.
(a) 자연인과 관련한 개인적 요소에 대한 체계적이고 광범위한 평가가 자동화된 처리(프로파일링 포함)를 바탕으로 이루어지며, 해당 평가에 기초하여 자연인과 관련한 법적 영향 또는 이와 유사하게 중대한 영향을 미치는 결정이 이루어지는 경우 (b) 제9조제1항에 언급된 특수 범주 정보나 제10조에 언급된 형사 판결 및 범죄 행위와 관련한 개인정보를 대규모로 처리하는 경우 (c) 일반이 접근 가능한 영역을 대규모, 체계적으로 모니터링하는 경우
(a) 계획된 처리 작업과 처리의 목적(해당하는 경우, 정보 관리자가 추구하는 정당한 이익 포함)에 대한 체계적 설명 (b) 목적과 관련한 처리 작업의 필요성과 비례성 평가 (c) 제1항에 언급된 정보 주체의 권리와 자유에 미치는 위험 평가 (d) 위험을 해결하기 위해 계획된 조치. 정보 주체 및 기타 관련자의 권리와 정당한 이익을 고려하여 개인정보 보호를 보장하고 본 규정 준수를 입증하기 위한 안전장치, 보안 조치, 메커니즘 포함
(a) 해당하는 경우, 특히 사업자 집단 내 정보 처리의 경우, 처리에 관여하는 정보 관리자, 공동 정보 관리자 및 정보 처리자 각각의 책임 (b) 계획된 처리의 목적과 수단 (c) 본 규정에 따라 정보 주체의 권리와 자유를 보호하기 위해 제공된 조치와 보호장치 (d) 해당하는 경우, 정보보호 책임자의 연락처 세부사항 (e) 제35조에 규정된 정보보호 영향평가 (f) 감독기관이 요청하는 그 밖의 정보
(a) 공공기관 또는 공공단체가 처리를 수행하는 경우. 단, 법원이 사법적 권한을 행사하는 경우는 제외 (b) 정보 관리자나 처리자의 핵심 활동이 그 성격, 범위 및/또는 목적상 정보 주체에 대한 대규모의 정기적, 체계적 모니터링을 필요로 하는 처리 작업으로 구성되는 경우(c) 정보 관리자나 처리자의 핵심 활동이 제9조제1항에 따른 특수 범주 정보와 제10조에 언급된 형사 판결 및 범죄 행위와 관련한 개인정보의 대규모 처리로 구성되는 경우
(a) 정보 처리를 수행하는 정보 관리자 또는 처리자 및 그 종업원에게 본 규정과 다른 유럽연합 또는 회원국 정보 보호 규정에 따른 해당자의 의무에 대한 정보와 조언 제공 (b) 본 규정, 다른 유럽연합 또는 회원국 정보 보호 규정, 개인정보 보호와 관련한 정보 관리자 또는 처리자 정책 준수 모니터링. 처리 작업에 관여하는 직원의 책임 할당, 인식 제고, 교육 및 관련 감사 포함 (c) 요청을 받은 경우 정보보호 영향평가에 관한 조언 제공, 제35조에 따른 정보보호 영향평가 수행 모니터링 (d) 감독기관과 협력 (e) 정보 처리 관련 문제에 대한 감독기관의 연락 창구로 기능(제36조에 언급된 사전 협의 포함), 적절한 경우, 다른 문제에 관한 협의 진행 2. 정보보호 책임자는 업무를 수행하면서 처리의 성격, 범위, 맥락 및 목적을 감안하여 처리 작업과 연관되는 위험을 충분히 고려해야 한다.
(a) 공정하고 투명한 처리 (b) 특정 맥락에서 정보 관리자가 추구하는 정당한 이익 (c) 개인정보 수집 (d) 개인정보 가명화 (e) 일반 대중과 정보 주체에게 제공되는 정보 (f) 정보 주체의 권리 행사 (g) 어린이에게 제공되는 정보, 어린이에 대한 보호, 어린이의 친권자 동의를 구하는 방식 (h) 제24조 및 제25조에 언급된 조치와 절차, 제32조에 언급된 처리 보안을 보장하는 조치 (i) 감독기관에 대한 개인정보 침해 통지, 정보 주체에 대한 개인정보 침해 알림 (j) 제3국이나 국제기구로의 개인정보 전송 (k) 정보 처리와 관련한 정보 관리자와 정보 주체 간 분쟁을 해결하기 위한 법정 밖에서의 절차 및 기타 분쟁 해결 절차. 단, 이는 제77조 및 제79조에 따른 정보 주체의 권리에는 영향을 미치지 않음
(a) 단체의 독립성과 규범의 주제 사안과 관련한 전문성을 주무 감독기관이 만족할 만한 수준으로 입증 (b) 관련 정보 관리자나 처리자의 규범 적용 적임성을 평가하고, 해당 규범 조항 준수를 모니터링하고, 처리 작업을 주기적으로 검토할 수 있는 절차 수립 (c) 규범 위반 또는 정보 관리자나 처리자의 규범 이행 방식(과거 또는 현재)에 대한 민원을 처리하기 위한 절차 및 구조 수립, 그리고 해당 절차 및 구조를 정보 주체와 일반 대중에게 투명하게 공개하기 위한 절차 및 구조 수립 (d) 해당 단체의 업무와 임무가 이해 충돌을 일으키지 않음을 주무 감독기관이 만족할 만한 수준으로 입증
(a) 제55조 또는 제56조에 따라 주무 권한을 가진 감독기관 (b) 유럽의회 및 이사회 규정(EC) No 765/2008에 따라 지명된 국가 인가단체. 이 경우, EN-ISO/IEC 17065/2012 그리고 제55조 또는 제56조에 따라 주무 권한을 가진 감독기관이 수립한 추가 요구사항에 따라 인가가 이루어져야 한다.
(a) 단체의 독립성과 인증의 주제 사안과 관련한 전문성을 주무 감독기관이 만족할 만한 수준으로 입증 (b) 제42조제5항에 언급된 기준으로서, 제55조 또는 제56조에 따라 주무 권한을 가진 감독기관이 승인하거나 제63조에 따라 보호위원회가 승인한 기준을 존중하겠다고 약속 (c) 정보 보호 인증과 인장 및 마크의 발급, 주기적 검토 및 철회를 위한 절차 수립 (d) 인증 위반 또는 정보 관리자나 처리자의 인증 이행 방식(과거 또는 현재)에 대한 민원을 처리하기 위한 절차 및 구조 수립, 그리고 해당 절차 및 구조를 정보 주체와 일반 대중에게 투명하게 공개하기 위한 절차 및 구조 수립 (e) 해당 단체의 업무와 임무가 이해 충돌을 일으키지 않음을 주무 감독기관이 만족할 만한 수준으로 입증
처리 중인 개인정보 또는 제3국이나 국제기구로의 전송 이후 처리될 예정인 개인정보의 전송은 정보 관리자나 처리자가 본 장에 명시된 조건을 준수할 경우에만(단, 본 규정의 다른 조항 적용) 이루어질 수 있다. 여기에는 제3국 또는 국제기구에서 다른 제3국 또는 국제기구로 개인정보가 연이어 전송되는 경우도 포함된다 본 규정이 보증하는 자연인의 보호 수준이 훼손되지 않도록 하기 위해 본 장의 모든 조항이 적용되어야 한다.
(a) 법치주의, 인권과 기본적 자유에 대한 존중, 관련 일반 법률 및 부문별 법률(공공안전, 국방, 국가안보 및 형법, 개인정보에 대한 공공기관의 접근에 관한 법률 포함), 그러한 법률의 이행, 정보 보호 규칙, 직무 규칙 및 보안 조치(다른 제3국이나 국제기구로 개인정보가 연이어 전송되는 경우에 대한, 해당 국가 또는 국제기구에서 준수되는 규칙 포함), 판례법, 효과적이고 집행 가능한 정보 주체의 권리, 전송되는 개인정보의 정보 주체를 위한 효과적인 행정적, 사법적 구제 (b) 정보 주체의 권리 행사에 지원 및 조언을 제공하고 회원국 감독기관들과 협력하기 위해 정보 보호 규칙 준수를 보장하고 집행할 책임이 있는(적절한 집행 권한 포함), 해당 제3국 내 또는 해당 국제기구에 소속된 하나 이상의 독립적 감독기관의 존재와 효과적 기능 (c) 해당 제3국 또는 국제기구가 체결한 국제규약, 또는 법적 구속력이 있는 협약이나 문서에서 발생하거나 특히 개인정보 보호와 관련한 다자간 또는 지역 시스템에 참여하면서 발생하는 기타 의무
타당성이 확인된 긴급성에 대한 엄연한 근거가 있는 경우, 집행위원회는 제93조제3항에 언급된 절차에 따라 즉시 적용 가능한 실행 법령을 채택해야 한다.
(a) 공공기관 또는 공공단체 간의 법적 구속력 있고 집행 가능한 문서(b) 제47조에 따른 구속력 있는 기업 규칙 (c) 제93조제2항에 언급된 심사 절차에 따라 집행위원회가 채택한 표준 정보 보호 조항 (d) 감독기관이 채택하고 제93조제2 항에 언급된 심사 절차에 따라 집행위원회가 승인한 표준 정보 보호 조항 (e) 제40조에 따른 승인된 행위지침, 그리고 정보 주체의 권리와 관련한 것을 포함해 적절한 보호장치를 적용하겠다는 제3국 정보 관리자나 처리자의 구속력 있고 집행 가능한 약속 (f) 제42조에 따른 승인된 인증 메커니즘, 그리고 정보 주체의 권리와 관련한 것을 포함해 적절한 보호장치를 적용하겠다는 제3국 정보 관리자나 처리자의 구속력 있고 집행 가능한 약속
(a) 제3국이나 국제기구의 정보 관리자 또는 처리자와 정보 관리자 또는 처리자나 개인정보 수령자 간의 계약 조항 (b) 공공기관 또는 공공단체 간 행정약정에 삽입되는, 집행 가능하고 효과적인 정보 주체의 권리를 포함하는 조항
(a) 법적 구속력이 있으며, 공동의 경제 활동에 종사하는 사업자 집단 또는 기업 집단의 모든 관련 구성원 및 그 종업원에게 적용되고 이들에 의해 집행됨 (b) 정보 주체의 개인정보 처리와 관련하여 정보 주체에게 집행 가능한 권리를 명시적으로 부여 (c) 제2항에 규정된 요구사항을 충족
(a) 공동의 경제 활동에 종사하는 사업자 집단 또는 기업 집단 및 그 구성원 각각의 구조와 연락처 세부사항 (b) 개인정보의 범주를 포함하는 정보 전송 또는 전송 세트, 처리 유형과 목적, 영향을 받는 정보 주체의 유형, 해당 제3국의 정체 (c) 규칙의 법적 구속성. 내적인 구속성과 외적인 구속성 모두 해당 (d) 일반적 정보 보호 원칙, 특히 목적 제한, 정보 최소화, 보관 기간 제한, 정보 품질, 설계에 의한 정보 보호와 기본설정에 의한 정보 보호, 처리의 법적 근거, 특수 범주 개인정보의 처리, 정보 보안을 보장하기 위한 조치의 적용, 그리고 구속력 있는 기업 규칙에 구속되지 않는 조직으로의 연이은 전송과 관련한 요구사항 (e) 정보 처리와 관련한 정보 주체의 권리와 그러한 권리(제22조에 따른 프로파일링을 포함해 자동화된 처리만을 바탕으로 한 결정의 대상이 되지 않을 권리, 제79조에 따라 주무 감독기관과 회원국의 관할 법원에 민원을 제기할 권리, 구속력 있는 기업 규칙 위반에 대한 시정과 적절한 경우 보상을 얻어낼 권리 포함)를 행사하기 위한 수단 (f) 유럽연합 내에서 설립되지 않은 관련 구성원이 구속력 있는 기업 규칙을 위반한 경우, 이에 대한 배상책임을 회원국 영토에서 설립된 정보 관리자나 처리자가 수용한다는 내용. 해당 정보 관리자나 처리자는 해당 구성원이 피해를 야기한 사건에 대해 책임이 없음을 입증한 경우에만 배상책임을 면할 수 있다. (g) 제13조 및 제14조 외에 추가로, 구속력 있는 기업 규칙에 관한 정보, 특히 본 항 제(d)호, 제(e)호 및 제(f)호에 언급된 규정에 관한 정보를 정보 주체에게 제공하는 방법 (h) 제37조에 따라 지정된 정보보호 책임자의 업무, 또는 공동의 경제 활동에 종사하는 사업자 집단 또는 기업 집단 내에서 구속력 있는 기업 규칙의 준수 모니터링 및 모니터링 교육과 민원 처리를 담당하는 다른 사람 또는 단체의 업무 (i) 민원 절차 (j) 공동의 경제 활동에 종사하는 사업자 집단 또는 기업 집단 내에서 구속력 있는 기업 규칙 준수를 확인하기 위한 메커니즘. 그러한 메커니즘은 정보 보호 감사와 정보 주체의 권리를 보호하기 위한 시정 조치를 보장하는 방법을 포함해야 한다. 그러한 확인 결과는 제(h)호에 언급된 사람 또는 단체와 공동의 경제 활동에 종사하는 사업자 집단 또는 기업 집단의 지배 사업자 이사회에 전달되어야 하며, 요청 시 주무 감독기관에도 제공되어야 한다. (k) 규칙 변경 사항 보고 및 기록을 위한 메커니즘, 감독기관에 그러한 변경 사항을 보고하기 위한 메커니즘 (l) 공동의 경제 활동에 종사하는 사업자 집단 또는 기업 집단의 모든 구성원에 의한 준수를 보장하기 위한 감독기관과의 협력 메커니즘. 이는 특히 제(j)호에 언급된 조치의 확인 결과를 감독기관에 제공함으로써 이루어질 수 있다. (m) 공동의 경제 활동에 종사하는 사업자 집단 또는 기업 집단의 구성원이 준수해야 하는 제3국의 법적 요구사항으로서, 구속력 있는 기업 규칙이 제공하는 보증에 상당한 부작용을 미칠 가능성이 큰 요구사항을 주무 감독기관에 보고하기 위한 메커니즘 (n) 개인정보에 대한 영구적 또는 정기적 접근권을 가진 직원에 대한 적절한 정보 보호 교육
정보 관리자나 처리자에게 개인정보 공개나 전송을 요구하는 제3국 법원 또는 재판소 판결 및 행정 기관 결정은 사법공조조약 등 요청자인 제3국과 유럽연합 또는 회원국 간의 유효한 국제 협약에 기초한 경우에만 인정 또는 집행 가능하며, 이는 본 장에 따른 다른 전송 근거에 영향을 미치지 않는다.
(a) 정보 주체가, 적절성 결정과 적절한 보호장치의 부재로 인해 그러한 전송이 정보 주체에게 초래할 수 있는 위험을 고지받은 뒤, 제안된 전송에 명시적으로 동의함 (b) 정보 주체와 정보 관리자 간 계약 이행을 위해 또는 정보 주체의 요청에 따른 계약 전 조치 이행을 위해 전송이 필요함 (c) 정보 주체의 이익을 위해 정보 관리자와 다른 자연인 또는 법인 간에 체결되는 계약의 체결이나 이행을 위해 전송이 필요함 (d) 공익과 관련한 중요한 이유로 전송이 필요함 (e) 법적 청구권의 제기, 행사 또는 방어에 전송이 필요함 (f) 정보 주체가 물리적인 이유나 법적인 이유로 동의를 제공할 수 없는 상황에서 정보 주체나 다른 사람의 필수적 이익을 보호하는 데 전송이 필요함 (g) 유럽연합이나 회원국 법률에 따라 일반에 정보를 제공하기 위한 기록부로서, 일반 대중 또는 정당한 이해관계를 입증할 수 있는 사람이 참고할 수 있도록 공개되어 있는 기록부에서 전송이 이루어짐. 단, 이는 해당 특정 경우에 유럽연합이나 회원국 법률이 규정한 참고에 대한 조건이 충족되는 범위로 한정된다. 구속력 있는 기업 규칙에 관한 규정을 포함하는 제45조 또는 제46조 규정에 기초하여 전송이 이루어질 수 없으며, 본 항 첫 번째 문단에 언급된 특정 상황에 대한 적용 완화 중 어느 것도 적용 가능하지 않은 경우, 제3국이나 국제기구로의 전송은, 해당 전송이 반복적으로 일어나지 않으며, 제한된 수의 정보 주체만 관련되고, 정보 관리자가 추구하는 설득력 있는 정당한 이익을 위해 필요하며(정보 주체의 이익이나 권리 및 자유가 그러한 이익보다 우선하지 않아야 함), 정보 관리자가 정보 전송을 둘러싼 모든 상황을 평가하고 그러한 평가를 바탕으로 개인정보 보호와 관련한 적합한 보호장치를 제공한 경우에만 이루어 질 수 있다. 정보 관리자는 제13조 및 제14조에 언급된 정보를 제공하는 것 외에 추가로, 해당 전송과 자신이 추구하는 설득력 있는 정당한 이익에 대해 정보 주체에게 고지해야 한다.
제3국 및 국제기구와 관련하여, 유럽연합과 감독기관은 다음을 위한 적절한 조치를 취해야 한다. (a) 개인정보 보호를 위한 법령의 효과적 집행을 용이하게 하는 국제 협력 메커니즘 개발 (b) 개인정보 보호를 위한 법령 집행 시 국제적 상호 지원 제공. 이는 통지, 민원 의뢰, 수사 지원 및 정보 교환을 통한 경우를 포함하며, 여기에는 개인정보 및 기타 기본권과 자유를 보호하기 위한 적절한 보호장치가 적용된다. (c) 개인정보 보호를 위한 법령 집행 시 국제 협력을 증진하기 위한 논의 및 활동에 이해관계자 참여 (d) 제3국과의 관할 충돌 등에 관한 개인정보 보호 법령 및 관행의 교환 및 문서화 촉진
- 의회 - 행정부 - 국가 원수 - 회원국 법률에 따라 임명권을 위임받은 독립 기관
(a) 각 감독기관의 설립 (b) 각 감독기관의 구성원으로 임명되는 데 필요한 자격 및 적격 조건(c) 각 감독기관의 구성원 임명을 위한 규칙과 절차 (d) 각 감독기관의 구성원 임기. 이는 4년 이상이어야 하나, 2016년 5 월 24일 이후 최초 임명은 예외로, 감독기관의 독립성을 보호하는 데 필요한 경우 시차를 둔 임명 절차를 통해 일부 임명은 더 짧은 기간을 임기로 할 수 있다. (e) 각 감독기관의 구성원의 재임용 가능 여부 및 해당 경우, 재임용 가능 횟수 (f) 각 감독기관의 구성원 및 직원의 의무에 적용되는 조건, 임기 동안 및 그 이후 양립 불가능한 행동, 직업 및 혜택에 대한 금지, 그리고 고용 중단에 적용되는 규칙
(a) 본 규정의 적용 모니터링 및 집행 (b) 정보 처리와 관련한 위험, 규칙, 보호장치 및 권리에 대한 대중 인식 및 이해 제고. 어린이를 대상으로 한 활동에 특히 주의를 기울여야 한다. (c) 회원국 법률에 따라, 정보 처리와 관련한 자연인의 권리 및 자유 보호와 관련된 입법 조치와 행정 조치에 대해 국가 의회, 행정부 및 기타 기관에 조언 제공 (d) 정보 관리자나 처리자의 본 규정에 따른 본인 의무에 대한 인식 제고 (e) 요청을 받은 경우, 정보 주체에게 본 규정에 따른 권리 행사에 관한 정보 제공, 그리고 적절한 경우, 이를 위해 다른 회원국 감독기관과 협력 (f) 정보 주체나 제80조에 따른 단체, 조직 또는 협회가 제기한 민원 처리, 그리고 특히 추가 조사나 다른 감독기관과의 협력이 필요한 경우, 적절한 범위에서 민원 주제 사안 조사, 합리적인 기간 내에 조사 진행 상황과 결과를 민원 제기자에게 고지 (g) 본 규정 적용과 집행의 일관성을 보장하기 위해 다른 감독기관과 협력(정보 공유 및 상호 지원 포함) (h) 본 규정 적용에 관한 조사 수행(다른 감독기관이나 기타 공공기관으로부터 받은 정보를 바탕으로 한 경우 포함) (i) 개인정보 보호에 영향을 미치는 관련 진전 상황, 특히 정보통신 기술의 발달과 상 관례를 주시한다. (j) 제28조제8항 및 제46조제2항제(d)호에 언급된 표준 계약 조항 채택 (k) 제35조제4항에 따른 정보보호 영향평가의 요구사항과 관련한 목록 수립 및 유지 (l) 제36조제2항에 언급된 처리 작업에 관한 조언 제공 (m) 제40조제1항에 따른 행위지침 마련 장려, 의견 제공, 제40조제5항에 따라 충분한 보호장치를 제공하는 행위지침 승인 (n) 제42조제1항에 따른 정보 보호 인증 메커니즘과 정보 보호 인장 및 마크 수립 장려, 제42조제5항에 따른 인증 기준 승인 (o) 해당하는 경우, 제42조제7항에 따라 발급된 인증에 대한 주기적 검토 수행 (p) 제41조에 따른 행위지침 모니터링 단체 및 제43조에 따른 인증단체의 인가 기준 마련 및 공표 (q) 제41조에 따른 행위지침 모니터링 단체 및 제43조에 따른 인증단체의 인가 수행 (r) 제46조제3항에 언급된 계약 조항 및 규정 허가 (s) 제47조에 따른 구속력 있는 기업 규칙 승인 (t) 보호위원회 활동에 기여 (u) 본 규정 위반 및 제58조제2항에 따라 취해진 조치에 대한 내부 기록 보관 (v) 개인정보 보호와 관련한 그 밖의 업무 수행
(a) 정보 관리자와 처리자, 그리고 해당하는 경우, 정보 관리자나 처리자의 대리인에게 감독기관의 업무 수행에 필요한 정보를 제공하도록 명령할 권한 (b) 정보 보호 감사 형태로 조사를 수행할 권한 (c) 제42조제7항에 따라 발급된 인증에 대한 검토를 수행할 권한 (d) 정보 관리자나 처리자에게 본 규정 위반 혐의를 통지할 권한 (e) 정보 관리자나 처리자로부터 모든 개인정보 및 감독기관의 업무 수행에 필요한 모든 정보에 대한 접근권을 얻어낼 권한 (f) 유럽연합이나 회원국 법률에 따라 정보 관리자나 처리자로부터 부지 접근권(정보 처리 장비 및 수단에 대한 접근권 포함)을 얻어낼 권한
(a) 본 규정 조항을 위반할 가능성이 큰 처리 작업을 계획한 정보 관리자나 처리자에게 경고 처분을 내릴 권한 (b) 처리 작업이 본 규정 조항을 위반한 경우, 정보 관리자나 처리자에게 견책 처분을 내릴 권한 (c) 정보 관리자나 처리자에게 본 규정에 따른 권리 행사를 위한 정보 주체의 요청에 응할 것을 명령할 권한 (d) 정보 관리자나 처리자에게 처리 작업이 본 규정 조항에 부합하도록 만들 것(적절한 경우, 특정 방식으로 특정 기간 내에)을 명령할 권한 (e) 정보 관리자에게 개인정보 침해 사실을 정보 주체에게 알릴 것을 명령할 권한 (f) 처리에 대해 금지를 포함한 잠정적 또는 최종적 제한을 부과할 권한 (g) 제16조, 제17조 및 제18조에 따른 개인정보 수정 또는 삭제나 처리 제한을 명령하고, 제17조제2항 및 제19조에 따른 해당 개인정보를 공개받은 수령자에 대한 그러한 조치 통지를 명령할 권한 (h) 인증을 위한 요구사항이 충족되지 않거나 더 이상 충족되지 않게 된 경우, 제42조 및 제43조에 따라 발급된 인증을 철회하거나, 인증단체에 인증 철회를 명령하거나, 인증단체에 인증을 발급하지 말 것을 명령할 권한 (i) 개별 사례 각각의 상황에 따라 본 항에 언급된 조치 외에 추가로 또는 이를 대신해, 제83조에 따른 과징금을 부과할 권한 (j) 제3국이나 국제기구의 수령자에 대한 정보 흐름 중단을 명령할 권한
(a) 제36조에 언급된 사전 협의 절차에 따라 정보 관리자에게 조언을 제공할 권한 (b) 자발적으로 또는 요청에 따라, 국가 의회, 회원국 행정부 또는 회원국 법률에 따른 기타 기관 및 단체, 그리고 일반 대중에게 개인정보 보호 관련 문제에 대한 의견을 제시할 권한 (c) 회원국 법률이 사전 승인을 요구하는 경우, 제36조제5항에 언급된 처리를 허가할 권한 (d) 제40조제5항에 따른 행위지침 초안에 대한 의견을 제시하고 이를 승인할 권한 (e) 제43조에 따라 인증단체를 인가할 권한 (f) 제42조제5항에 따라 인증을 발급하고 인증 기준을 승인할 권한 (g) 제28조제8항 및 제46조제2항제(d)호에 언급된 표준 정보 보호 조항을 채택할 권한 (h) 제46조제3항제(a)호에 언급된 계약 조항을 허가할 권한 (i) 제46조제3항제(b)호에 언급된 행정약정을 허가할 권한 (j) 제47조에 따른 구속력 있는 기업 규칙을 승인할 권한
각 감독기관은 활동에 대한 연례 보고서를 작성해야 하며, 이 보고서는 통지된 위반 유형 및 제58조제2항에 따라 취해진 조치 유형 목록을 포함할 수 있다. 해당 보고서는 국가 의회, 행정부 및 회원국 법률에 따라 지정된 기타 기관에 전송되어야 한다. 해당 보고서를 일반 대중, 집행위원회 및 보호위원회가 이용할 수 있도록 해야 한다.
(a) 요청의 주제 사안 또는 실행을 요청받은 조치에 대한 주무 권한이 없는 경우 (b) 요청에 응하는 것이 본 규정 또는 요청을 받은 감독기관이 준수해야 하는 유럽연합이나 회원국 법률에 위배될 경우
유럽연합 전체에서 본 규정이 일관되게 적용되는 데 기여하기 위해, 감독기관은 본 절에 규정된 일관성 메커니즘을 통해 서로 협력하고, 적절한 경우 집행위원회와도 협력해야 한다.
(a) 제35조제4항에 따른 정보보호 영향평가의 요구사항이 적용되는 처리 작업 목록 채택을 목표로 함 (b) 행위지침 초안이나 개정안 또는 확대안이 본 규정에 부합하는지 여부에 대한, 제40조제7항에 따른 사안과 관련됨 (c) 제41조제3항에 따른 단체 또는 제43조제3항에 따른 인증단체의 인가 기준 승인을 목표로 함 (d) 제46조제2항제(d)호 및 제28조제8항에 언급된 표준 정보 보호 조항 결정을 목표로 함 (e) 제46조제3항(a)호에 언급된 계약 조항 허가를 목표로 함 (f) 제47조의 의미에 따른 구속력 있는 기업 규칙 승인을 목표로 함
(a) 보호위원회에 전달된 모든 관련 정보를 표준화된 형식을 이용해 보호위원회 구성원 및 집행위원회에 고지. 보호위원회 사무국은 필요한 경우 관련 정보의 번역을 제공해야 한다. (b) 보호위원회 의견을, 해당하는 경우에 따라 제1항 및 제2항에 언급된 감독기관과 집행위원회에 고지하고 일반에 공개
(a) 제60조제4항에 언급된 경우, 관련 감독기관이 지휘 감독기관의 결정 초안에 대해 타당하고 합리적인 이의를 제기한 경우, 또는 지휘 감독기관이 타당하지 않거나 합리적이지 않다고 생각하여 그러한 이의를 거부한 경우. 구속력 있는 결정은 타당하고 합리적인 이의의 모든 주제 사안과 관련되어야 하며, 특히 본 규정 위반 여부를 다루어야 한다. (b) 관련 감독기관 중 어느 기관이 주된 사업장에 대한 주무 권한을 가지는지에 대해 의견 충돌이 있는 경우 (c) 주무 감독기관이 제64조제1항에 언급된 경우에 보호위원회 의견을 요청하지 않는 경우, 또는 제64조에 따라 제시된 보호위원회 의견을 따르지 않는 경우. 해당 경우, 관련 감독기관이나 집행위원회는 이 사안을 보호위원회에 알릴 수 있다.
집행위원회는 감독기관 간 그리고 감독기관과 보호위원회 간의 전자적 수단을 통한, 특히 제64조에 언급된 표준화된 형식의 정보 교환에 대한 약정을 명시하기 위해 일반적 범위의 실행 법령을 채택할 수 있다. 그러한 실행 법령은 제93조제2항에 언급된 심사 절차에 따라 채택되어야 한다.
(a) 국가 감독기관의 업무에 미치는 영향 없이, 제64조 및 제65조에 규정된 경우 본 규정의 정확한 적용을 모니터링 및 보장 (b) 유럽연합 내 개인정보 보호와 관련한 모든 문제(본 규정 개정안에 관한 문제 포함)에 대해 집행위원회에 조언 제공 (c) 구속력 있는 기업 규칙을 위한 정보 관리자와 처리자, 감독기관 간 정보 교환의 형식과 절차에 대해 집행위원회에 조언 제공 (d) 제17조제2항에 언급된 일반이 이용 가능한 통신 서비스에서 개인정보의 링크, 사본 또는 복제물을 삭제하는 것에 대한 지침, 권고, 모범 관행 제시 (e) 본 규정의 일관된 적용을 장려하기 위해 자발적으로, 또는 보호위원회 구성원의 요청이나 집행위원회의 요청에 따라, 본 규정 적용에 관한 의문 사항 검토 및 지침, 권고, 모범 관행 제시 (f) 제22조제2항에 따른 프로파일링을 바탕으로 한 결정에 대한 기준 및 조건을 추가로 명시하기 위해 본 항 제(e)호에 따라 지침, 권고, 모범 관행 제시 (g) 개인정보 침해 규명과 제33조제1 항 및 제2항에 언급된 지체 결정, 그리고 정보 관리자나 처리자가 개인정보 침해 사실을 통지해야 하는 구체적 상황에 대해 본 항 제(e)호에 따라 지침, 권고, 모범 관행 제시 (h) 제34조제1항에 언급된 개인정보 침해가 자연인의 권리와 자유에 높은 위험을 초래할 가능성이 큰 경우와 관련하여 본 항 제(e)호에 따라 지침, 권고, 모범 관행 제시(i) 정보 관리자가 준수하는 구속력 있는 기업 규칙 및 정보 처리자가 준수하는 구속력 있는 기업 규칙에 기초한 개인정보 전송에 대한 기준 및 조건을 추가로 명시하기 위해, 그리고 제47조에 언급된 관련 정보 주체의 개인정보 보호를 보장하기 위해 필요한 추가 요구사항에 대해 본 항 제(e)호에 따라 지침, 권고, 모범 관행 제시 (j) 제49조제1항에 기초한 개인정보 전송에 대한 기준 및 조건을 추가로 명시하기 위해 본 항 제(e)호에 따라 지침, 권고, 모범 관행 제시 (k) 제58조제1항, 제2항 및 제3항에 언급된 조치의 적용 및 제83조에 따른 과징금 설정과 관련하여 감독기관을 위한 지침 마련 (l) 제(e)호 및 제(f)호에 언급된 지침, 권고, 모범 관행의 실제 적용 검토 (m) 제54조제2항에 따른 본 규정 위반에 대한 자연인의 보고를 위한 공통 절차를 수립하기 위해 본 항 제(e)호에 따라 지침, 권고, 모범 관행 제시 (n) 제40조 및 제42조에 따른 행위지침 마련과 정보 보호 인증 메커니즘, 정보 보호 인장 및 마크 수립 장려 (o) 제43조에 따라 인증단체 인가 및 주기적 검토 수행, 제43조제6항에 따라 인가된 단체의 공공 기록부 유지, 제42조제7항에 따라 제3국에서 설립된 인가된 정보 관리자나 처리자의 공공 기록부 유지 (p) 제42조에 따른 인증단체의 인가를 위해 43조제3항에 언급된 요구사항 명시 (q) 집행위원회에 제43조제8항에 언급된 인증 요구사항에 대한 의견 제공(r) 집행위원회에 제12조제7항에 언급된 아이콘에 대한 의견 제공 (s) 집행위원회에 제3국이나 국제기구의 정보 보호 수준 적절성 평가(제3국, 제3국의 영토 또는 특정 부문이나 국제기구가 더 이상 적절한 수준의 정보 보호를 보장하지 않는지에 대한 평가 포함)에 대한 의견 제공. 이를 위해 집행위원회는 제3국의 영토 또는 특정 부문과 관련하여 해당 제3국 행정부와 주고받은 서신, 또는 국제기구와 주고받은 서신을 포함한 모든 필요한 문서를 보호위원회에 제공해야 한다. (t) 제64조제1항에 언급된 일관성 메커니즘에 따른 감독기관의 결정 초안 및 제64조제2항에 따라 제출된 사안에 대한 의견 제시, 제65조에 따라 구속력 있는 결정 제시(제66조에 언급된 경우 포함) (u) 감독기관 간 협력과 정보 및 모범 관행의 효과적인 양자 및 다자 간 교환 촉진 (v) 감독기관 간, 그리고 적절한 경우 제3국 감독기관 또는 국제기구와의 공통 교육 프로그램 및 인사 교류 촉진 (w) 전 세계 정보 보호 감독기관과의 정보 보호 법령 및 관행에 대한 지식 및 문서 교환 촉진 (x) 제40조제9항에 따라 유럽연합 차원에서 마련된 행위지침에 대한 의견 제시 (y) 일관성 메커니즘에서 다룬 문제에 관해 감독기관과 법원이 한 결정의 전자 기록부를 일반인이 열람할 수 있게 유지해야 한다.
(a) 보호위원회 회의 소집 및 안건 준비(b) 제65조에 따라 보호위원회가 채택한 결정을 지휘 감독기관 및 관련 감독기관에 통지 (c) 보호위원회 업무의 적시적 수행 보장(특히 제63조에 언급된 일관성 메커니즘 관련)
(a) 보호위원회의 일상적 업무 (b) 보호위원회의 구성원, 위원장 및 집행위원회 간 커뮤니케이션 (c) 다른 기관 및 일반 대중과의 커뮤니케이션 (d) 내외부 커뮤니케이션을 위한 전자적 수단 사용 (e) 관련 정보 번역 (f) 보호위원회 회의 준비 및 후속 조치 (g) 보호위원회가 채택하는 의견, 감독기관 간 분쟁 해결에 대한 결정 및 기타 문서의 준비, 초안 작성 및 공표
(a) 관련 처리의 성격, 범위 또는 목적, 그리고 영향을 받은 정보 주체의 수와 그들이 입은 피해 수준을 고려한 위반의 성격, 중대성 및 기간 (b) 위반의 고의성 또는 과실성 (c) 정보 관리자나 처리자가 정보 주체가 입은 피해를 완화하기 위해 취한 조치 (d) 제25조 및 제32조에 따라 정보 관리자나 처리자가 이행한 기술적, 조직적 조치를 고려한 정보 관리자나 처리자의 책임 정도 (e) 정보 관리자나 처리자에 의한 이전의 관련 위반 (f) 위반을 해결하고 위반의 가능한 악영향을 완화하기 위한 감독기관과의 협력 정도 (g) 위반의 영향을 받은 개인정보의 범주 (h) 위반이 감독기관에 알려진 경위(특히, 정보 관리자나 처리자가 위반 사실을 통지했는지, 그리고 만약 통지했다면 어느 정도 수준으로 통지했는지) (i) 동일한 주제 사안과 관련하여 정보 관리자나 처리자가 이전에 제58조제2항에 언급된 조치를 명령받은 경우, 그러한 조치 준수 (j) 제40조에 따른 승인된 행위지침 또는 제42조에 따른 승인된 인증 메커니즘 준수 (k) 해당 사례의 상황에 적용 가능한 기타 침해로부터 직간접적으로 얻은 금전적 이익 또는 회피한 손실 등, 해당 경우에 적용할 수 있는 기타 가중 또는 감경 요소
(a) 제8조, 제11조, 제25조~제39조, 제42조 및 제43조에 따른 정보 관리자나 처리자의 의무 (b) 제42조 및 제43조에 따른 인증단체의 의무 (c) 제41조제4항에 따른 모니터링 단체의 의무
(a) 제5조, 제6조, 제7조 및 제9조에 따른 정보 처리의 기본 원칙(동의 조건 포함) (b) 제12조~제22조에 따른 정보 주체의 권리 (c) 제44조~제49조에 따른 제3국이나 국제기구의 수령자에 대한 개인정보 전송 (d) 제9장에 따라 채택된 회원국 법률에 따른 의무 (e) 제58조제2항에 따른 감독기관에 의한 명령, 정보 처리에 대한 잠정적 또는 최종적 제한, 정보 흐름 중단 위반, 또는 제58조제1항에 위배되는 접근권 제공 실패
공식 문서에 대한 공공 접근과 본 규정에 따른 개인정보 보호에 대한 권리를 조화시키기 위해, 공공기관이나 공공단체 또는 민간단체가 공익을 위해 이루어지는 업무 수행을 위해 보유하고 있는 공식 문서에 담긴 개인정보는 공공기관 또는 공공단체에 의해, 해당 기관 또는 단체가 준수해야 하는 유럽연합이나 회원국 법률에 따라 공개될 수 있다.
회원국은 또한 국민식별번호 또는 일반적으로 적용되는 다른 식별자의 처리에 관한 구체적 조건을 정할 수 있다. 해당 경우, 국민식별번호 또는 일반적으로 적용되는 다른 식별자는 본 규정에 따른 정보 주체의 권리와 자유를 위한 적절한 보호장치하에서만 사용될 수 있다.
본 규정은, 지침 2002/58/EC에 규정된 동일한 목적을 가진 특정 의무가 적용되는 사안과 관련하여, 유럽연합의 공공 통신 네트워크 내 일반이 이용 가능한 전자통신 서비스 제공과 연결되는 처리와 관련해 자연인 또는 법인에 추가 의무를 부과하지 않는다.
2016년 5월 24일 이전에 회원국이 체결한 협약으로서, 해당 일자 이전에 적용되는 유럽연합 법률을 준수하는, 제3국이나 국제기구로의 개인정보 전송을 수반하는 국제협약은 개정, 대체 또는 철회될 때까지 유효하다.
a) 특히 본 규정 제45조제3항에 따라 채택된 결정 및 지침 95/46/EC 제25조제6항을 바탕으로 채택된 결정과 관련하여, 제3국이나 국제기구로의 개인정보 전송에 관한 제5장 (b) 협력과 일관성에 관한 제7장
집행위원회는 적절한 경우 정보 처리와 관련한 균등하고 일관성 있는 자연인 보호를 보장하기 위해 다른 유럽연합 법령을 개정하기 위한 입법 제안을 제출해야 한다. 이는 특히 유럽연합 기관, 단체, 관청 및 기구에 의한 정보 처리와 관련한 자연인 보호 및 그러한 정보의 자유로운 이동에 관한 규칙과 관련된다.
본 규정은 전체로서 구속력을 가지며 모든 회원국에서 직접 적용된다.
