제 5 절지정 제 6 절위치 제 7 절업무 제 4 장 연방정보보호및정보자유커미셔너 제 8 절설립 제 9 절자격 제 10 절독립 제 11 절임명및임기 제 12 절공식관계 제 13 절권리및의무 제 14 절업무 제 15 조활동보고서 제 16 절권한 제 5 장 유럽

Similar documents
<37322DC0CEB1C7BAB8C8A3BCF6BBE7C1D8C4A2C0C7B0DFC7A5B8ED5B315D2E687770>

USC HIPAA AUTHORIZATION FOR

(012~031)223교과(교)2-1

PowerPoint 프레젠테이션

한국의 양심적 병역거부

년 2 월 1 1일에 모 스 크 바 에 서 서명된 북 태 평양 소하 성어족자 원보존협약 (이하 협약 이라 한다) 제8조 1항에는 북태평양소하성어류위원회 (이하 위원회 라 한다)를 설립한다고 규정되어 있다. 제8조 16항에는 위원회가 을 채택해야 한다고 규정

2002report hwp

[ 목차 ]

감사위원회 규정

장애인건강관리사업

제 2 편채권총론 제1장채권의목적 제2장채권의효력 제3장채권의양도와채무인수 제4장채권의소멸 제5장수인의채권자및채무자

<312E20C0AFC0CFC4B3B5E55F C0FCC0DAB1E2C6C720B1B8B8C5BBE7BEE7BCAD2E687770>

< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>

120330(00)(1~4).indd

[ 별지제3 호서식] ( 앞쪽) 2016년제2 차 ( 정기ㆍ임시) 노사협의회회의록 회의일시 ( 월) 10:00 ~ 11:30 회의장소본관 11층제2회의실 안건 1 임금피크대상자의명예퇴직허용및정년잔여기간산정기준변경 ㅇ임금피크제대상자근로조건악화및건강상

개인정보수집 제공동의서작성가이드라인 업무처리에필요한개인정보파악 처리하고자하는업무에꼭필요한최소한의개인정보는어떤것들이있는지파악합니다 고유식별정보나민감정보는일반개인정보와구분하여처리하여야하므로처리하고자하는개인정보중에고유식별정보나민감정보가있는지확인해야합니다 개인정보의보유기간확인


(중등용1)1~27

약관

비 밀 보 장 확 약 서

3 삭제요구 4 처리정지요구 2. 제 3 조 1 항에따른권리행사는회사에대해개인정보보호법시행규칙별지제 8 호서식에 따라서면, 전자우편, 모사전송 (FAX) 등을통하여하실수있으며회사는이에대해지체없이 조치합니다. 3. 정보주체가심각한개인정보의오류등에대한정정또는삭제를요구한경우

개인정보처리방침_성동청소년수련관.hwp

중요문서 개인정보처리방침 제정 : 최근개정 : 제1조 ( 목적 ) 신한아이타스 ( 이하 회사 라한다 ) 는개인정보보호법제30조에따라정보주체의개인정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정보처리방침


BN H-00Kor_001,160

¿©¼ººÎÃÖÁ¾¼öÁ¤(0108).hwp

1, 항소이유의 요지 가. 사실오인 및 법리오해 피고인이 피해자와 공사도급계약을 체결할 당시 피고인은 피해자에게 공사대금을 지 급할 의사와 능력이 있었으므로 피고인에게 사기죄의 유죄를 선고한 원심판결에는 사 실을 오인하거나 법리를 오해한 위법이 있어 부당하다. 나. 양

개인정보처리방침 ( 개정 ) 한국교육개발원 ' 방송통신중 고등학교운영센터 ( 이하 운영센터 )' 에서취급하는모든개인정보는관련법령에근거하여수집 보유및처리되고있습니다. 개인정보보호법 은이러한개인정보의취급에대한일반적규범을제시하고있으며, < 방송중 고사이버교

¾Æµ¿ÇÐ´ë º»¹®.hwp

저작자표시 - 비영리 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 이차적저작물을작성할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물

1 - 서울특별시강서구누리소통망서비스 (SNS) 관리및 운영에관한조례제정안 검토보고서 1. 회부경위 가. 의안번호 : 나. 제출자 : 서울특별시강서구청장다. 제출일 : 2017 년 5월 2일라. 회부일자 : 2017 년 5월 8일 2. 제안이유 인터넷,

?.? -? - * : (),, ( 15 ) ( 25 ) : - : ( ) ( ) kW. 2,000kW. 2,000kW 84, , , , : 1,

프랑스 (Loi n du 6 janvier 1978 relative a l'informatique, aux fichiers et aux libertes L'Assemblee nationale et le Senat ont adopte) 독일 (Bundesdat

Microsoft PowerPoint 지성우, 분쟁조정 및 재정제도 개선방향

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

개인정보보호지침 개인정보보호지침 제 6 장영상정보처리기기설치 운영 제 1 절영상정보처리기기의설치 제61조 ( 적용범위 ) 이장은본교가공개된장소에설치 운영하는영상정보처리기기와이기기를통하여처리되는개인영상정보를대상으로한다. 제62조 ( 영상정보처리기기운영 관리방침 ) 1 영


22 법학논고제 63 집 ( )

CISG 제 3 편물품의매매 제 2 장매도인의의무제 1 절 ( 제 30 조 - 제 34 조 ) 물품의인도및서류의교부 원광대학교 유하상

화장품독성시험동물대체시험법가이드라인 (I) 독성평가연구부특수독성과

<4D F736F F D205B46696E616C5DB0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A75FC1F7BFF8BFEB5F E30332E3239>

(K47-19 \263\353\265\277.hwp)


내부정보관리규정

01-02Àå_»ç·ÊÁýb74öÁ¤š

1

allinpdf.com

학교교과교습학원 ( 예능계열 ) 및평생직업교육학원의시설 설비및교구기준적정성연구 A Study on the Curriculum, Facilities, and Equipment Analysis in Private Academy and It's Developmental Ta

행정학박사학위논문 목표모호성과조직행태 - 조직몰입, 직무만족, 공직봉사동기에미치는 영향을중심으로 - 년 월 서울대학교대학원 행정학과행정학전공 송성화

41호-소비자문제연구(최종추가수정0507).hwp

Microsoft PowerPoint 산업전망_통장전부_v9.pptx

공무원복지내지82p-2009하

1 1 [ ] ( ) 30 1 ( ) 31 1 ( ),. 2 [ ]. 1., ( ). 2.,,,,,,,,,,, ( 訂正 ),,,,, ( 破棄 ), ( 集合物 ). 5., /38

Zentralanweisung

/ :24 문서보안을생활화합시다

2


CD 2117(121130)

행정학석사학위논문 공공기관기관장의전문성이 조직의성과에미치는영향 년 월 서울대학교행정대학원 행정학과행정학전공 유진아

04.박락인(최종)치안정책연구 29-3.hwp

내지2도작업

목 차

View Licenses and Services (customer)

신규투자사업에 대한 타당성조사(최종보고서)_v10_클린아이공시.hwp

권고안 : 을 권고한다. 의안 분석 : 회사는 2011년부터 작년까지 4년 연속 순손실을 기록하고 있다. 이에 따라 회사는 전년과 마찬가지로 배당금을 지급하지 않을 예정이다. 재무제표 작성과 이익잉여금의 처분에 특별한 문제점이 보이지 아니하므로 의안에 대해 을 권고한다

*부평구_길라잡이_내지칼라

1. 이 사건 공소사실의 요지 이 사건 공소사실의 요지는 피고인 함선주, 김 영은는 삼성에스디아이(SDI)주식회사(이하 삼성SDI'라고 함)의 협력업체인 영 회사 소속 근로자였고, 피고인 강용환는 또 다른 협력업체인 명운전자 주식회사 소 였다. 삼성SDI는 세계 디스플

경상북도와시 군간인사교류활성화방안

□ 사업 신고


네이버 개인정보백서

인터넷법제동향 제 호 인터넷법제동향제 60 호 2012 년 9 월호

A 한국노동연구원 한국보건사회연구원 1998 년 한국사회과학자료원 2008년 2008년

아동

<4D F736F F D D504F4C2D32382DB0B3C0CEC1A4BAB820C3B3B8AEB9E6C4A720B0D4BDC3BFEB>

2016년 신호등 4월호 내지A.indd

어린이집영상정보처리기기 설치 운영가이드라인 보건복지부 - 1 -

여수신북항(1227)-출판보고서-100부.hwp

숙련기술인의경제적 사회적지위 분석을위한측정지표개발

2018년 10월 12일식품의약품안전처장

<28C0DABFAC29BDC0C1F6BAB8C8A3B9FDC0D4B9FDBFB9B0ED2E687770>

1. 상고이유 제1점에 대하여 구 도시 및 주거환경정비법( 법률 제9444호로 개정되기 전의 것, 이하 구 도시정비법 이라 한다) 제4조 제1항, 제3항은 시 도지사 또는 대도시의 시장이 정비구 역을 지정하거나 대통령령이 정하는 경미한 사항을 제외한

개인정보취급방침 제정 개정 개정 베스타스자산운용 ( 주 )( 이하 " 회사 " 이라한다 ) 는개인정보보호법제 30 조에따라정보주체의개인 정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이

- 2 -

슬라이드 1

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

이슈브리핑

< C0DAC0B2C5BDB1B820BFEEBFB520B8DEB4BABEF32D33C2F720C6EDC1FD2E687770>

Zentralanweisung

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

09³»Áö

ºñÁ¤±ÔħÇغ¸°í¼�.hwp

EU 29 조작업반의 GDPR 대응동향 년개정및신규발표한 GDPR 가이드라인을중심으로 < 목차 > * 2017년 9월해외개인정보보호동향핫이슈보고서에서 해외주요국의 GDPR 대응동향 EU회원국을중심으로 를다룬바있음 * 본동향보고서에서는위동향보고서에이어, EU

목 차



테스트인증기관인증업무준칙 (cps)... 버전 년 4 월 21 일 Managed-PKI 테스트인증기관업무준칙 (" 테스트 CPS") 을자세히읽어야합니다. 아래의 " 승인 " 을누르거나테스트인증또는테스트 CA 루트인증 ( 계약조간은아래정의 ) 을요청, 사


개인정보처리방침 제1조 ( 개인정보의처리목적 ) 1 정보통신정책연구원 ( 이하 연구원 이라한다 ) 은개인정보의처리목적에필요한최소한의개인정보를처리하고있으며, 연구원홈페이지 ( 또는소관부서의홈페이지에게재하여정보주체가확인할수있도록안내를하고있습니다


Transcription:

규정 (EU) 2016/679 에맞게정보보호법을개정하고지침 (EU) 2016/680 을 시행하기위한법률 (DSAnpUG-EU) 2017 년 6 월 30 일 하원은상원의승인에따라아래법률을채택하였다. 제 1 조 연방정보보호법 (BDSG) 목차 제 1 편 공통규정 제 1 장 범위및정의 제 1 절법률의범위 제 2 절정의 제 2 장 개인정보처리에대한법적근거 제 3 절공공기구의개인정보처리 제 4 절공공장소의비디오감시 제 3 장 공공기구의 DPO(Data protection officer)

제 5 절지정 - 2 - 제 6 절위치 제 7 절업무 제 4 장 연방정보보호및정보자유커미셔너 제 8 절설립 제 9 절자격 제 10 절독립 제 11 절임명및임기 제 12 절공식관계 제 13 절권리및의무 제 14 절업무 제 15 조활동보고서 제 16 절권한 제 5 장 유럽개인정보보호이사회의대행, 단일연락처, 유럽연합사안에관한연방및주감독기구의 협력 제 17 절유럽개인정보보호이사회의대행, 단일연락처 제 18 절연방및주감독기구의협력절차 제 19 절책임 제 6 장 법적구제책 제 20 절사법구제 제 21 절유럽집행위원회의적정성결정이법률을위반한다고판단되는경우법원판결을 구하는감독기구의신청

- 3 - 제 2 편 규정 (EU) 2016/679 제 2 조에따른목적을위한처리에적용되는시행규정 제 1 장 개인정보처리에대한법적근거 제 1 하위장 민감정보의처리및기타목적을위한처리 제 22 절민감정보의처리 제 23 절기타목적을위한공공기구의처리 제 24 절기타목적을위한민간기구의처리 제 25 절공공기구의정보전송 제 2 하위장 특수처리상황 제 26 절고용관련목적을위한정보처리 제 27 절과학또는역사연구목적및통계목적을위한정보처리 제 28 절공익에부합하는보관목적을위한정보처리 제 29 절비밀유지의무가적용되는경우정보주체의권리및감독기구의권한 제 30 절소비자대출 제 31 절채점및신용보고서의경우상거래보호 제 2 장 정보주체의권리 제 32 절정보주체로부터개인정보를수집하는경우제공되는정보 제 33 절정보주체로부터개인정보를입수하지않은경우제공되는정보 제 34 절정보주체의열람권

제 35 절삭제권 - 4 - 제 36 절이의권 제 37 절프로파일링을비롯한자동개별의사결정 제 3 장 컨트롤러및프로세서의의무 제 38 절민간기구의 DPO(Data protection officer) 제 39 절지정 제 4 장 민간기구의정보처리에대한감독기구 제 40 절주감독기구

- 5 - 제 5 장 처벌 제 41 절형사소송및행정벌금부과절차에관한규정의적용 제 42 절처벌규정 제 43 절행정벌금에관한규정 제 6 장 법적구제책 제 44 절컨트롤러또는프로세서에대한소송절차 제 3 편 지침 (EU) 2016/680 제 1 조 (1) 에따른목적을위한처리에적용되는시행규정 제 1 장 개인정보처리범위와정의, 일반원칙 제 45 절범위 제 46 절정의 제 47 절개인정보처리의일반원칙 제 2 장 개인정보처리에대한법적근거 제 48 절민감정보의처리 제 49 절기타목적을위한처리 제 50 절보관, 과학및통계목적을위한처리 제 51 절동의 제 52 절컨트롤러의지시에따른처리 제 53 절기밀유지

제 54 절자동개인결정 - 6 - 제 3 장 정보주체의권리 제 55 절정보처리에관한일반정보 제 56 절정보주체의통지 제 57 절열람권 제 58 절수정및삭제와처리제한에대한권리 제 59 절정보주체의권리행사양식 제 60 절연방커미셔너에고발장을제출할권리 제 61 절연방커미셔너의결정이나조치불이행에대한법적구제책 제 4 장 컨트롤러및프로세서의의무 제 62 절컨트롤러를대행한처리 제 63 절공동컨트롤러 제 64 절정보처리보안요건 제 65 절연방커미셔너에통지되는개인정보침해 제 66 절개인정보침해로피해를입는정보주체에대한통지 제 67 절개인정보영향평가수행 제 68 절연방커미셔너와의협력 제 69 절연방커미셔너의사전협의 제 70 절처리활동기록 제 71 절 Data protection by design and by default 제 72 절정보주체범주의구분 제 73 절사실과개인평가의구분 제 74 절데이터전송절차

- 7 - 제 75 절개인정보의수정및삭제와처리제한 제 76 절로그인 제 77 절위반의기밀보고 제 5 장 정보역외이전 제 78 절일반요건 제 79 절적절한보호조치가포함된데이터전송 제 80 절적절한보호조치가없는데이터전송 제 81 절제 3 국수령인에대한기타데이터전송 제 6 장 감독기구의협력 제 82 절상호지원 제 7 장 책임및처벌 제 83 절보상 제 84 절처벌규정 제 4 편 규정 (EU) 2016/679 및지침 (EU) 2016/680 의범위를벗어나는활동에서이루어지는처리에 대한특별규정 제 85 절규정 (EU) 2016/679 및지침 (EU) 2016/680 의범위를벗어나는활동에서이루어지는 개인정보의처리 제 I 편 공통규정 제 1 장 범위및정의

- 8 - 제 1 절 법률의범위 (1) 동법은하기각호의개인정보처리에적용한다. 1. 연방공공기구 2. 정보보호가주법의적용을받지않고아래에해당하는경우, 주공공기구 a) 연방법을수행하는경우 b) 행정문제를제외한사안에대해사법기구의자격으로활동하는경우. 민간기구에대해, 동법은자동수단을전부또는일부이용한개인정보의처리및자동수단을제외하고제출시스템의일부를형성하거나제출시스템의일부를형성하기위한개인정보의처리에적용한다. 단, 순수하게개인적인활동이나가정활동을수행하는과정에서자연인이해당처리를수행하는경우에는예외로한다. (2) 기타연방정보보호법은동법의규정에우선한다. 해당법이동법의적용을받는특정사안에결정적으로적용되지않을경우에는동법을적용한다. 법률규정에기반하지않고비밀유지, 또는직업또는특수공무원기밀유지에대한의무를준수해야하는의무는영향을받지않는다. (3) 개인정보가사실을입증하기위해처리되는경우, 동법의규정은행정절차법의규정에 우선한다. (4) 동법은공공기구에적용한다. 하기각호의경우동법은민간기구에적용한다. 1. 컨트롤러나프로세서가독일에서개인정보를처리하는경우 2. 독일에서컨트롤러나프로세서의설립활동과관련하여개인정보가처리되는경우 3. 컨트롤러나프로세서가유럽연합회원국또는유럽경제지역의기타체약국에 설립되지않았으나, 개인정보의처리에대한자연인의보호및해당정보의자유이동에 관하여적용되고지침 95/46/EC( 일반정보보호규정 ) 를폐지하는 2016 년 4 월 27 일자 유럽의회및이사회규정 (EU) 2016/679 의범위에속하는경우 (OJ L 119 of 4 May 2016, p. 1; L 314 of 22 November 2016, p. 72). 제 2 문장에따라동법이적용되지않을경우, 컨트롤러나프로세서에대해서는제 8-21 조및 제 39-44 조만적용한다. (5) 유럽연합의법률, 특히규정 (EU) 2016/679 의해당버전이직접적용되는경우에는동 법의규정을적용하지않는다. (6) 유럽경제지역체약국과스위스는규정 (EU) 2016/679 제 2 조에부합하는목적을위한

- 9 - 처리에대해유럽회원국과동등한지위를갖는다. 기타국가는제 3 국으로간주한다. (7) 형사범죄의예방이나수사, 적발, 기소또는형사처벌의집행, 및해당정보의자유로운이동에관하여적용되고이사회기본결정 2008/977/JHA (OJ L 119 of 4 May 2016, p. 89) 을폐지하는 2016 년 4 월 27 일자유럽의회및이사회지침 (EU) 2016/680 제 1 조 (1) 에부합하는목적을위한처리에대해, 셍겐조약의시행과적용, 개발과관련한국가는유럽연합회원국과동등한지위를갖는다. 기타국가는제 3 국으로간주한다. (8) 이에따라규정 (EU) 2016/679 와동법제 1 편및제 2 편은동법이나기타법률에 별도로규정하지않는한규정 (EU) 2016/679 및지침 (EU) 2016/680 의범위를벗어나는 활동과관련하여공공기구의개인정보처리에적용한다. 제 2 절 정의 (1) 연방공공기구는연방의당국이나사법기구, 기타공법기관, 법률형태를불문하고 공법에따라설립되는직접연방공사와법정기구및재단과그조합이다. (2) 주공공기구는주, 지방자치단체또는지방자치단체연합, 또는법률형태를불문하고 공법에따라주의감독을받는기타법인및그조합이다.

- 10 - (3) 민법에따라설립되고공공행정업무를수행하는연방및주공공기구연합은아래각 호의경우민간기구의참여에관계없이연방의공공기구로간주한다. 1. 주경계를넘어운영되는경우 2. 연방이절대다수주식을보유하거나절대다수의결권을지배하는경우. 그밖에해당연합은주공공기구로간주한다. (4) 민간기구는제 1 항에서 3 항이적용되지않는한민법에따라설립되는자연인과법인, 학회, 기타협회이다. 민간기구가공공행정의주권업무를수행할경우에는동법에서 정의하는공공기구로한다. (5) 연방공공기구는공법이적용되는기업으로경쟁에참가하는경우동법에서정의하는민간기구로간주한다. 아울러주공공기구는공법이적용되는기업으로경쟁에참가하고연방법을수행하고, 정보보호가주법의적용을받지않을경우, 동법에서정의하는민간기구로간주한다. 제 2 장 개인정보처리에대한법적근거 제 3 절 공공기구의개인정보처리 공공기구는컨트롤러가담당하는업무를수행하거나컨트롤러에부여된직권을행사하기 위해처리가필요한경우개인정보를처리할수있다. 제 4 절 공공장소의비디오감시 (1) 광전자장치를이용한공공구역모니터링 ( 비디오감시 ) 은아래목적에필요한경우에만 허용된다. 1. 공공기구가업무를수행하기위해필요한경우 2. 접근이허용또는불허되는자를판단할수있는권리를행사하는데필요한경우 3. 구체적으로정해진목적을위해정당한이익을보호하는데필요한경우 아울러, 정당하고중요한정보주체의이익을나타낼사안이없어야한다. 아래각호의비디오 감사에대해

- 11-1. 스포츠시설이나집회및유흥장소, 쇼핑센터및주차장과같은대규모공공시설 2. 공공철도나선박, 버스운송차량및대규모공공시설의경우, 해당시설에소재하는 개인의인명과건강, 자유의보호는매우중요한이익으로간주한다. (2) 감시를실시하는데적합한조치를취하고컨트롤러의이름과연락처는가급적조속히 식별할수있어야한다. (3) 제 1 항에따라수집하는데이터의저장이나사용은의도된목적을달성하는데필요하고정당하고중요한정보주체의이익을나타낼사안이없을경우허용된다. 제 1 항, 제 2 문장은그에따라적용한다. 국가안보나공안에대한위협을방지하고범죄를기소하는데필요한경우에만다른목적을위해데이터를추가로처리할수있다. (4) 비디오감시에서수집되는데이터가특정인에귀속되는경우에는규정 (EU) 2016/679 제 13 조및 14 조에따라해당개인에게처리를고지한다. 제 32 조는그에따라적용한다. (5) 의도된목적에필요없거나정보주체의정당한이익이향후저장에방해가되는경우, 데이터는지체없이삭제한다. 제 3 장 공공기구의 DPO(Data protection officer) 제 5 절 지정 (1) 공공기구는 DPO 를지정한다. 이는제 2 절 (5) 에서정의하는대로경쟁에참가하는 공공기구에도적용한다. (2) 조직구조및규모를고려하여다수의공공기구에단일 DPO 를지정할수있다. (3) DPO 는전문적자질, 특히정보보호법및관행에대한전문지식과제 7 절에언급되는 직무수행능력을기반으로지정한다. (4) DPO 는공공기구의직원이거나서비스계약을토대로업무를이행할수있다. (5) 공공기구는 DPO 의연락처를발표하고연방정보보호및정보자유커미셔너에이를 전달한다.

- 12 - 제 6 절 직위 (1) 공공기구는개인정보의보호와관련한일체의현안에대해 DPO 가시의적절하게개입할 수있도록한다. (2) 공공기구는업무를수행하고개인정보및처리업무에접근하고전문지식을유지하는데 필요한재원을제공하여제 7 절에언급되는업무를수행하는 DPO 를지원한다. (3) 공공기구는 DPO 가업무수행에관한지시를받지않도록한다. DPO 는공공기구의최고 경영진에직보한다. 공공기구는 DPO 의업무수행을이유로이를해고또는처벌할수없다. (4) DPO 의해고는민법제 626 조를적용하는경우에만허용된다. 공공기구가예고없이해지할정당한사유가없는한 DPO 의고용은해지할수없다. DPO 활동이종료된후, 공공기구가예고없이해지할정당한사유가없는한 DPO 는임명종료후 1 년간해고할수없다. (5) 정보주체는규정 (EU) 2016/679, 동법및기타정보보호법에따라개인정보의처리에관한일체의문제에대해 DPO 에문의하여본인의권리를행사할수있다. DPO 는정보주체가의무를면책하지않는한, 정보주체의신원과정보주체가식별될수있는상황에관하여비밀유지를준수한다. (6) DPO 가활동을수행하는과정에서공공기관장이나공공기관이고용하는자가고용과관계된사유로증거제출을거부할권리가있는데이터를숙지하는경우, 본권리는 DPO 및이의보좌관에도적용된다. 증거제시를거부할권리가고용관련사유에적용되는자는예측가능한미래에해당결정을실행하는것이여의치않은경우를제외하고, 본권리의행사여부를결정한다. 증거제시를거부할 DPO 의권리가적용되는경우이의파일및기타문서는압수대상이될수없다. 제 7 절 업무 (1) 규정 (EU) 2016/679 에기재된업무에덧붙여, DPO 는적어도아래의업무를 수행한다. 1. 처리를수행하는공공기구및직원에게지침 (EU) 2016/680 을시행하기위해제정된 법률을비롯하여동법및기타정보보호법에따른의무를고지및통지한다. 2. 처리작업에참여하는직원의책임배정과인식제고, 교육, 및관련감사를비롯하여 지침 (EU) 2016/680 을시행하기위해제정된법률을비롯하여동법및기타정보보호법과 개인정보보호에관한공공기구의정책준수여부를감시한다.

- 13-3. 동법제 67 절에따라개인정보영향평가에관한자문을제공하고평가의이행을 감시한다. 4. 감독기구와협력한다. 5. 동법제 69 조에언급되는사전협의를비롯하여처리에관한현안에대해감독기구에 연락처의역할을수행하고기타적절한사안에대해협의를진행한다. 법원이 DPO 를명령하는경우, 본업무는사법부를대행하는법원의조치를의미하지 않는다. (2) DPO 는기타업무및직무를이행할수있다. 컨트롤러나프로세서는해당업무및직무가 이해의상충을초래하지않도록조치를취해야한다. (3) DPO 는업무를수행할때처리의성격과범위, 상황, 목적을참작하여처리작업과관련한 위험을충분히고려해야한다. 제 4 장 연방정보보호및정보자유커미셔너 제 8 절 설립 (1) 연방정보보호및정보자유커미셔너 ( 연방커미셔너 ) 는최고연방기구로한다. 이는본에 소재한다. (2) 연방커미셔너소속공무원은연방공무원으로한다. (3) 연방커미셔너는연방커미셔너의독립을침해하지않는한기타연방기구에인사행정 및관리업무를위임할수있다. 위임업무를이행하는데필요한직원개인정보는본기구에 전송할수있다. 제 9 절 능력 (1) 연방커미셔너는공법이준용되는기업으로경쟁에참가하는경우연방공공기구를감독할권한이있다. 본장의규정은연방이절대다수주식을보유하거나절대다수의결권을지배하는민간기구로연방공공기구를대신하여데이터를처리하는경우프로세서에도적용한다.

- 14 - (2) 연방커미셔너는사법부를대행하는연방법원의처리업무를감독할권한이없다. 제 10 절 독립성 (1) 연방커미셔너는업무를이행하고권한을이행함에있어완전한독립성을갖는다. 연방 커미셔너는직접또는간접적인외부의영향에서자유로우며타인의지시를구하거나받지 않는다. (2) 연방커미셔너는독립을침해하지않는범위안에서연방회계감사원의감사를받는다. 제 11 절 임명및임기 (1) 독일의회는연방정부의제안에따라법정의원수의과반으로연방커미셔너를토론없이선출한다. 당선자는연방대통령의임명을받는다. 연방커미셔너는선출당시 35 세이상으로해야한다. 연방커미셔너는특히개인정보보호분양에서직무를이행하고권한을행사하는데필요한자격과경험, 능력을보유해야한다. 특히연방커미셔너는관련전문경험에서습득한정보보호법의지식을보유하고법원이나상급행정서비스에재직할자격이있어야한다. (2) 연방커미셔너는연방대통령앞에서아래와같이선서한다. 본인은본인의권한안에서독일국민의이익과편익을증진하고독일국민의피해를방지하고기본법과연방법을방어하고본인의직무를양심적으로수행하고본인의모든거래에있어공정을기하기위해최선을다하기로맹세하며, 신의가호를빕니다. 신에대한언급은선서에서생략할수있다. (3) 연방커미셔너의임기는 5 년으로한다. 연방커미셔너는한차례연임할수있다. 제 12 절 공식관계 (1) 연방커미셔너는동법에따라공법에의거하는공식연방지위를갖는다. (2) 공식관계는임명장을전달할때부터개시된다. 본관계는임기만료나사임시종료된다. 연방커미셔너가중대한위법행위를범하였거나본인의직무이행요건에부합하지않을경우, 연방대통령은의장의요청에따라연방커미셔너를해임한다. 공식관계가종료되거나연방커미셔너가해임되는경우, 연방대통령이서명하는서류를연방커미셔너에송부한다. 해임은본문서의전달시발효된다. 공식관계가임기의만료로종료되고의장의요청이있을경우, 연방커미셔너는후임자가임명될때까지육개월이내기간동안업무를계속할의무가있다.

- 15 - (3) 연방커미셔너가본인의직무를이행할수없거나임기가만료된후업무를계속할의무가없을경우, 고위공무원은연방커미셔너의권리를행사한다. 제 10 절 (1) 은그에따라적용한다. (4) 공식관계가개시되는역월부터동관계가종료되는역월의말일까지, 또는제 2 관, 제 6 문장의경우, 연방커미셔너가업무를중단한역월의말일까지, 연방커미셔너는연방공무원보수에관한법률부속서 V 에따라연방공무원호봉 B11 에가족수당을더한급여를받는다. 연방출장비에관한법률과연방재배치경비에관한법률은그에따라적용한다. 그밖에는연방각료에관한법률제 12 절 (6), 제 13 절부터제 20 절및제 21a 절을적용한다. 단, 연방각료에관한법률제 15 절 (1) 에규정되는 4 년임기는 5 년임기로대체한다. 연방각료에관한법률제 15 절내지 17 절, 제 21a 절 (5) 와함께제 3 문장의부분개폐에따라, 연방커미셔너에유리하고, 연방커미셔너로선출되기전에호봉 B11 에도달하기전에재임한최종직위에서공무원이나판사였을경우연방커미셔너의연금은공무원의연금및수당에준용되는연방법을토대로연방커미셔너임기를연금가능근무기간으로간주하여계산한다. 제 13 절 권리와의무 (1) 연방커미셔너는본인의직무에부합하지않는행위에가담해서는안되며, 본인의임기동안영리여부에관계없이부적합한직업에종사해서는안된다. 특히, 연방커미셔너는기타유급직에재직하거나본인의공직에덧붙여상거래활동이나직업에종사해서는안되며, 영리기업의경영진이나감독위원회, 또는연방이나주정부나입법기구에속해서는안된다. 연방커미셔너는유상으로재판외의견을전달해서는안된다. (2) 연방커미셔너가본인의직무와관련하여수령하는선물은의장에게고지한다. 의장은 해당선물의사용방법을결정한다. 의장은절차규칙및규정을발행할수있다. (3) 연방커미셔너는본인에게고백한자및고백한정보에관한증언을거부할권리를갖는다. 이는연방커미셔너가이러한권리행사를결정한다는조건에따라연방커미셔너의직원에대해서도적용한다. 연방커미셔너의증언거부권안에서연방커미셔너는파일이나기타문서를제출또는명도하지않아도된다. (4) 연방커미셔너는공식관계가종료된후에도공무를이유로숙지하는사안에대해비밀유지의무를진다. 본의무는일반적으로숙지되거나그성격상기밀유지의무가없는공식통신문이나사안에는적용되지않는다. 연방커미셔너는정당한재량권에따라해당사안에대해재판이나재판외증언또는진술여부및그범위를결정한다. 해당개인이재직하지않을경우에는현직연방커미셔너의허가를받아야한다. 이는범죄를신고하거나자유민주주의질서가위협을받을경우이를지지해야하는법적의무에영향을미치지않는다.

- 16 - 독일회계법제 105 절 (1) 및제 116 절 (1) 와함께제 93 절, 제 97 절, 제 105 절 (1), 제 111 절 (5) 은연방커미셔너또는이의참모에적용되지않는다. 시급한공익을추진하는 기소에있어조세범죄로인한법률소송및관련조세소송절차를수행하기위해금융당국이 해당지식을숙지해야하거나, 정보를제공해야하는자나이를대행하는자가고의로허위 정보를제공한경우에는제 5 문장을적용하지않는다. 정보보호규정이위반되었다고 판단되는경우, 연방커미셔너는위반을보고하고그에따라정보주체에이를고지할수 있다. (5) 해당증언이아래에해당하지않는한, 연방커미셔너는증인으로증언할수있다. 1. 연방이나주의복지, 특히독일연방공화국의안보나대외관계를손상시키는경우 2. 기본권을위반할수있는경우. 증언이핵심행정책임으로간주되거나간주될수있고현재진행되거나완료된절차와 관련되는경우, 연방커미셔너는연방정부의승인이있어야증언할수있다. 연방헌법재판소법제 28 조는영향을받지않는다. (6) 제 3 및 4 관, 제 5 내지 6 문장은주정보보호규정의준수감시를담당하는공공기구에 그에따라적용한다. 제 14 절 업무 (1) 규정 (EU) 2016/679 에기재된업무에덧붙여, 연방커미셔너는아래의업무를 수행한다. 1. 지침 (EU) 2016/680 을시행하기위해채택되는법률을비롯하여동법및기타 정보보호법의적용을감시및집행한다. 2. 특히아동에대한대책에각별히유의하여개인정보의처리에관한위험과규칙, 보호조치 및권리에대한대중의인식및이해를증진한다. 3. 개인정보의처리에대한자연인의권리및자유의보호에관한입법및행정대책에대해 독일상원, 하원, 연방정부, 기타산하기관및기구에자문을제공한다. 4. 지침 (EU) 2016/680 을시행하기위해채택되는법률을비롯하여동법및기타 정보보호법에따른의무에대해컨트롤러및프로세서의인식을증진한다. 5. 이를위해상대회원국의감독기구와협력하기위해요청이있을경우지침 (EU) 2016/680 을시행하기위해채택되는법률을비롯하여지침동법및기타정보보호법에따른 권리의행사에관한정보를정보주체에제공한다.

- 17-6. 지침 (EU) 2016/680 제 55 조에따라정보주체나기구, 조직, 협회가제기하는고발을처리하고, 적절한경우고발주제를조사하고, 특히추가조사나타감독기구와의공조가필요한경우합당한기간안에조사의경과및결과를고발인에게고지한다. 7. 지침 (EU) 2016/680 을시행하기위해채택되는법률을비롯하여동법및기타 정보보호법의적용및집행에대한일관성을보장하기위해정보공유를비롯하여기타 감독기구와협력하고상호지원을제공한다. 8. 아울러타감독기구나기타공공기관으로부터수령하는정보를토대로, 지침 (EU) 2016/680 을시행하기위해채택되는법률을비롯하여동법및기타정보보호법의적용에 관한조사를실시한다. 9. 개인정보의보호에영향을미치는관련개발, 특히정보통신기술및상관습의발전을 모니터링한다. 10. 제 69 절에언급되는처리업무에대해자문을제공한다. 11. 유럽개인정보보호이사회의활동에기여한다. 지침 (EU) 2016/680 의범위에서연방커미셔너는제 60 절에따른업무도이행한다. (2) 제 1 관, 제 1 문장, 3 호에기재되는업무를수행하기위해연방커미셔너는요청이있을경우나자체적으로개인정보보호에관한일체의사안에관하여독일하원이나소속위원회, 상원, 연방정부, 기타산하기관및기구, 대중에권고를제시할수있다. 독일하원이나소속위원회, 연방정부의요청시, 연방커미셔너는연방공공기구의정보보호문제및사고도조사한다. (3) 연방커미셔너는제 1 관, 제 1 문장, 6 호에언급되는고발장제출을촉진하기위해기타 통신수단을배제하지않고전자문서로작성할수있는고발장제출양식의제공과같은 조치를취해야한다. (4) 연방커미셔너의직무이행은정보주체에무상으로제공된다. 특히반복적성격으로인해요청이근거가없거나과도한것이명백한경우, 연방커미셔너는행정비용을토대로합당한수수료를청구하거나요청조치를불허할수있다. 연방커미셔너는명백하게근거가없거나과도한요청의성격을입증할책임이있다. 제 15 절 활동보고서 연방커미셔너는규정 (EU) 2016/679 제 58 조 (2) 에따라채택되는처벌및대책을비롯하여 보고되는위반형식및채택되는대책의형식에대한목록이포함될수있는연례활동 보고서를작성한다. 연방커미셔너는독일하원과상원, 연방정부에본보고서를제출하며,

- 18 - 일반과유럽집행위원회, 유럽개인정보보호이사회에이를제공한다. 제 16 절 권한 (1) 연방커미셔너는규정 (EU) 2016/679 의범위안에서규정 (EU) 2016/679 제 58 조에언급되는권한을갖는다. 연방커미셔너는정보보호법이위반되었거나그밖에개인정보처리에문제가있다고판단되면법률이나기술문제를담당하는기관에이를통지하고, 규정 (EU) 2016/679, 제 58 조 (2)(b) 내지 (g), (i) 및 (j) 에언급되는권한을행사하기전에합당한기간안에컨트롤러에의견을제시할기회를동기관에부여한다. 당면한위험이나공익으로인해즉각적인결정이필요하다고판단되거나시급한공익에상충되는경우에는의견을제시할기회를생략할수있다. 아울러해당의견에는연방커미셔너로부터수령하는정보를토대로채택하는대책에대한설명이포함되어야한다. (2) 규정 (EU) 2016/679 의범위를벗어나는목적을위한정보처리에있어연방의공공기구가동법이나기타정보보호법을위반하였거나그밖에개인정보의처리나사용에미비점이있다고확인되는경우, 연방커미셔너는소관연방최고기구에고발장을제출하고연방커미셔너가판단하는기간안에동기구에대응을요구한다. 연방커미셔너는특히관련문제가중요하지않거나그동안개선된경우고발장이나답변을생략할수있다. 아울러답변은연방커미셔너의고발에따라채택된대책도설명해야한다. 아울러연방커미셔너는예정된처리업무가동법이나해당정보처리에적용되는기타정보보호규정을위반할가능성이있다고컨트롤러에경고할수있다. (3) 아울러연방커미셔너의권한은아래각호로확대된다. 1. 연방공공기구가우정통신및전기통신의내용과이에관한구체적상황에관하여 입수하는개인정보 2. 직업또는특수공식비밀유지, 특히독일회계법제 30 절에따른조세비밀유지가 적용되는개인정보. 기본법제 10 조의서한이나우편, 전기통신프라이버시에대한기본권은그에따라제한된다. (4) 연방공공기구는연방커미셔너및보좌관에게아래각호를제공할의무가있다. 1. 정보처리장비및수단을비롯하여항시공식부지일체와업무수행에필요한개인정보 및정보일체에대한접근 2. 업무를수행하는데필요한일체의정보. (5) 연방커미셔너는주정부에서정보보호규정준수의감시를담당하는공공기구및 제 40 절에따른감독기구와협력한다. 제 40 절 (3), 제 1 문장, 제 2 문장은그에따라 적용한다.

- 19 - 제 5 장 유럽개인정보보호이사회의대행, 단일연락처, 유럽연합사안에관한연방및주감독기구의 협력 제 17 절 유럽개인정보보호이사회의대행, 단일연락처 (1) 연방커미셔너는유럽개인정보보호이사회의공동대표및단일연락처 ( 공동대표 ) 로활동한다. 상원은공동대표의대리인 ( 대리인 ) 으로재직할주감독기구의장을선출한다. 임기는 5 년으로한다. 주감독기구의장이퇴직할경우, 대리인의직무는동시에종료된다. 대리인은재선출할수있다. (2) 대리인의요청시, 공동대표는주가단독으로입법권이있거나주소속기관의설립이나 절차에영향을미치는업무의이행을다루는사안에서유럽개인정보보호이사회의협상 주도권및의결권을대리인에게위임한다. 제 18 절 연방및주감독기구의협력절차 (1) 연방커미셔너와주감독기구 ( 연방및주감독기구 ) 는규정 (EU) 2016/679 및지침 (EU) 2016/680 을일관되게적용하기위해유럽연합사안에서상호협력한다. 타회원국감독기구나유럽집행위원회, 유럽개인정보보호이사회에공동입장을제출하기전에, 연방및주감독기구는초기에의견을개진할기회를상호부여한다. 이를위해해당기구는관련정보일체를공유한다. 연방및주감독기구는규정 (EU) 2016/679 제 85 조및 91 조에따라설립되는특정감독기구가사안의영향을받을경우해당기구와협의한다. (2) 연방및주감독기구가공동입장에합의하는데실패하는경우, 선임감독기구, 또는선임기구가없을경우공동대표및그대리인은공동입장에대한권고안을제출한다. 공동대표와그대리인이공동입장에대한권고안에합의하는데실패하는경우, 대리인은주단독으로입법권이있거나주기구의설립이나절차에영향을미치는업무이행을다루는문제에있어공동입장권고안을결정한다. 제 2 문장에언급되지않고공동대표와대리인이합의에실패하는사안에대해서는공동대표가공동입장을결정한다. 연방및주감독기구가단순다수결로상이한입장을채택하지않는한, 협상은제 1 내지제 3 문장에따라권고되는입장을토대로한다. 연방과각주는각각 1 개의의결권을갖는다. 기권은산입하지않는다. (3) 공동대표와그대리인은제 1 관및 2 관에따른공동입장을준수하고본공동입장에따라협상의수행을상호합의로정한다. 합의에실패하는경우, 대리인은제 18 절 (2), 제 2 문장에언급되는사암에대한협상의후속수행을결정한다. 기타사안에대해서는공동대표가결정권을갖는다.

- 20 - 제 19 절 책임 (1) 규정 (EU) 2016/679 제 VII 장에따라원스톱숍메커니즘에속하는주선임감독기구는컨트롤러나프로세서가규정 (EU) 2016/679 제 4 조, 16 호에언급되는주요시설이나규정 (EU) 2016/679 제 56 조 (1) 에언급되는유럽연합의단일시설을보유하는주감독기구로한다. 규정 (EU) 2016/679 제 56 조 (1) 와함께제 4 조, 16 호는연방커미셔너의책임소관안에서그에따라적용한다. 선임감독기구결정에대해합의할수없는경우에는제 18 절 (2) 에기술되는절차를그에따라적용한다. (2) 정보주체가고발장을제출한감독기구는제 1 관에언급되는선임감독기구에고발장을전달한다. 해당선임감독기구가없을경우에는컨트롤러나프로세서가설립되는주감독기구에고발장을전달한다. 사안을담당하지않는감독기구에고발장이제출되는경우, 동기구는제 1 문장에언급하는대로고발장을전달할수없는경우신청인이거주하는감독기구에고발장을전달한다. 접수감독기구는규정 (EU) 2016/679 제 VII 장에따라고발장에제출된감독기구로간주하며, 규정 (EU) 2016/679 제 60 조 (7)-(9) 및제 65 조 (6) 에언급되는의무를이행한다. 제 6 장 법적구제책 제 20 절 사법구제 (1) 규정 (EU) 2016/679 제 78 조 (1) 및 (2) 및제 61 절에따른권리에관하여자연인이나 법인과연방이나주감독기구간에발생하는분쟁은행정법원을이용한다. 제 1 문장은 행정벌금소송에적용하지않는다. (2) 행정법원절차법은제 3 관내지 7 관에따라적용한다. (3) 제 1 관, 제 1 문장에따른소송절차에대해감독기구가소재하는지역의행정법원은지역 소관법원으로한다. (4) 감독기구는제 1 관, 제 1 문장에따른소송절차에참가할수있다. (5) 제 1 관, 제 1 문자에따른소송절차의당사자는 1. 자연인이나법인을원고나신청인으로한다. 2. 감독기구를피고나피청구인으로한다.

- 21 - 행정법원절차법제 63 절, 3 및 4 호는영향을받지않는다. (6) 예비소송절차는진행되지않는다. (7) 당국이나법인에대해감독기구는행정법원절차법제 80 조 (2), 제 1 문장, 4 호에따라 즉시집행을명령할수없다. 제 21 절 제유럽집행위원회의적정성결정이법률을위반한다고판단되는경우법원판결을구하는 감독기구의신청 (1) 유럽집행위원회의적정성결정이나표준보호조항의인정이나공인행동규약의일반 효력, 감독기구의결정이의존하는효력에관한결정이법률을위반한다고판단되는경우, 감독기구는절차를중지하고법원판결신청을제출한다. (2) 행정법원에대한소구는제 1 관에따른소송절차에제공된다. 행정법원절차법은제 3 관 내지 6 관에따라적용한다. (3) 연방행정법원은제 1 관에따른감독기구의신청에대해최종판결을내린다. (4) 감독기구는제 1 관에따른소송절차에참가할수있다. 감독기구는제 1 관에따라 소송절차에신청인으로참가한다. 행정법원절차법제 63 절, 3 및 4 호는영향을받지않는다. 연방행정법원은정해진기간안에의견을개진할기회를유럽집행위원회에부여할수있다. (5) 제 1 관에따라유럽집행위원회결정의효력을재심하는절차가유럽사법재판소에 계류중인경우, 연방행정법원은유럽사법재판소의소송절차가종결될때까지소송절차의 중지를명령할수있다. (6) 제 1 관에따른소송절차에서, 행정법원절차법제 47 절 (5), 제 5 문장및 (6) 은그에따라적용한다. 제 1 관에따른유럽집행위원회의판결이유효하다고판단되는경우, 연방행정법원은이를판결에기재한다. 그밖에유럽연합기능에관한조약제 267 조에따른판결의효력에대한문제는유럽사법재판소에회부한다.

- 22 - 제 2 편 규정 (EU) 2016/679 제 2 조에따른목적을위한처리에적용되는시행규정 제 1 장 개인정보처리에대한법적근거 제 1 하위장 민감정보의처리및기타목적을위한처리 제 22 절 특정개인정보범주의처리 (1) 규정 (EU) 2016/679 제 9 조 (1) 의부분개폐에의해, 규정 (EU) 2016/679 제 9 조 (1) 에 언급되는민감정보의처리를허용한다. 1, 아래의경우공공및민간기구의처리 : a) 사회보장및사회보호권에서유래하는권리를행사하고관련의무를이행하기위해 처리가필요한경우 b) 예방의학이나직원의근무능력평가, 의학적진단, 의료나사회복지, 치료의제공, 의료나사회복지제도및서비스의관리를위해, 또는정보주체와의료전문가와의계약에따라처리가필요하고, 의료전문가나직업상의비밀유지의무에따라또는이의감독하에타인이본데이터를처리하는경우 c) 제 2 관에언급되는대책, 특히직업상기밀이준수되도록하는직업및형법에덧붙여, 건강에대한중대한역외위협의방어나의료와의약품또는의료기기의품질및안전성에 대한엄격한품질의확보와같이공중보건분야에서공익상의이유로처리가필요한경우 2. 아래의경우공공기구의처리 : a) 실질적인공익을이유로처리가시급히필요한경우 b) 공안에대한중대한위협을예방하기위해처리가필요한경우 c) 공익에대한중대한피해를예방하거나공익의실질적관심사를보호하기위해처리가 시급히필요한경우 d) 긴급한국방을위해, 또는위기관리나갈등예방분야또는인도적대책에대해연방 공공기구의초정부또는정부간의무를이행하기위해처리가필요한경우. 아울러, 제 2 호의사례에서정보처리에대한컨트롤러의이익이정보주체의이익을

능가하는경우. - 23 - (2) 제 1 관의경우, 정보주체의이익을보호하는데적합한구체적조치를취한다. 최신기술과실행비용, 처리의성격과범위, 배경및목적뿐아니라소송이자연인의권리와의무에초래하는위험의다양한가능성및심각도를참작하여, 본조치에는특히아래의조치가포함될수있다. 1. 처리가규정 (EU)2016/679 을준수하도록하는데필요한기술적인조직조치 2. 개인정보의입력, 변경또는삭제여부나주체를실질적으로확인및입증할수있는조치 3. 처리업무에관여하는직원의인식을제고하기위한조치 4. DPO 의지명 5. 컨트롤러내부에속하는개인정보에대한프로세서의접근제한 6. 개인정보의가명처리 7. 개인정보의암호화 8. 물리적이거나기술적인사고가발생할경우가용성및접근을신속하게복원할수있는 능력을비롯하여개인정보의처리에관한처리시스템및서비스의능력과기밀유지, 무결성, 가용성및복원력을보장하기위한조치 9. 처리보안을보장하는데필요한기술및조직대책의효과를정기적으로시험, 사정및 평가하는절차 10. 기타목적을위한전송이나처리가이루어질경우, 동법및규정 (EU) 2016/679 의준수를 보장하기위한구체적인규칙. 제 23 절 기타목적을위한공공기구의처리 (1) 공공기구는직무를이행하는데해당처리가필요하고아래각호에해당하는경우정보가 수집된목적을제외한목적에개인정보를처리할수있다. 1. 명백하게정보주체에이익이되고정보주체가기타목적을숙지한다면동의를거부한다고 가정할근거가없을경우 2. 본정보가부정확하다고판단할근거가있기때문에정보주체가제공한정보를대조할 필요가있을경우 3. 공익에대한심대한피해나공안이나국방, 국가안보에대한위협을방지하거나공익의 실질적관심사를보호하거나조세및관세수익을보장하기위해처리가필요한경우

- 24-4. 형사또는행정범죄를기소하거나형법제 11 절 (1), 8 호에언급되는처벌이나조치, 또는 소년법원법에언급되는조치를수행또는집행하거나벌금을집행하는데처리가필요한경우 5. 타인의권리에대한심각한피해를예방하기위해처리가필요한경우 6. 감독및감시권한을행사하거나컨트롤러의감사나조직분석을수행하는데처리가 필요한경우. 아울러정보주체의정당한이익에저촉되지않는한이는컨트롤러의교육및 심사목적을위한처리에도적용된다. (2) 제 1 관의조건이충족되고규정 (EU) 2016/679 제 9 조 (2) 나제 22 절에따른예외가 적용되는경우, 데이터가수집된목적을제외한목적을위해규정 (EU) 2016/679 제 9 조에 언급되는민감정보의처리를허용한다. 제 24 절 기타목적을위한민간기구의처리 (1) 민간기구는아래각호에해당하는경우정보가수집된목적을제외한목적에개인정보를 처리할수있다. 1. 국가안보나공안에대한위협을예방하거나형사범죄를기소하기위해처리가필요한경우 2. 법적주장의입증이나행사, 방어를위해처리가필요한경우, 단, 정보주체가정보미처리에대해가장중요한이익이있을경우에는예외로한다. (2) 정보가수집된목적을제외한목적을위해규정 (EU) 2016/679 제 9 조에언급된 민감정보의처리는제 1 관의조건이충족되고규정 (EU) 2016/679 제 9 조 (2) 나제 22 절에 따른예외가적용되는경우허용된다. 제 25 절 공공기구의정보전송 (1) 전송기구나정보가전송되는제 3 자가직무를이행하는데필요하고제 23 절에따른처리를허용하는조건이충족되는경우공공기구간에이루어지는개인정보의전송을허용한다. 정보가전송되는제 3 자는정보가전송된목적에한하여전송정보를처리한다. 기타목적을위한처리는제 23 절의조건이충족되는경우에만허용된다. (2) 아래각호의경우, 공공기구는민간기구에개인정보를전송할수있다. 1. 전송기구가직무를수행하는데전송이필요하고제 23 절에따라처리를허용하는조건이 충족되는경우 2. 정보가전송되는제 3 자가전송정보의숙지에대한정당한이익을신뢰할수있는 수준으로제시하고정보주체가정보가전송되지않는것에대해정당한이익이없는경우

- 25-3. 법적주장의입증이나행사, 방어를위해처리가필요한경우 아울러제 3 자가정보가전송된목적에만이를처리하겠다고정보를전송하는공공기구에 약정한경우. 기타목적을위한처리는제 1 문장에따른전송이허용되고전송기구가전송에 동의한경우허용된다. (3) 제 1 또는 2 관의조건이충족되고규정 (EU) 2016/679 제 9 조 (2) 나제 22 절에따른 예외가적용되는경우, 규정 (EU) 2016/679 제 9 조 (1) 에언급되는민감정보의전송을 허용한다. 제 2 하위장 특수처리상황 제 26 절 고용관련목적을위한정보처리 (1) 직원의개인정보는채용결정을내리거나, 채용이후고용계약을수행또는해지하는데필요하거나법률이나고용주와직장협의회간에체결하는단체협약또는기타합의로규정하는직원의대행에대한권리및의무를행사또는이행하는데필요한경우고용관련목적을위해처리할수있다. 정보주체가고용중에범죄를범하였다고판단할수있는서류상의근거가있고범죄를수사하는데해당정보의처리가필요하고정보를처리하지않는데대한정보주체의정당한이익이이를능가하지않을경우, 특히그형식및범위가해당근거에비해부당하지않을경우에만, 범죄적발을위해직원의개인정보를처리할수있다. (2) 직원의개인정보가동의에기반하여처리되는경우에는, 해당동의가자유의사로제공되었는지평가함에있어고용관계에대한직원의의존도와동의가제공된상황을참작한다. 특히직원의법률이나경제적이익과관련이있거나고용주와직원이동일한이익을추구할경우에는동의를자유의사로제공할수있다. 특수상황으로이하여다른양식이적합한경우를제외하고동의는서면양식으로제공한다. 고용주는규정 (EU) 2016/679 제 7 조 (3) 에따라정보처리목적과동의를철회할수있는직원의권리를텍스트형태로직원에게고지한다. (3) 규정 (EU) 2016/679 제 9 조 (1) 의부분개폐에의해, 노동법이나사회보장, 사회보호법에서유래하는권리를행사하거나법적의무를준수하는데필요하고정보주체가정보를처리하지않는데가장중요한합법적이익이있다고판단할근거가없을경우고용관련목적을위해규정 (EU) 2016/679 제 9 조 (1) 에언급되는민감정보를처리할수있다. 아울러제 2 관은민감정보의처리에도적용된다. 동의는본정보를명시적으로언급해야한다. 제 22 절 (2) 은그에따라적용한다. (4) 고용관련목적을위한직원의민감정보를비롯한개인정보처리는단체협약을토대로 허용한다. 협상당사자는규정 (EU) 2016/679 제 88 조 (2) 를준수한다.

- 26 - (5) 컨트롤러는준수, 특히규정 (EU) 2016/679 제 5 조에기술되는개인정보처리원칙을 보장하는데적합한조치를취해야한다. (6) 직장협의회의참가권은영향을받지않는다. (7) 제 1 관내지 6 관은민감정보를비롯하여직원의개인정보가제출시스템의일부를 형성하지않거나형성될의사없이처리되는경우에도적용된다. (8) 동법의목적을위하여, 직원은아래에해당한다. 1. 차용고용주와계약하는임시노동자를비롯하여종속적으로고용되는노동자 2. 직업교육을위해고용되는자 3. 노동생활이나직업적성또는직업실험의평가 ( 재활을거치는자 ) 에참가하기위한혜택에 참가하는자 4. 장애인지정작업장에고용되는자 5. 청년자원봉사법이나연방자원봉사법에따라근무하는자원봉사자 6. 경제적의존으로인하여종속적으로고용되는노동자에해당한다고간주해야하는자. 여기에는재택노동자와그에상당하는자가포함된다. 7. 연방공무원, 연방판사, 군무원및대체복무요원. 구직자및해고자는직원으로간주한다. 제 27 절 과학또는역사연구목적및통계목적을위한정보처리 (1) 아울러규정 (EU) 2016/679 제 9 조 (1) 의부분개폐에의해, 과학또는역사연구나통계목적을위해처리가필요하고처리에대한컨트롤러의이익이정보를처리하지않는데대한정보주체의이익을크게능가하는경우에는해당목적에대한동의없이규정 (EU) 2016/679 제 9 조 (1) 에언급되는민감정보의처리를허용한다. 컨트롤러는제 22 절 (2), 제 2 문장에따라정보주체의이익을보호하는데적합하고구체적인조치를취한다. (2) 규정 (EU) 2016/679 제 15 조, 16 조, 18 조및 21 조에규정되는정보주체의권리가연구또는통계목적의성취를불가능하게만들거나심각하게저해할수있고연구또는통계목적의달성을위해해당제한이필요한경우에는해당권리를제한한다. 아울러과학연구를위해정보가필요하고정보의제공에부당한노력이수반될수있는경우에는규정 (EU) 2016/679 제 15 조에따른열람권을적용하지않는다. (3) 제 22 절 (2) 에기재되는조치에덧붙여, 규정 (EU) 2016/679 제 9 조 (1) 에언급되고과학

- 27 - 또는역사연구목적이나통계목적을위해처리되는민감정보는연구나통계목적이 허용하는경우익명으로제공한다. 단, 이는정보주체의정당한이익에저촉되지않아야한다. 해당시기까지개인이나주요상황에관한정보가식별되었거나식별가능한개인에귀속될 수있는특성은별도로보관한다. 해당특성은연구나통계목적에필요한경우에만정보와 결합할수있다. (4) 컨트롤러는정보주체가동의를제공하였거나동시대행사에서연구결과를발표하는데 불가피한경우에만개인정보를발표할수있다. 제 28 절 공익에부합하는보관목적을위한정보처리 (1) 규정 (EU) 2016/679 제 9 조 (1) 의부분개폐에의해, 공익상보관을위해필요한경우에는규정 (EU) 2016/679 제 9 조 (1) 에언급되는민감정보의처리를허용한다. 컨트롤러는제 22 절 (2), 제 2 문장에따라정보주체의이익을보호하는데적합하고구체적인보호조치를취한다. (2) 보관자료가개인의이름으로식별되지않거나합리적인행정노력으로보관자료를 검색할수있는정보가제공되지않을경우에는규정 (EU) 2016/679 제 15 조에따른열람권을 적용하지않는다. (3) 공익상보관을위해개인정보가처리되는경우에는규정 (EU) 2016/679 제 16 조에따른정보주체의수정권을적용하지않는다. 정보주체가개인정보의정확성에이의를제기하는경우, 해당정보주체는본인의버전을제출할기회가있다. 담당기록보관소는본버전을파일에추가할의무가있다. (4) 이러한권리가공익상보관목적의성취를불가능하게만들거나심각하게저해할수있고 해당목적을달성하기위해예외가필요한경우에는규정 (EU) 2016/679 제 18 조 (1)(a), (b) 및 (d) 와제 20 조, 21 조에규정되는권리를적용하지않는다. 제 29 절 비밀유지의무가적용되는경우정보주체의권리및감독기구의권한 (1) 규정 (EU) 2016/679 제 14 조 (5) 의예외에덧붙여, 규정 (EU) 2016/679 제 14 조 (1) 내지 (4) 에따라정보주체에정보를제공해야하는의무가그성격상, 특히제 3 자에게가장중요한정당한이익으로인하여대외비로해야하는정보를공개하는경우에는해당의무를적용하지않는다. 법률로나그성격상, 특히제 3 자에게가장중요한정당한이익으로인하여대외비로해야하는정보를공개하는경우에는규정 (EU) 2016/679 제 15 조에따른열람권을적용하지않는다. 규정 (EU) 2016/679 제 34 조 (3) 의예외에덧붙여, 규정 (EU) 2016/679 제 34 조에따른개인정보침해를정보주체에고지해야하는의무가법률로나그성격상, 특히제 3 자에게가장중요한정당한이익으로인하여대외비로해야하는정보를공개하는

- 28 - 경우에는해당의무를적용하지않는다. 제 3 문장에따른예외의부분개폐에의해, 특히손해 위험을참작할때정보주체의이익이비밀유지의이익을능가하는경우에는규정 (EU) 2016/679 제 34 조에따라정보주체에이를고지한다. (2) 의뢰인 - 변호사관계에서직업상의법적기밀유지의무가적용되는자에게제 3 자의 정보가전송되는경우, 전송기구는정보주체가고지를받아야할중요한이익이있지않는한 규정 (EU) 2016/679 제 13 조 (3) 에따라정보주체에이를고지할의무를지지않는다. (3) 규정 (EU) 2016/679 제 58 조 (1)(e) 및 (f) 에따른조사권한의행사가형법제 203 절 (1),(2a) 및 (3) 에기재되는자나프로세서의기밀유지의무를위반하는경우, 감독기구는해당권한을행사할수없다. 조사상황에서감독기구가제 1 문장에언급되는기밀유지의무가적용되는정보를숙지하는경우기밀유지의무는감독기구에도적용된다. 제 30 절 소비자대출 (1) 전송을위해소비자의신용도를평가하는데사용할수있는개인정보를상업적으로수집, 저장또는수정하는기구는타유럽연합회원국에소재하는대부기관의정보요청을국내 대부기관의정보요청과동일하게처리한다. (2) 제 1 관에서언급하는기구가제공하는정보로인하여소비자대출계약이나지불융자지원에관한계약의체결을거부하는자는본거절과수신정보를소비자에게즉시통지한다. 공안이나질서를위태롭게할수있는경우에는해당통지를송부할수없다. 제 37 절은영향을받지않는다. 제 31 절 채점및신용보고서의경우상거래보호 (1) 자연인과의계약관계형성이나실행, 해지를결정하기위해자연인의향후특정행위에 대한확률값의사용 ( 채점 ) 은아래의경우에만허용된다. 1. 정보보호법의규정을준수한경우 2. 확률값을계산하는데사용되는정보가과학적으로인정된수학 - 통계절차를토대로 행위의확률을계산하는데필요하다고입증할수있는경우 3. 주소데이터에덧붙여기타정보를이용하여확률값을계산하는경우 4. 주소데이터를사용할경우, 본정보의사용예정시기에앞서정보주체에이를통지한 경우. 본통지를문서로작성한다. (2) 신용보고기관이자연인의지불능력과의사를판단하기위해계산하는확률값의사용은

- 29 - 제 1 관의조건이충족되고적시에제공되지않은이행에관한클레임만고려하는경우에 한하여아래각호의클레임에포함되는정보에허용된다. 1. 최종결정또는당분간집행가능하다고선언되는결정으로입증되었거나, 민사소송법 제 794 절에따라미확정권리가발행된경우 2. 지급불능법제 178 절에따라입증되고확인회의에서채무자가이의를제기하지않은경우 3. 채무자가명시적으로인정한경우 4. 아래각호의경우 a) 채무자가정식청구일이후 2 회이상서면최고를받았을경우 b) 1 차최고이후 4 주이상이경과된경우 c) 최소한 1 차최고에서신용보고기관의검토가능성을채무자에게사전에고지한경우 d) 채무자가클레임에이의를제기하지않은경우 5. 클레임의기반이되는계약관계는연체를이유로예고없이해지될수있으며, 채무자가 신용보고기관의검토가능성을고지받았을경우. 확률값의계산을비롯한처리의적법성과일반정보보호법에따라신용보고에적절한기타 정보는영향을받지않는다. 제 2 장 정보주체의권리 제 32 절 정보주체로부터개인정보를수집하는경우제공되는정보 (1) 규정 (EU) 2016/679, 제 13 조 (4) 의예외에덧붙여, 예정된추가사용에관한정보의 제공이아래각호에해당할경우, 규정 (EU) 2016/679, 제 13 조 (3) 에따라정보주체에정보를 제공할의무는적용하지않는다. 1. 아날로그형식으로저장되고컨트롤러가후속처리를통해정보주체에직접연락하는정보의후속처리와관계되고 ; 목적이규정 (EU) 2016/679 에따라정보가수집된최초목적에부합하고 ; 정보주체와의의사소통이디지털형태로이루어지지않고 ; 개별사례의정황을감안할때, 특히정보가수집된상황과관련하여정보를수령하는정보주체의이익이최소화된다고간주할수있는경우 2. 공공기구의경우, 규정 (EU) 2016/679 제 23 조 (1)(a) 내지 (e) 에언급되고컨트롤러가 담당하는업무의적절한이행을위태롭게하고, 정보를제공하지않는컨트롤러의이익이

정보주체의이익을능가하는경우 - 30-3. 공안이나질서를위태롭게하거나그밖에연방이나주복지를손상시키고정보를제공하지 않는컨트롤러의이익이정보주체의이익을능가하는경우 4. 법적주장의입증이나행사, 방어를방해할수있으며, 정보를제공하지않는컨트롤러의 이익이정보주체의이익을능가하는경우 5. 공공기구에대한정보의기밀전송을위태롭게할수있는경우. (2) 제 1 관에따라정보주체에정보가제공되지않을경우, 컨트롤러는규정 (EU) 2016/679 제 13 조 (1) 및 (2) 에언급되는정보를명확하고평이한언어로작성되고정밀하고투명하고이해하기쉽고손쉽게접근할수있는양식에제공하는조치를비롯하여정보주체의정당한이익을보호하는데적합한조치를취한다. 컨트롤러는정보를제공하지않는근거를서면으로명시한다. 제 1 및 2 문장은제 1 관, 4 호및 5 호의사례에적용하지않는다. (3) 제 1 관의사례에서일시적장애로인해통지가제공되지않을경우, 컨트롤러는장애의 존속이중지된후이주이내로적절한기한안에구체적인처리상황을참작하여정보를 제공할의무를준수한다. 제 33 절 정보주체로부터개인정보를입수하지않은경우제공되는정보 (1) 규정 (EU) 2016/679), 제 14 조 (5) 및제 29 조 (1), 제 1 문장의예외에덧붙여, 정보의 제공이아래각호에해당할경우, 규정 (EU) 2016/679, 제 14(1), (2) 및 (4) 에따라정보주체에 정보를제공할의무는적용하지않는다. 1. 공공기구의경우 a) 규정 (EU) 2016/679 제 23 조 (1)(a) 내지 (e) 에언급되고컨트롤러가 담당하는업무의적절한이행을위태롭게하는경우 b) 공안이나질서를위협하거나그밖에연방이나주에손해를끼치고, 이에따라정보를수령하는정보주체의이익이우선해서는안되는경우 2. 민간기구의경우 a) 법정주장의입증이나행사, 방어를방해하거나민법에따른계약정보가처리에포함되고 정보주체가정보를수령함에있어가장중요한정당한이익이있지않는한형사범죄의 피해를예방하는데사용되는경우 b) 담당공공기구가컨트롤러에대해정보의공개가공안이나질서를위태롭게하거나 연방이나주의복지를손상시킬수있다고판단하는경우, 법집행을위한정보처리의 경우에는제 1 문장에따른판단을하지않아도된다.

- 31 - (2) 제 1 관에따라정보주체에정보가제공되지않을경우, 컨트롤러는규정 (EU) 2016/679 제 14 조 (1) 및 (2) 에언급되는정보를명확하고평이한언어로작성되고정밀하고투명하고이해하기쉽고손쉽게접근할수있는양식에제공하는조치를비롯하여정보주체의정당한이익을보호하는데적합한조치를취한다. 컨트롤러는정보를제공하지않는근거를서면으로명시한다. (3) 정보의제공이공공기구가헌법의보호를위한기구나연방첩보국, 군사방첩국, 연방의 안보가피해를입을경우, 연방국방부의기타기구에개인정보를전송하는행위와관계가 있을경우, 해당제공은본기구의승인이있어야허용된다. 제 34 절 정보주체의열람권 (1) 제 27 조 (2), 제 28 조 (2) 및제 29 조 (1), 제 2 문장의예외에덧붙여, 아래각호의경우에는 규정 (EU) 2016/679 제 15 조에따른정보주체의열람권을적용하지않는다. 1. 제 33 조 (1), 1 호, 2 호 (b) 또는 (3) 에따라정보주체에통지할수없는경우 2. 정보가 a) 유지에관한법률또는법정규정으로인하여삭제될수없기때문에기록된경우 b) 정보보호를감시하거나정보를보호할목적에만사용되는경우 아울러정보의제공에부당한노력이소요되고적절한기술및조직대책으로인하여기타 목적을위한처리가불가능해지는경우. (2) 정보제공거부에대한근거는문서로기록한다. 결정의토대가되는법률및사실상의근거제공이정보제공을거부하기위한목적을훼손하지않는하, 정보제공거부에대한근거를정보주체에통지한다. 정보주체에정보를제공하고해당규정을작성할목적으로저장되는정보는본목적과정보보호감시의목적에만처리할수있다. 기타목적을위한처리는규정 (EU) 2016/679 제 18 조에따라제한된다. (3) 연방공공기구가정보주체에정보를제공하지않을경우, 해당정보는정보주체의요청에따라연방커미셔너에제공한다. 단, 담당최고연방기구가사안에따라연방이나주안보를위태롭게할수있다고판단하는경우에는예외로한다. 연방커미셔너가정보보호평가결과를정보주체에통지하는조치는정보주체가광범위한정보제공에동의하지않는한컨트롤러가보유하는정보에관한결론을허용하지않는다. (4) 정보주체가정보를파악할수있는정보를제공하고이를위한노력이정보에대한 정보주체의이익에비해부당하지않을경우에만자동화및비자동화양식으로공공기구가 처리하고제출시스템에저장되는개인정보에관한정보에대한권리를갖는다.

- 32 - 제 35 절 삭제권 (1) 비자동화데이터처리삭제가불가능하거나특정저장양식으로인해부당한노력을수반할수있으며삭제에대한정보주체의이익이최소이익으로간주될수있는경우, 정보주체는삭제권을보유할수없으며, 컨트롤러는규정 (EU) 2016/679 제 17 조 (3) 에제시되는예외에덧붙여규정 (EU) 2016/679 제 17 조 (1) 에따라개인정보를삭제할의무를지지않는다. 이경우에는삭제를대신하여규정 (EU) 2016/679 제 18 조에따른처리의제한을적용한다. 개인정보가불법적으로처리된경우에는제 1 및 2 문장을적용하지않는다. (2) 컨트롤러가삭제가정보주체의정당한이익에불리한영향을미친다고판단할근거가있을경우규정 (EU) 2016/679 제 18 조 (1)(b)(c) 에덧붙여, 제 1 및제 2 문장은규정 (EU) 2016/679 제 17 조 (a) 및 (d) 의경우그에따라적용한다. 컨트롤러는처리가불가능하거나부당한노력을수반하지않을경우정보주체에처리의제한을통지한다. (3) 규정 (EU) 2016/679 제 17 조 (3)(b) 에덧붙여, 삭제가법령이나계약에서정한보유기간에 저촉될경우제 1 관은규정 (EU) 2016/679 제 17 조 (1) 에서그에따라적용한다. 제 36 절 이의권 긴급한처리의공익이정보주체의이익을능가하거나처리가법률로정해진경우, 공공기구에대해규정 (EU) 2016/679 제 21 조 (1) 에따른이의권은적용하지않는다. 제 37 절 프로파일링을비롯한자동개별의사결정 (1) 규정 (EU) 2016/679 제 22 조 (2)(a) 및 (c) 에부여되는예외에덧붙여, 보험계약에따라제공되는서비스에대해결정이내려지고아래각호에해당하는경우에는전적으로자동처리를토대로하는결정이적용되지않고규정 (EU) 2016/679 제 22 조 (1) 에따른권리는적용하지않는다. 1. 정보주체의요청이이행된경우 2. 결정이치료보수에대해구속력있는규칙의적용을토대로하고요청이정식으로인정되지않을경우정보주체의정당한이익, 적어도컨트롤러측의인적개입을구하고본인의관점을표현하고결정에이의를제기할수있는권리를보호하기위해컨트롤러가적절한조치를취하는경우. 컨트롤러가적절한보호조치를취하는경우. (2) 제 1 관에따른결정은규정 (EU) 2016/679 제 4 조, 15 호에언급되는건강정보의 처리를토대로할수있다. 컨트롤러는제 22 절 (2), 제 2 문장에따라정보주체의이익을 보호하는데적합하고구체적인보호조치를취한다.

- 33 - 제 3 장 컨트롤러및프로세서의의무 제 38 절 민간기구의 DPO(Data protection officer) (1) 규정 (EU) 2016/679 제 37 조 (1)(b) 및 (c) 에덧붙여, 컨트롤러및프로세서는개인정보의자동처리를취급하는인원을대체로 10 인이상지속적으로고용하는경우 DPO 를지명한다. 컨트롤러나프로세서가규정 (EU) 2016/679 제 35 조에따라개인정보영향평가가적용되는처리를실시하거나전송이나전송익명화, 시장이나여론조사를위해개인정보를상업적으로처리하는경우, 처리에고용되는인원에관계없이 DPO 를지명한다. (2) 제 6 절 (4), (5), 제 2 문장및 (6) 을적용하되, DPO 임명이의무사항인경우에만 제 6 절 (4) 를적용한다. 제 39 절 지정 규정 (EU) 2016/679 제 43 조 (1), 제 1 문장에따라인증기구로활동할수있는권한은독일인증지정기관의지정을토대로인증기구의정보보호감독을담당하는연방이나주감독기구에서부여한다. 인증지정기관법제 2 절 (3), 제 2 문장, 제 4 절 (3) 및제 10 절 (1), 제 1 문장, 3 호는정보보호가제 1 조 (2), 제 2 문장의범위에해당하는조건에따라적용한다. 제 4 장 민간기구의정보처리에대한감독기구 제 40 절 주감독기구 (1) 주법에따른기관은규정 (EU) 2016/679 의범위안에서민간기구가적용하는 정보보호법을감시한다. (2) 이에따라컨트롤러나프로세서가독일에서 1 개이상의시설을보유하는경우에는소관감독기구를판단함에있어규정 (EU) 2016/679 제 4 조, 16 호를적용한다. 한곳이상의기관이소관기구이거나아니라고판단하거나기타이유때문에소관이명확하지않은경우, 감독기구는제 18 절 (2) 에따라공동결정을내린다. 행정절차법제 3 절 (3) 및 (4) 는그에따라적용한다. (3) 감독기구는감독목적에만저장된정보를처리할수있다. 감독기구는이를위해타 감독기구에정보를전송할수있다. 아래각호의경우에는규정 (EU) 2016/679 제 6 조에 덧붙여다른목적을위한처리를허용한다.

- 34-1. 명백하게정보주체에이익이되고정보주체가기타목적을숙지한다면동의를거부한다고 가정할근거가없을경우 2. 공익에대한심대한피해나공안에대한위협을방지하거나공익의실질적관심사를 보호하기위해처리가필요한경우 3. 형사또는행정범죄를기소하거나형법제 11 절 (1), 8 호에언급되는처벌이나조치, 또는 소년법원법에언급되는조치를수행또는집행하거나벌금을집행하는데처리가필요한경우 정보보호법이위반되었다고판단되는경우, 감독기구는관련정보부체에이를고지하고기소나처벌을담당하는타기구에위반을보고하고, 중대한위반의경우, 무역산업법에따라조치를취하도록무역감독기구에이를통지한다. 제 13 절 (4), 제 4 내지 7 문장은그에따라적용한다. (4) 감시대상인기구및기구의관리는담당하는자는감독기구의요청시업무수행에필요한정보를제공한다. 정보를제공해야하는자는본인또는민사소송절차법제 383 절 (1) 1 내지 3 호에언급되는친척이형사소추또는행정범죄법에따른소송절차의위험에처할수있는질의에대한답변을거부할수있다. 정보를제공해야하는자에대해서는그에따라통지한다. (5) 감독기구가정보보호법의준수를감시하기위해지정하는자는업무를수행하는데 필요한경우기구의재산및부지에출입하여정보처리장비및수단일체에접근할수있다. 동기구는해당접근을용인할의무가있다. 제 16 절 (4) 은그에따라적용한다. (6) 감독기구는전형적요구의준수를위한조언및지원을 DPO 에제공한다. DPO 가업무를 이행하는데필요한전문지식이없거나규정 (EU) 2016/679 제 38 조 (6) 에언급하는대로 중대한이해의상충이있을경우, 감독기구는 DPO 의해고를요구할수있다. (7) 무역규제법의적용은영향을받지않는다. 제 5 장 처벌 제 41 절 형사소송및행정벌금부과절차에관한규정의적용 (1) 동법이별도로규정하지않는한, 행정범죄법의규정은규정 (EU) 2016/679 제 83 조 (4) 내지 (6) 에따라위반에적용한다. 행정범죄법제 17 절, 35 절및 36 절은적용하지않는다. 행정범죄법제 68 절은지역법원이행정벌금이일십만유로를초과하는지판정한다는조건에따라적용한다. (2) 동법이별도로규정하지않는한, 행정범죄법과형사절차에관한일반법, 즉형사소송법

- 35 - 및사법에관한법률의규정은위반에대한소송절차에대해규정 (EU) 2016/679 제 83 조 (4) 내지 (6) 에따라적용한다. 행정범죄법제 56 절내지 58 절, 제 87 절, 제 88 절, 제 99 절및 제 100 절은적용하지않는다. 행정범죄법제 69 절 (4), 제 2 문장은검찰청이벌금을부과하는 행정결정을발부한감독기구의승인이있어야소송절차를중단할수있다는사실을조건으로 적용한다. 제 42 절 형벌규정 (1) 일반에공개되지않는다양한개인의개인정보에대해상업적목적으로고의및무단으로 실행되는아래의행위는 3 년이하의징역이나벌금에처한다. 1. 제 3 자에대한정보전송 2. 그밖에해당정보의제공. (2) 일반에공개되지않는개인정보에대해유상으로또는본인이나타인을부유하게만들거나타인을가해할의도로실행되는아래의행위는 2 년이하의징역이나벌금에처한다. 1. 무단처리 2. 부당한취득. (3) 해당범죄는고발장이제출되는경우에만기소한다. 정보주체와컨트롤러, 연방커미셔너, 감독기구는고발장을제출할수있다. (4) 규정 (EU) 2016/679 제 33 조에따른통지나규정 (EU) 2016/679 제 34 조 (1) 에따른통신문은통지나통신문을제공해야하는자의동의하에서만통지나통신문을제공해야하는자, 또는형사소송법제 52 절 (1) 에언급되는친척을상대로하는형사소송에서사용할수있다. 제 43 절 행정벌금에관한규정 (1) 고의나과실에의해아래각호에가담하는행위는행정범죄로간주한다. 1. 정보요청을적절히처리하지않는제 30 절 (1) 의위반 2. 소비자에고지하지않거나고지가부정확하거나미비하거나지연되는제 30 절 (2) 의위반.

- 36 - (2) 행정범죄는오만유로이하의벌금에처할수있다. (3) 제 2 절 (1) 에언급되는기구및기타공공기구는행정벌금의대상이되지않는다. (4) 규정 (EU) 2016/679 제 33 조에따른통지나규정 (EU) 2016/679 제 34 조 (1) 에따른통신문은통지나통신문을제공해야하는자의동의하에서만통지나통신문을제공해야하는자, 또는형사소송법제 52 절 (1) 에언급되는친척을상대로행정범죄법에따라제기되는소송절차에서사용할수있다. 제 6 장 법적구제책 제 44 절 컨트롤러또는프로세서에대한소송절차 (1) 정보주체는컨트롤러나프로세서가설립되는장소에소재하는법원에규정 (EU) 2016/679 의범위속하는정보보호법위반이나해당규정에포함되는정보주체의권리에대해컨트롤러나프로세서를상대로제기되는소송절차를제기할수있다. 제 1 문장에따른소송절차는정보주체가관습적으로거주하는장소에소재하는법원에도제기할수있다. (2) 제 1 관은주권행사를대행하는공공기구를상대로하는소송절차에적용하지않는다. (3) 아울러컨트롤러나프로세서가규정 (EU) 2016/679 제 27 조 (1) 에따라대리인을지정한 경우, 본대리인은제 1 관에따라민사소송절차의유권수령인으로한다. 민사절차법 제 184 절은영향을받지않는다. 제 3 편 지침 (EU) 2016/680 제 1 조 (1) 에따른목적을위한처리에적용되는시행규정 제 1 장 개인정보처리범위와정의, 일반원칙 제 45 절 범위 동편의규정은형사범죄나행정범죄의예방이나수사, 적발, 기소또는형사또는행정처벌의집행을관할하는공공기구가본업무를수행할목적으로정보를처리하는경우해당기구의개인정보처리에적용된다. 이경우공공기구는컨트롤러로간주한다. 제 1 문장에언급되는형사범죄의예방에는공안위협에대한보호및이의예방이포함된다. 제 1 및 2 문장은처벌이나형법제 11 절 (1), 8 호에언급되는조치, 소년법원법에언급되는교육또는

- 37 - 징계조치, 벌금의집행을담당하는공공기구에도적용한다. 동편이프로세서에대한규정을 포함하는경우, 이는공공기구에도적용한다. 제 46 절 정의 동법의목적을위하여 1. 개인정보 ' 는신원이확인되었거나확인할수있는자연인 ( 이하정보대상이라함 ) 에관한일체의정보를의미한다. 신원을확인할수있는자연인은직접또는간접적으로특히이름이나식별번호, 위치정보, 온라인식별자, 또는해당개인의신체나생리, 유전자, 정신, 경제, 문화, 사회적정체성에국한된 1 개이상의요인을참조하여신원을확인할수있는자이다. 2. 처리 는자동수단의사용여부에관계없이수집이나기록, 조직, 구성, 저장, 개조, 변경, 검색, 협의, 사용, 전송을통한공개, 배포, 기타제공, 조화, 결합, 제한, 삭제, 파괴와 같이개인정보또는개인정보조합에수행되는모든조작이나조작조합을의미한다. 3. 처리제한 ' 은향후처리를제한할목적으로저장된개인정보에표시하는행위를 의미한다. 4. 프로파일링 은자연인에관한특정한개인적측면을평가하기위해, 특히자연인의근무성과나경제상황, 건강, 개인의선호도, 관심, 신뢰도, 행동, 위치, 이동에관한측면을분석및예측하기위해사용되는해당정보가포함되는개인정보의자동처리형태를의미한다. 5. 가명처리 는추가정보를별도로보관하고신원이확인되었거나신원이확인될수있는자연인의비귀속을보장하기위한기술및조직대책을적용할경우해당추가적정보를사용하지않는한정보가특정정보주체에귀속될수없는방식으로이루어지는개인정보의처리를의미한다. 6. 제출시스템 은기능이나지역을토대로한중앙이나분권, 분산시스템에관계없이 특정기준에따라접근가능한체계화된개인정보의집합을의미한다. 7. 컨트롤러 는단독으로또는타인과공동으로개인정보의처리목적과수단을 판단하는자연인이나법인, 공공기구, 기관또는기타기구를의미한다. 8. 프로세서 는컨트롤러를대신하여개인정보를처리하는자연인이나법인, 공공기구, 기관또는기타기구를의미한다. 9. 수령인 은제 3 자여부를불문하고개인정보가공개되는자연인이나법인, 공공기구, 기관또는기타기구를의미한다. 단, 유럽연합법률이나기타법률에따라특정조사의구조안에서개인정보를수신할수있는공공당국은수령인으로간주할수없다. 해당공공당국이처리하는본정보는처리목적에따라적용되는정보보호규칙을준수해야한다.

- 38-10. 자연인침해 ' 는개인정보에우발적이거나불법적인파기나손실, 개조, 무단공개, 접근을초래하는보안침해를의미한다. 11. 유전자정보 는자연인의생리또는건강에관한고유의정보를제공하고특히해당 자연인의생물검체분석에서생성되는선천적이거나후천적인유전특성에관한개인 정보를의미한다. 12. ' 생체측정정보 ' 는안면영상이나지문정보와같이자연인고유의식별을허용또는 확인하는해당자연인의신체, 생리, 행동특성에관한특정기술처리로발생하는모든개인 정보를의미한다. 13. 건강관련정보 ' 는의료서비스제공을비롯하여자연인의건강상태에관한정보를 나타내는해당개인의신체또는정신건강에관한개인정보를의미한다. 14. 민감정보 a) 출신인종이나민족, 정견, 종교나철학적신념, 노조가입을공개하는정보 b) 유전자정보 c) 자연인을고유하게식별하기위한생체측정정보 d) 건강관련정보 e) 자연인의성생활이나성적지향에관한정보 15. 감독기구 ' 는지침 (EU) 2016/680 제 41 조에따라회원국이설립하는독자적인 공공기구를의미한다. 16. 국제기구 ' 는공공국제법이준용되는조직및산하기구, 또는 2 개이상의국가간에 체결하는협정을통하거나이를기반으로설립되는기타모든기구를의미한다. 17. 동의 는특정사례에서정보주체가진술이나명확한찬성행위를통해본인에관한 개인정보처리에대해동의를표시하는정보주체의의사에대해자유의사로제공되고 구체적이며정보에입각한명백한표시를의미한다. 제 47 절 개인정보처리의일반원칙 개인정보는 18. 적법하고공정하게처리한다. 19. 구체적이고명시적이며정당한목적을위해수집하며해당목적에저촉되는방식으로 처리해서는안된다.

- 39-20. 처리목적과관련하여적절하고타당하며과도하지않아야한다. 21. 정확하고, 필요에따라업데이트되는정보 ; 부정확한개인정보는처리목적을참작하여 지체없이삭제또는시정되도록하는데합당한일체의조치를취해야한다. 22. 개인정보가처리되는목적에필요한기간을초과하지않는한도안에서정보주체의 식별을허용하는형태로보관해야한다. 23. 무단또는불법처리와우발적손실이나파기, 손해에대한보호를비롯하여적합한기술 및조직적조치를이용하여개인정보의적절한보안을보장하는방식으로처리해야한다.

- 40 - 제 2 장 개인정보처리에대한법적근거 제 48 절 민감정보의처리 (1) 민감정보의처리는컨트롤러의업무이행에반드시필요한경우에만허용된다. (2) 민감정보를처리하는경우에는적법하게보호되는정보주체의이익에적합한보호조치를 실행한다. 적절한보호조치는특히아래에해당할수있다. 1. 정보보안이나정보보호감시에적용되는구체적인요건 2. 정보의적정성및삭제를검토해야하는특수시한 3. 처리업무에관여하는직원의인식을제고하기위한조치 4. 컨트롤러내부에속하는개인정보에대한접근제한 5. 해당정보의별도처리 6. 개인정보의가명처리 7. 개인정보의암호화 8. 기타목적을위한전송이나처리의경우적법한처리를보장하기위한구체적인행동규약. 제 49 절 기타목적을위한처리 기타목적이제 45 조에열거된목적에속하고컨트롤러가본목적을위해정보를처리할수있으며이의처리가본목적에필요하고비례하는경우개인정보가수집된목적을제외한목적에개인정보를처리할수있다. 법률로허용할경우제 45 조에기재되지않은기타목적을위한개인정보처리를허용한다. 제 50 절 보관, 과학및통계목적을위한처리 공익에부합하고적법하게보호되는정보주체의이익에적합한보호조치가실행되는경우개인정보는보관이나과학, 통계양식으로작성하여제 45 절에기재되는목적을위해처리할수있다. 해당보호조치는가급적신속한개인정보의익명화와제 3 자에대한무단공개예방을위한조치, 또는이를처리함에있어기타업무와조직및공간적으로분리하는조치로구성될수있다.

- 41 - 제 51 절 동의 (1) 법률에따라동의를토대로개인정보를처리할수있는경우, 컨트롤러는정보주체의동의 증빙을제시할수있어야한다. (2) 기타사안과도관련이있는서면선언의맥락에서정보대상의동의가제공되어야하는 경우에는이해하기쉽고손쉽게접근할수있는양식으로명확하고평이한문구를사용하여 기타사안과명확하게구분되는방식으로작성한동의의뢰서를제출해야한다. (3) 정보주체는언제든지동의를철회할권리가있다. 동의의철회는철회이전에동의를 기반으로하는처리의적법성에영향을미치지않는다. 동의를제공하기전에정보주체에 이를고지한다. (4) 동의는정보주체의자유로운결정을토대로하는경우에만발효된다. 동의가자유의사로제공되었는지평가할때는, 동의가제공된상황을고려해야한다. 처리에예정된목적은정보주체에고지한다. 개별사안에서필요하거나요청이있을경우에는동의보류의결과도정보주체에고지한다. (5) 민감정보를처리하는경우, 동의는본정보를명시적으로언급해야한다. 제 52 절 컨트롤러의지시에따른처리 컨트롤러나프로세서의권한에따라개인정보에접근하는자는누구든지법률로의무화하지 않는한컨트롤러의지시없이이를처리할수없다. 제 53 절 기밀유지 정보처리에고용되는자는무단으로개인정보를처리할수없다 ( 기밀유지 ). 해당개인은 직무를이행함에있어기밀을유지할의무가있다. 기밀유지의무는고용이종료된이후에도 존속한다. 제 54 절 자동개별결정 (1) 정보주체에관하여불리한법적효과를초래하거나정보주체에상당한영향을미치는 자동처리만을토대로하는결정은법률로허가하는경우에만허용한다. (2) 제 1 관에언급되는결정은법률로보호하는정보주체의정당한이익을보호하는데

- 42 - 적합한조치가시행되지않는한민감정보를기반으로해서는안된다. (3) 민감정보를토대로자연인에차별을초래하는프로파일링은금지한다. 제 3 장 정보주체의권리 제 55 절 정보처리에관한일반정보 컨트롤러는아래각호에관한일반및공개정보를제공한다. 1. 처리의목적 2. 개인정보의처리와관련하여열람이나수정, 삭제, 처리제한에대한정보주체의권리 3. 컨트롤러및 DPO 의이름및연락처 4. 연방커미셔너에고발장을제출할권리 5. 연방커미셔너의연락처. 제 56 절 정보주체의통지 (1) 개인정보처리를정보주체에통지하는조치를특별법으로규정하거나요구하는경우, 특히비밀작전을수행하는경우, 해당통지는최소한아래정보를포함한다. 1. 제 55 절에기재된정보 2. 처리의법적근거 3. 개인정보가저장되는기간, 또는이것이여의치않을경우해당기간을판단하는데 사용되는기준 4. 개인정보의수령인범주 5. 특히정보주체가숙지하지못하는상태로개인정보가수집된경우필요한추가정보. (2) 제 1 관의경우, 컨트롤러는아래각호가위협을받거나이러한위협을방지하는이익이 정보에대한정보주체의이익에우선하는경우통지를연기, 제한또는자제할수있다. 1. 제 45 절에기재된업무의이행 2. 공안

- 43-3. 법률로보호되는제 3 자의이익.. (3) 통지가헌법의보호를위한기구나연방첩보국, 군사방첩국, 연방의안보가피해를입을경우, 연방국방부의기타기구에개인정보를전송하는행위와관계가있을경우, 해당통지는본기구의승인이있어야허용된다. (4) 제 2 관에따른제한의경우에는제 57 절 (7) 을적용한다. 제 57 절 열람권 컨트롤러는정보주체의요청시해당정보주체에관한정보의처리여부를고지한다. 아울러 정보주체는아래각호에관한정보에대한권리도갖는다. 1. 처리되는개인정보및해당정보의범주 2. 정보출처에관하여제공되는정보 3. 처리의목적및법적근거 4. 정보가공개된수령인이나수령인의범주, 특히제 3 국수령인 5. 정보가저장되는기간, 또는이것이여의치않을경우해당기간을판단하는데사용되는 기준 6. 정보의수정권이나삭제권, 또는컨트롤러의정보처리제한에대한권리의존재 7. 제 60 절에따라연방커미셔너에고발장을제출할권리 8. 연방커미셔너의연락처. (2) 정보제공에부당한노력이필요하고적절한기술및조직대책이기타목적을위한처리를불가능하게만드는경우, 보유에관한법률이나법정규정으로인하여삭제할수없다는이유만으로, 또는정보보호를감시하거나정보를보호하는목적에한하여기록되는개인정보에대해서는제 1 관을적용하지않는다. (3) 정보주체가데이터를파악할수있는정보를제공하지않거나이에따라소요되는노력이 정보에대한정보주체의이익에비해부당한경우에는정보를제공하지않는다. (4) 제 56 조 (2) 의조건에의거하여, 컨트롤러는제 1 관, 제 1 문장에따른정보의제공을 생략하거나제 1 관제 2 문장에따른정보의제공을전부또는일부제한할수있다. (5) 정보의제공이헌법의보호를위한기구나연방첩보국, 군사방첩국, 연방의안보가피해를

- 44 - 입을경우, 연방국방부의기타기구에개인정보를전송하는행위와관계가있을경우, 해당 제공은본기구의승인이있어야허용된다. (6) 컨트롤러는접근거부나제한은정보주체에서면으로지체없이통지한다. 본정보의제공이제 56 절 (2) 에언급되는위협을수반하는경우에는이를적용하지않는다. 제 1 문장에따른통지에는거부나제한사유가접근거부나제한에예정된목적을저해하지않는한해당사유가포함된다. (7) 제 6 관에따라접근거부나제한을정보주체에통지하는경우, 정보주체는연방커미셔너를통해본인의열람권을행사할수도있다. 컨트롤러는이같은가능성을정보주체에고지하며, 정보주체는제 60 절에따라연방커미셔너에고발장을제출하거나사법구제를구할수있다. 정보주체가제 1 문장에따라본인의권리를행사하는경우, 정보주체의요청시연방커미셔너에정보를제공한다. 단, 담당최고연방기구가개별사안에서연방이나주안보를위협한다고판단하는경우에는예외로한다. 연방커미셔너는최소한필요한검사가모두수행되었거나연방커미셔너가검토를수행하였다는사실을정보주체에고지한다. 본통지에는정보보호법의위반의확인여부에대한정보가포함될수있다. 연방커미셔너가정보주체에통지하는조치는정보주체가광범위한정보제공에동의하지않는한컨트롤러가보유하는정보에관한결론을허용하지않는다. 컨트롤러는제 4 관에따라정보를생략또는제한할수있는경우에만해당제공을거부할수있다. 아울러연방커미셔너는사법구제권을정보주체에고지한다. (8) 컨트롤러는결정의근거가되는사실이나법적근거를문서로기록한다. 제 58 절 수정및삭제와처리제한에대한권리 (1) 정보주체는본인에관한부정확한정보의수정을컨트롤러에지체없이요구할권리를갖는다. 특히진술이나평가의경우, 정확성문제는진술이나평가의내용과무관하다. 정보의정확성이나부정확성을확인할수없는경우, 컨트롤러는정보를삭제하는대신처리를제한한다. 이경우, 컨트롤러는처리제한을폐지하기전에정보주체에이를고지한다. 아울러정보주체는처리의목적을고려할때적절한경우, 미비한개인정보의작성을요구할수있다. (2) 본인에관한개인정보의처리가불법이거나정보의숙지가업무수행에필요없거나, 법적 의무를준수하기위해정보를삭제해야하는경우, 정보주체는지체없이해당정보의삭제를 컨트롤러에요구할권리가있다. (3) 아래각호의경우컨트롤러는삭제대신에처리를제한할수있다. 1. 삭제가정보주체의정당한이익에악영향을줄수있다고가정할근거가있는경우 2. 제 45 절의목적에부응하는소송절차의증거를위해정보를보관해야하는경우 3. 특정보관방식으로인해삭제가불가능하거나부당한노력이수반되는경우.

- 45 - 제 1 문장에따라처리가제한되는정보는삭제를방지한목적을위해서만처리할수있다. (4) 자동제출시스템에서기술대책은처리의제한을명확히인정할수있고기타목적을 위한처리는추가검토없이불가능하도록해야한다. (5) 컨트롤러는부정확한데이터를수정한경우, 본인이개인정보를수령한기구에수정사실을통지한다. 제 1 관내지 3 관에따른수정이나삭제, 처리의제한시, 컨트롤러는정보가전송된수령인에게본조치를고지한다. 수령인은정보를수정또는삭제하거나처리를제한한다. (6) 컨트롤러는개인정보를수정또는삭제하거나이의처리를제한하는조치의거부를정보주체에서면으로고지한다. 본정보의제공이제 56 절 (2) 에언급되는위협을수반하는경우에는이를적용하지않는다. 제 1 문장에따른정보에는거부나제한사유가접근거부나제한에예정된목적을저해하지않는한해당사유가포함된다. (7) 제 57(7) 및 (8) 은그에따라적용한다. 제 59 절 정보주체의권리행사양식 (1) 컨트롤러는명확하고평이한언어를이용하여간결하고이해하기쉬우며쉽게접근할수 있는양식으로정보주체와연락한다. 특수형식요건에관계없이, 요청에대응할때, 컨트롤러는요청과동일한양식에정보를제공한다. (2) 컨트롤러는요청에대응할때, 제 57 절 (6) 및제 58 절을침해하지않고 정보주체의요청시후속조치를지체없이서면으로통지한다. (3) 제 55 절에따라제공되는정보와제 56 절및 66 절에따라작성되는통신문, 제 57 절및 58 절에따라처리되는요청은무료로한다. 제 57 절및 58 절에따른요청이근거가없고과도한것이명백한경우, 컨트롤러는행정비용을토대로합리적수수료를청구하거나요청에따른조치를거부할수있다. 이경우컨트롤러는근거가없거나과도한것이명백한요청의성격을입증할수있어야한다. (4) 컨트롤러가제 57 절또는 58 절에따라요청을제출하는정보주체의신원에관하여 합리적의심이생길경우, 컨트롤러는정보부체의신원을확인하는데필요한추가적정보의 제공을요청할수있다. 제 60 절 연방커미셔너에고발장을제출할권리 (1) 공공기구가제 45 절에기재되는목적을위하여본인에관한개인정보를처리하는행위가 본인의권리를침해한다고판단되는경우, 모든정보주체는기타행정또는사법구제책을

- 46 - 침해하지않고연방커미셔너에고발장을제출할권리가있다. 법원이사법활동의상황에서 개인정보를처리한경우이는해당정보의처리에적용하지않는다. 연방커미셔너는고발의 경과및결과와제 61 절에따른사법구제의가능성을정보주체에고지한다. (2) 유럽연합타회원국에소재하는소관감독기구를대신하여연방커미셔너에처리에관한고발장이제출되는경우, 연방커미셔너는지체없이소관감독기구에고발장을전달한다. 이경우연방커미셔너는고발장의전달을정보주체에고지하고정보주체의요청시추가지원을제공한다. 제 61 절 연방커미셔너의결정이나조치불이행에대한법적구제책 (1) 모든자연인이나법인은기타법적구제책을침해하지않고연방커미셔너의법적구속력 있는결정을상대로법적조치를취할권리가있다. (2) 연방커미셔너가제 60 절에따라고발을처리하지않거나삼개월안에고발의경과나 결과를정보주체에고지하지않을경우, 제 1 관은이에따라정보주체에적용한다. 제 4 장 컨트롤러및프로세서의의무 제 62 절 컨트롤러를대행한처리 (1) 타인이나기구가컨트롤러를대신하여개인정보를처리하는경우, 컨트롤러는동법의 규정및기타정보보호법의준수를보장한다. 정보주체는접근과수정, 삭제, 처리제한및 보상을받을권리를컨트롤러에주장한다. (2) 컨트롤러는처리가법률의요건에부합하고정보주체의권리를보호하는방식으로 적절한기술및조직대책을시행할수있는보증을제공하는프로세서만이용할수있다. (3) 프로세서는컨트롤러의사전서면허가없이타프로세서를고용할수없다. 컨트롤러가기타프로세서를고용할일반인가를프로세서에제공한경우, 프로세서는기타프로세서의추가나교체에관하여예정된변동을프로세서에고지한다. 이경우, 컨트롤러는해당변동에반대할수있다. (4) 프로세서가타프로세서를고용하고컨트롤러와프로세서간에체결하는계약에명시되는의무가기타법률로인하여후자에이미구속력을갖지않을경우, 전자는제 5 관에언급하는대로해당의무와동일한정보보호의무를후자에부과한다. 기타프로세서가본의무를이행하지않을경우, 일차프로세서는기타프로세서의의무이행에대해프로세서에전적인책임을져야한다.

- 47 - (5) 프로세서의처리는컨트롤러와관련하여프로세서에구속력을갖고처리의주제및 기간과처리의성격및목적, 개인정보의유형및정보주체의범주, 컨트롤러의의무및 권리를명시하는계약이나기타법률증서를준용한다. 계약이나기타법률증서는특히 프로세서에대해아래와같이규정한다. 1. 컨트롤러의지시에따라서만조치를취한다. 프로세서는증서가불법이라고판단되는경우 지체없이컨트롤러에고지한다. 2. 개인정보를처리하도록인가된자가기밀유지의무를확약하고적절한기밀유지의법정 의무를준수한다. 3. 정보주체의권리에관한규정의준수를보장하는데적절한수단으로컨트롤러를보좌한다. 4. 컨트롤러의재량에따라, 정보처리서비스제공이종료된후개인정보일체를삭제하거나 컨트롤러에반환하고, 법률상개인정보의보관이필요한경우를제외하고기존의사본을 삭제한다. 5. 본의무의준수를증명하는데필요한일체의정보, 특히제 76 절에따라보관되는일지를 컨트롤러에제공한다. 6. 컨트롤러나컨트롤러가위임하는타감사가수행하는감사를허용하고이에기여한다. 7. 타프로세서고용에대해제 3 관및 4 관에언급되는조건을준수한다. 8. 제 64 절에따라필요한일체의조치를취한다. 9. 처리의성격과프로세서에제공되는정보를참작하여제 64 절내지 67 절, 69 절에따라 의무의준수를보장함에있어컨트롤러를보좌한다. (6) 제 5 관에언급되는계약은서면이나전자양식으로작성한다. (7) 본규정을위반하여처리의목적및수단을결정하는프로세서는해당처리와관련하여 컨트롤러로간주한다. 제 63 절 공동컨트롤러 컨트롤러 2 인이상이처리의목적및수단을공동으로판단하는경우이들은공동컨트롤러로간주한다. 공동컨트롤러는정보보호법에따라각업무및책임을계약에서투명하게정한다. 단, 본업무와책임을법률로이미정한경우에는예외로한다. 특히, 본계약은정보의무를준수해야하는주체, 및정보주체가권리를행사할수있는방식및대상을적시해야한다. 해당계약은공동컨트롤러각자를대상으로권리를주장할수있는정보주체의권리를방해할수없다. 제 64 절

- 48 - 정보처리보안요건 (1) 컨트롤러와프로세서는최신기술과실행비용, 처리의성격과범위, 상황및목적뿐아니라법적으로보호를받는자연인의이익에대한위험의다양한가능성및심각도를고려하여개인정보를처리할때, 특히민감정보의처리에대한위험에적합한보안수준을보장하는데필요한기술및조직조치를실행한다. 이과정에서컨트롤러는관련기술지침과연방정보보안처의권고를참작한다. (2) 제 1 관에언급되는조치에는처리의목적을고려하여가능할경우개인정보의 가명처리와암호화가포함될수있다. 제 1 관에따른조치는아래각호를보장해야한다. 1. 처리와관련하여지속되는처리시스템및서비스의기밀성과무결성, 가용성, 복원력 2. 실제또는기술사고가발생할경우개인정보의가용성과접근을신속하게복원할수있는 능력. (3) 자동처리에대해, 컨트롤러와프로세서는위험의평가이후아래목적을위한조치를 실행한다. 1. 처리에사용되는처리장비에대한비인가자접근을거부한다 ( 장비접근통제 ) 2. 데이터매체의무단판독, 복사, 수정, 삭제를방지한다 ( 데이터매체통제 ). 3. 개인정보의무단입력및저장된개인정보의무단검사, 수정또는삭제를방지한다 ( 저장 통제 ). 4. 정보통신장비를이용한비인가자의자동처리시스템사용을방지한다 ( 사용자통제 ). 5. 자동처리시스템을사용하도록인가되는자는접근허가가적용되는개인정보에만 접근하도록한다 ( 정보접근통제 ). 6. 정보통신장비를이용하여개인정보가전송또는제공되었거나전송또는제공될수있는 기구를확인및입증할수있도록한다 ( 통신통제 ). 7. 추후자동처리시스템에입력되는개인정보와개인정보를입력한주체를확인및입증할 수있도록한다 ( 입력통제 ). 8. 개인정보를전송하거나데이터매체를전송하는동안개인정보의기밀성및무결성을 보호한다 ( 전송통제 ). 9. 설치된시스템이중단되는경우복원되도록한다 ( 복원 ). 10. 전체시스템기능이실행되고기능에나타나는고장이보고되도록한다 ( 신뢰성 ). 11. 저장된개인정보가시스템의오작동으로훼손되지않도록한다 ( 무결성 ).

- 49-12. 컨트롤러를대신하여처리되는개인정보가컨트롤러의지침에따라서만처리되도록 한다 ( 처리통제 ). 13. 개인정보의손실및파기가보호되도록한다 ( 가용성통제 ). 14. 다양한목적으로수집되는개인정보가별도로처리되도록한다 ( 분리성 ). 제 1 문장, 2 내지 5 호에따른목적은특히최신암호화를이용하여달성할수있다. 제 65 절 연방커미셔너에통지되는개인정보침해 (1) 컨트롤러는개인정보침해를숙지하는즉시가급적이를숙지한후 72 시간안에연방커미셔너에지체없이통지한다. 단, 개인정보침해가법적으로보호되는자연인의이익에대한위험을초래할가능성이없는경우에는예외로한다. 72 시간안에연방커미셔너에통지되지않은경우에는지연사유를통지에동봉한다. (2) 프로세서는개인정보침해를컨트롤러에지체없이통지한다. (3) 제 1 관에언급되는통지에는최소한아래정보가포함된다. 1. 가급적관련정보주체의범주및개략적인원과관련개인정보기록의범주와개략적 수치를비롯하여개인정보침해의성격에관한기술 ; 2. DPO 의이름및연락처또는다양한정보를입수할수있는기타연락처. 3. 개인정보침해에예상되는결과의기술 4. 가능한악영향을완화하기위한조치를비롯하여개인정보침해를해결하기위해 컨트롤러가취하거나제안하는조치의기술. (4) 제 3 관에따른정보를통지에제공할수없는경우, 컨트롤러는가급적조속히본정보를 제공한다. (5) 컨트롤러는개인정보침해를문서로기록한다. 본문서는개인정보침해에관한일체의 사실과영향, 이에대해실시된구제조치가포함된다. (6) 컨트롤러와유럽연합의타회원국간에전송된개인정보가개인정보침해에포함되는 경우, 제 3 관에언급되는정보는해당회원국컨트롤러에지체없이전달한다. (7) 제 42 절 (4) 은그에따라적용한다. (8) 개인정보침해통지에관한컨트롤러의추가의무는영향을받지않는다. 제 66 절

- 50 - 개인정보침해로피해를입는정보주체에대한통지 (1) 개인정보침해가법적으로보호를받는자연인의이익에상당한위험을초래할수있는 경우, 컨트롤러는개인정보침해를정보주체에지체없이통지한다. (2) 제 1 관에따른정보주체의통지는개인정보침해의성격을명확하고평이한언어로 기술하고최소한제 65 절 (3) 제 2 호내지 4 호에언급되는정보를포함한다. (3) 아래각호의조건이충족되는경우에는통지를요하지않는다. 1. 컨트롤러가적절한기술및조직보호조치를실행하고, 개인정보침해로영향을받는 개인정보에해당조치, 특히암호화와같이접근권한이없는자가개인정보를이해할수 없도록만드는조치가적용된경우. 2. 컨트롤러가제 1 관에언급되는중대한위험이더이상존속할수없는후속조치를취한 경우 3. 부당한노력을수반할경우. 이경우, 효과적인방식으로정보주체에고지하기위해홍보를 실시하거나유사한조치를취한다. (4) 컨트롤러가개인정보침해를정보주체에고지하지않았을경우, 연방커미셔너는본인의재량에따라제 3 관에언급된조건이충족되지않았다고정식으로판단할수있다. 이과정에서연방커미셔너는개인정보침해가제 1 관에언급되는고위험을초래할수있는가능성을고려한다. (5) 제 1 관에따른정보주체의통지는제 56 절 (2) 에언급되는조건에따라지연, 제한또는 생략할수있다. 단, 정보주체의이익이제 1 관에언급되는개인정보침해에서발생하는 고위험으로인한컨트롤러의이익을능가하는경우에는예외로한다. (6) 제 42 절 (4) 은그에따라적용한다. 제 67 절 개인정보영향평가수행 (1) 특히신기술을이용하는처리형식이처리의성격과범위, 배경, 목적을참작할때 법적으로보호되는정보주체의이익에상당한위험을초래할수있는경우, 컨트롤러는처리 이전에예상되는처리업무가정보주체에미치는영향평가를실시한다. (2) 공동평가는유사한실질적위험을초래하는유사한처리업무를취급할수있다. (3) 컨트롤러는영향평가의수행에연방커미셔너를참여시킨다. (4) 영향평가는처리로영향을받는정보주체의권리를고려하고최소한아래각호를 포함한다.

- 51-1. 예상되는처리업무및처리목적의체계적설명 2. 처리목적과관련하여처리업무의필요성및비례성평가 3. 법적으로보호되는정보주체의이익에대한위험의평가 4. 개인정보의보호를보장하고준법을증명하기위한보호조치와보안대책및메커니즘을 비롯하여위험을해소하기위한조치. (5) 컨트롤러는필요한경우정보보호영향평가에따라처리가실시되었는지평가하기위한 검토를수행한다. 제 68 절 연방커미셔너와의협력 컨트롤러는연방커미셔너의업무수행에협력한다. 제 69 절 연방커미셔너의사전협의 (1) 아래각호의경우, 컨트롤러는신규제출시스템의일부를형성하는처리이전에 감독기구와협의한다. 1. 제 67 절에따른개인정보영향평가결과, 컨트롤러가위험을완화하기위해취한조치가 없을경우처리가법적으로보호되는정보주체의이익에상당한위험을초래할경우 2. 특히신기술이나메커니즘, 절차를사용하는경우, 처리의형식이법적으로보호되는 정보주체의이익에상당한위험을수반하는경우. 연방커미셔너는제 1 문장에따라사전협의가필요한처리업무목록을작성할수있다. (2) 제 1 관의경우, 아래각호를연방커미셔너에제출한다. 1. 제 67 절에따라실시되는개인정보영향평가 2. 처리에관여하는컨트롤러와공동컨트롤러, 프로세서의각책임에관한해당정보 3. 예상처리의목적과수단에관한정보 4. 법적으로보호되는정보주체의이익을보호하기위한조치에관한정보 5. DPO 의이름및연락처. 연방커미셔너는처리의적법성, 특히정보주체의개인정보보호및관련보호조치에대한 기존의위험을평가하는데필요한기타정보를요청할수있다.

- 52 - (3) 특히컨트롤러가위험을충분히확인하지않았거나위험을완화할수있는조치를취하지 않았기때문에처리계획이법률을위반한다고판단되는경우, 연방커미셔너는협의요청을 수령한후최대육주안에컨트롤러및해당프로세서에추가조치를취해야하는서면 통지를제공할수있다. 처리계획이특히복잡할경우연방커미셔너는본기간을한달까지 연장할수있다. 이경우연방커미셔너는협의요청을수령한후한달안에컨트롤러및해당 프로세서에연장을고지한다. (4) 처리계획이컨트롤러의업무이행에중대한영향을미치고이에따라특히시급히필요한경우, 컨트롤러는협의가시작된후제 3 관, 제 1 문장에언급되는기간이만료되기전에처리를개시할수있다. 이경우연방커미셔너의권고는사실에따라참작하며, 필요할경우처리가수행되는해당방법을조정한다. 제 70 절 처리활동기록 (1) 컨트롤러는관할처리활동의전체범주에대한기록을보관한다. 본기록은아래정보 일체를포함한다. 1. 컨트롤러및해당공동컨트롤러의이름과연락처 ; 및 DPO 의이름및연락처 2. 처리의목적 3. 개인정보가공개되었거나공개되어야하는수령인의범주 4. 정보주체의범주및개인정보의범주에대한설명 5. 해당되는경우프로파일링의사용 6. 해당되는경우, 제 3 국기구나국제기구에전송되는개인정보의범주 7. 처리의법적근거에관한정보 8. 삭제또는다양한개인정보범주를저장해야할필요성의검토에예상되는시한 9. 제 64 절에언급되는기술및조직보안대책의일반적설명. (2) 프로세서는아래각호를비롯하여컨트롤러를대신하여수행하는처리활동범주일체의 기록을유지한다. 1. 프로세서나프로세서가대행하는각컨트롤러, 및해당 DPO 의이름과연락처 2. 제 3 국이나국제기구의식별을비롯하여제 3 국소재기구또는국제기구에전송되는 해당개인정보 3. 제 64 절에따른기술및조직보안대책의일반적설명.

- 53 - (3) 제 1 관및 2 관에언급되는기록은서면이나전자양식으로작성한다. (4) 컨트롤러와프로세서는요청시연방커미셔너에본기록을제공한다. 제 71 절 Data protection by design and by default (1) 컨트롤러는처리수단이결정될때뿐아니라처리자체가수행될당시정보최소화와같은 정보보호원칙을효과적인방식으로실행하고법률요건의준수를보장하고정보주체의 권리를보호하는데적합한조치를취한다. 이과정에서, 컨트롤러는최신기술과실행비용, 처리의성격이나범위, 배경, 목적뿐아니라처리로인해법적으로보호되는정보주체의 이익에초래될수있는위험의다양한가능성및심각도를참작한다. 특히, 개인정보는 개인정보의처리를가급적최소화한다는목적에따라처리되며, 처리시스템은그에따라 선정및설계한다. 개인정보는가급적초기에, 가급적처리목적에따라익명화또는 가명처리한다. (2) 컨트롤러는기본적으로구체적인처리목적에필요한개인정보만처리되도록하는데적합한기술및조직대책을실행한다. 이는수집데이터의용량과처리범위, 보관기간및접근성에적용된다. 특히대책은기본적으로자동수단을통해무수한개인에게정보가제공되지않도록해야한다. 제 72 절 다양한정보주체범주의구분 컨트롤러는개인정보를처리할때가급적다양한정보주체의범주를명확히구분한다. 이는 특히아래범주에적용된다. 1. 형사범죄를범하였다고판단할중대한근거가있는자 2. 형사범죄를범할것이라고판단할중대한근거가있는자 3. 형사범죄로유죄판결을받은자 4. 형사범죄의피해자또는특정사실에따라형사범죄의피해자가될수있다고판단되는자 5. 증인이나정보를제공할수있는자, 제 1 호내지 4 호에언급되는자의연락처나관계자와 같은타인. 제 73 절 사실과개인평가의구분 컨트롤러는처리에있어가급적사실을기반으로하는개인정보와개인평가를기반으로 하는개인정보를구분한다. 이를위해, 컨트롤러는가급적해당처리의상황에서개인평가에

- 54 - 기반하는평가를식별한다. 아울러개인평가를기반으로하는평가의근거가되는기록을 보관하는기구를판단할수있어야한다. 제 74 절 정보전송절차 (1) 컨트롤러는부정확하거나최신정보가아닌개인정보가전송또는제공되지않도록하는데적합한조치를취한다. 이를위해, 컨트롤러는가급적정보가전송또는제공되기전에이의품질을확인하기위해합리적노력을기울인다. 컨트롤러는개인정보의전송에있어가급적수령인이정보의정확도와완전성, 신뢰성, 및업데이트범위를평가하는데필요한정보도포함시킨다. (2) 개인정보의처리에특별조건이적용되는경우, 정보를전송하는기구는본조건과이를 준수해야하는요건을수령인에게고지한다. 정보를제공해야하는의무는정보에이를 표시하여충족할수있다. (3) 전송기구는유사한국내전송에적용되는조건을제외하고유럽연합기타회원국소속 수령인이나유럽연합의기능에관한조약제 3 편, 제 V 하위편, 제 4 및 5 장에따라설립되는 기관과사무소, 기구에조건을적용하지않는다. 제 75 절 개인정보의수정및삭제와처리제한 (1) 컨트롤러는부정확한개인정보를수정한다. (2) 처리가불법이거나개인정보가법적의무를준수하기위해삭제되어야하거나정보의 숙지가컨트롤러의업무를수행하는데필요하지않을경우, 컨트롤러는이를지체없이 삭제한다. (3) 제 58 절 (3) 및 (5) 은그에따라적용한다. 부정확한개인정보가전송되었거나개인정보가 불법으로전송된경우수령인에도이를고지한다. (4) 컨트롤러는법률에서정하는정보보관이나삭제시한을침해하지않고개인정보삭제나 개인정보보관의필요성에대한정기검토에적절한시한을제공하고본시한이준수되도록 할절차조치를취한다. 제 76 절 기록 (1) 컨트롤러와프로세서는최소한아래의처리업무를자동처리시스템에보관할일지를 제공한다. 1. 수집

- 55-2. 변경 3. 협의 4. 전송을비롯한공개 5. 결합 6. 삭제. (2) 협의및공개일지는해당업무의근거와일시및, 가급적개인정보를협의또는공개한 개인의신원, 정보수령인의신원을확인할수있어야한다. (3) 일지는 DPO 와연방커미셔너, 정보주체에한하여처리의적법성확인과자체모니터링, 개인정보의무결성및보안확보및형사소송절차에사용할수있다. (4) 일지데이터는해당일지가생성된연도이후연말에삭제한다. (5) 컨트롤러와프로세서는요청시연방커미셔너에본기록을제공한다. 제 77 절 위반의기밀보고 컨트롤러는관할범위안에서발생한정보보호법위반의기밀보고를수령할수있도록 조치를취한다.

- 56 - 제 5 장 정보역외이전 제 78 절 일반요건 (1) 정보전송에적용되는기타조건일체가충족되면제 3 국에소재하는기구또는 국제기구에대한정보역외이전은아래각호의경우허용된다. 1. 기구나국제기구가제 45 절에언급되는목적을담당하는경우 2. 유럽집행위원회가지침 (EU) 2016/680 제 36 조 (3) 에따라적정성결정을채택한경우. (2) 제 1 관, 2 호에언급되는적정성결정과정보전송에서참작되는공익에도불구하고, 개별사안에서정보보호법과관련하여수령인의책임영역에속하는기존인권에따라정보가적절히처리될수없거나처리가정보주체에가장중요한기타정당한이익에저촉될수있는경우에는개인정보의전송을불허한다. 컨트롤러의평가는개별사안에서수령인이전송정보의적절한보호를보증하는가를토대로한다. (3) 타유럽연합회원국에서전송또는제공된개인정보가제 1 관에따라전송되는경우, 타회원국소관기구는사전전송호가를제공해야한다. 사전허가없는전송은국가공안이나회원국의필수이익에즉각적이고중대한위협을방지하기위해전송이필요하고사전허가를적시에입수할수없는경우에만허용된다. 제 2 문장의경우, 기타회원국에서사전허가의부여를담당하는기구에전송을지체없이고지한다. (4) 제 1 관에따라정보를전송하는컨트롤러는수령인이컨트롤러의사전허가가있어야기타제 3 국이나기타국제기구에정보를역외이전하는데적합한조치를취한다. 컨트롤러는전송허가여부를결정할때형사범죄의심각성이나개인정보가최초로전송된목적, 정보가전송될제 3 국이나국제기구의개인정보보호수준을비롯한관련요인일체를참작한다. 기타제 3 국이나국제기구에대한직접전송이적법한경우에만전송을허가한다. 허가를발행할책임도별도로규정할수있다. 제 79 절 적절한보호조치가포함된데이터전송 (1) 지침 (EU) 2016/680 제 36 조 (3) 에따른결정이부재할경우, 제 78 절의잔여요건에 부합하는전송은아래각호의경우에도허용한다. 1. 개인정보의보호에대해적절한보호조치가법적구속력있는증서에규정되는경우 2. 컨트롤러가전송에관한일체의정황을평가한후개인정보보호에적합한보호조치가 마련되었다고판단하는경우.

- 57 - (2) 컨트롤러는제 1 관, 2 호에따라전송을문서로기록한다. 문서에는전송일시와수령인의 신원, 전송근거, 전송개인정보가포함된다. 이는요청시연방커미셔너에제공한다. (3) 컨트롤러는연 1 회이상제 1 관, 1 호에따라평가를토대로실시되는전송이포함되는 보고서를연방커미셔너에제출한다. 컨트롤러는전송수령인및목적을본보고서에적절히분류할수있다. 제 80 절 적절한보호조치가포함되지않은데이터전송 (1) 제 78 절 (1), 2 호의부분개폐에따라지침 (EU) 2016/680 제 36 조 (3) 에따른결정이나 제 79 절 (1) 에언급되는적절한보호조치가존재하지않을경우, 제 78 절의잔여요건에 부합하는전송은아래각호를위해필요한경우에도허용된다. 1. 자연인의필수이익을보호 2. 정보주체의정당한이익을보호 3. 국가공안의즉각적이고중대한위협의방지 4. 개별사안에서제 45 조에언급되는목적 5. 개별사안에서제 45 조에언급되는목적에관한법적주장의입증이나행사, 방어. (2) 정보주체의기본권이전송의공익에우선하는경우, 컨트롤러는제 1 관에따라정보를 전송할수없다. (3) 제 79 절 (2) 은이에따라제 1 관에따른전송에적용한다. 제 81 절 제 3 국수령인에대한기타데이터전송 (1) 특수한개별사안에서제 3 국에대한정보전송의기타요건일체가충족되고, 업무수행을 위해전송이반드시필요하고아래각호에해당하는경우, 컨트롤러는제 78 절 (1), 1 호에 언급되지않은제 3 국수령인에게개인정보를직접전송할수있다. 1. 구체적인사안에서정보주체의기본권이전송의공익에우선하지않는경우 2. 특히제 78 절 (1), 1 호에언급되는기구에대한전송이적시에실시될수없기때문에해당 전송이무효가되거나부적절할수있는경우 3. 컨트롤러가처리목적을수령인에게고지하고전송정보는본목적에필요한범위안에서 처리할수있다고지시하는경우. (2) 제 1 관의경우, 컨트롤러는제 78 절 (1), 1 호에언급되는기구에전송을지체없이

- 58 - 고지한다. 단, 해당고지가무효이거나부적절한경우에는예외로한다. (3) 제 79(2) 및 (3) 은이에따라제 1 관에따른전송에적용한다. (4) 제 1 관에따른전송의경우, 전송컨트롤러는수령인이전송된목적에한하여컨트롤러의 동의없이전송된개인정보를처리하도록의무화한다. (5) 범죄문제의사법협력및치안협력분야의협정은영향을받지않는다. 제 6 장 감독기구의협력 제 82 절 상호지원 (1) 연방커미셔너는기타유럽연합회원국소재감독기구에지침 (EU) 2016/680 을일관되게 실행및적용하는데필요한정보및상호지원을제공한다. 특히상호지원은협의와검사, 조사를수행하기위한요청을비롯하여정보요청및감독조치에적용된다. (2) 연방커미셔너는요청을접수한후한달안에상호지원요청에답변하는데필요한 적절한조치를지체없이취한다. (3) 연방커미셔너는아래각호의경우에만요청의준수를거부할수있다. 1. 요청주제또는집행요청을받는조치를관할하지않을경우 2. 요청의준수가법률을위반할경우. (4) 연방커미셔너는요청에대해실시된조치의결과또는해당경과를상대국요청소관 감독기구에고지한다. 제 3 관의경우, 연방커미셔너는요청준수의거부사유를제공한다. (5) 연방커미셔너는일반적으로상대국감독기구가요청하는정보를전자수단이나 표준화된포맷을이용하여제공한다. (6) 연방커미셔너는개별사안에서발생하는경비변상에대해상대국감독기구와합의하지 않는한, 상호지원요청에따라취한조치에대해수수료를청구하지않는다. (7) 연방커미셔너의지원요청은특히요청목적및사유를비롯하여필요한일체의정보를 포함한다. 교환정보는요청한목적에만사용한다. 제 7 장 책임및처벌

- 59 - 제 83 절 보상 (1) 컨트롤러가개인정보를처리함에있어동법이나본처리에적용되는기타법률을위반하여정보주체에피해를초래한경우, 컨트롤러나산하법인은정보주체에보상을제공할의무가있다. 비자동화처리에서컨트롤러의과실로손해가발생하지않은경우, 보상을제공할의무는적용되지않는다. (2) 정보주체는비물질적손해에적합한재정보상을요청할수있다. (3) 자동개인정보처리시피해를초래한컨트롤러를판단할수없는경우각컨트롤러나 산하법인은이에대해책임을진다. (4) 민법제 254 절은정보주체의기여과실에적용하지않는다. (5) 민법에서불법행위에대해규정되는제한규정은법정제한에대해그에따라적용한다. 제 84 절 형벌규정 제 42 절은제 45 절, 제 1, 제 3 또는제 4 문장에따른활동에서이루어지는공공기구의 개인정보처리에적용한다.

- 60 - 제 4 편 규정 (EU) 2016/679 및지침 (EU) 2016/680 의범위를벗어나는활동에서이루어지는처리에 대한특별규정 제 85 절 규정 (EU) 2016/679 및지침 (EU) 2016/680 의범위를벗어나는활동에서이루어지는 개인정보의처리 (1) 시급한국방의사유를위한업무를수행하거나위기관리나갈등예방분야나인도적조치에서연방공공기구의초국적또는정부간의무를이행하기위해처리가필요한경우에는규정 (EU) 2016/679 에따라허용되는사례에덧붙여, 규정 (EU) 2016/679 및지침 (EU) 2016/680 의범위를벗어나는활동에서제 3 국이나초국적또는정부간기구, 국제기구에대한개인정보의역외이전을허용한다. 전송된정보는전송목적에만사용할수있다고수령인에지시한다. (2) 연방국방부가개별사안에서제 16 절 (4) 에언급되는의무의준수가연방의안보를위태롭게한다고판단할경우, 해당규정은연방국방부의소관에속하는작업장이규정 (EU) 2016/679 및지침 (EU) 2016/680 의범위를벗어나서수행하는활동중에이루어지는처리에적용하지않는다. (3) 아래각호의경우규정 (EU) 2016/679 및지침 (EU) 2016/680 의범위를벗어나서 수행하는활동중에이루어지는연방공공기구의처리는규정 (EU) 2016/679 제 13 조 (1) 및 (2) 에따라정보를제공할의무를적용하지않는다. 1. 제 32 절 (1) 1 호내지 3 호에언급되는경우 2. 본의무의준수가법률로나그성격상, 특히제 3 자의정당한이익이해당정보를입수하는 정보주체의이익을능가하기때문에대외비로해야하는정보를공개하는경우. 제 1 문장의사례에서정보주체에이를고지하지않을경우에는열람권을적용하지않는다. 제 32 절 (2) 및제 33 절 (2) 은적용하지않는다. 제 2 조 헌법의보호에관한문제에서연방및연방주의협력을규제하고연방헌법보호처에 관하여적용되는법률의개정 헌법의보호에관한문제에서연방및연방주의협력을규제하고연방헌법보호처에관하여적용되고 2017 년 6 월 16 일자법률제 2 조 (1)(Federal Gazette I, p. 1634) 에의해최종개정된 1990 년 12 월 20 일자법률 (Bundesverfassungsschutzgesetz, BVerfSchG)( 연방법률관보 I p. 2954, 2970) 은아래와같이개정한다.

[ ] - 61 - 제 3 조 군사방첩국에관한법률개정 2017 년 3 월 27 일자법률제 6 조 (Federal Gazette I, p. 562) 에의해최종개정된 군사방첩국에관한 1990 년 12 월 20 일자법률 (Gesetz über den Militärischen Abschirmdienst, MADG) (Federal Gazette I, p. 2954, 2977) 은아래와같이개정한다. [ ] 제 4 조 연방첩보국에관한법률개정 2017 년 3 월 10 일자법률제 3 조 (Federal Gazette I, p. 410) 에의해최종개정된 연방첩보국에관한 1990 년 12 월 20 일자법률 (BND-Gesetz, BNDG) (Federal Law Gazette I p. 2954, 2979) 은아래와같이개정한다. [ ] 제 5 조 연방정부가실시하는보안허가검사의전제조건및절차에관한법률의개정 2017 년 6 월 16 일자법률제 1 조 (Federal Ga- zette I, p. 1634) 에의해최종개정되고연방정부가실시하는보안허가검사의전제조건및절차에관한 1994 년 4 월 20 일자법률 (Sicherheitsüberprüfungsgesetz, SÜ G) (Federal Law Gazette I p. 867) 은아래와같이개정한다. [ ] 제 6 조 서한과우편, 전기통신의프라이버시를제한하기위한법률의개정 2017 년 6 월 16 일자법률제 2 조 (2)(Federal Gazette I, p. 1634) 에의해최종개정된서한과

- 62 - 우편, 전기통신의프라이버시를제한하기위한 2001 년 6 월 26 일자법률 (Artikel 10-Gesetz, G 10) (Federal Law Gazette I, p. 1254, 2298; 2017 I, p. 154) 은 아래와같이개정한다. 제 7 조 연방정보보호법의개정 2017 년 4 월 28 일자법률제 1 조 (Federal Law Gazette I, p. 968) 에의해최종개정되고 2003 년 1 월 14 일에발표된 (Federal Law Gazette I, p. 66) 연방정보보호법 (Bundesdatenschutzgesetz, BDSG) 은아래와같이개정한다. 3. 목차에서아래텍스트는제 42a 절의언급뒤에입력한다. 제 42b 절집행위원회의결정이유럽법을위반한다고판단되는경우법원판결을구하는감독기구의신청 4. 아래제 5a 관은제 22 절 (5) 뒤에추가한다. (5a) 연방커미셔너는연방커미셔너의독립을침해하지않는한기타연방기구에인사행정 및관리업무를위임할수있다. 위임업무를이행하는데필요한직원개인정보는본기구에 전송할수있다. 5. 아래제 42b 절은제 42a 절뒤에추가한다. 제 42b 절 제유럽집행위원회의결정이법률을위반한다고판단되는경우법원판결을구하는 감독기구의신청 (1) 유럽집행위원회의적정성결정이나표준보호조항의인정이나공인행동규약의일반 효력, 감독기구의결정이의존하는효력에관한결정이법률을위반한다고판단되는경우, 감독기구는절차를중지하고법원판결신청을제출한다. (2) 행정법원에대한소구는제 1 관에따른소송절차에제공된다. 행정법원절차법은제 3 관 내지 6 관에따라적용한다. (3) 연방행정법원은제 1 관에따른감독기구의신청에대해최종판결을내린다. (4) 감독기구는제 1 관에따른소송절차에참가할수있다. 감독기구는제 1 관에따라 소송절차에신청인으로참가한다. 행정법원절차법제 63 절, 3 및 4 호는영향을받지않는다. 연방행정법원은정해진기간안에의견을개진할기회를유럽집행위원회에부여할수있다. (5) 제 1 관에따라유럽집행위원회결정의효력을재심하는절차가유럽사법재판소에 계류중인경우, 연방행정법원은유럽사법재판소의소송절차가종결될때까지소송절차의