정보보안 자격증/CPPG

CPPG6. 개인정보의 이해 - EU GDPR 조항

rinaisme 2024. 7. 10. 01:51

1. 정보를 제공바을 권리 [제12조 ~ 14조]

  • 컨트롤러 (기업에서 경영자를 보좌하는 역할)는 투명한 처리 원칙을 보장하기 위해 정보주체에게 본인의 개인정보를 어떻게 처리하고 있는지에 관한 정보를 명확하고 쉬운 언어로, 무상으로 알려주어야 함
    • 1. 컨트롤러 및 컨트롤러의 대리인과 DPO의 신원 및 연락처
    • 2. 해당 개인정보의 처리 목적 및 처리의 법적 근거
    • 3. (해당되는 경우) 컨트롤러 또는 제삼자의 정당한 이익
    • 4. 처리하는 개인정보 유형 (정보주체로부터 직접 수집한 경우 x)
    • 5. 개인정보 수령인(recipient) 또는 수령인의 유형
    • 6. 제3국으로 이전 관련 상세 내용 및 보호 방법
    • 7. 보유기간 또는 보유기간 결정을 위해 적용한 기준
    • 8. 정보주체의 각 권리 존재
    • 9. (해당되는 경우) 동의를 철회할 수 있는 권리
    • 10. 감독기구에 민원을 제기할 수 있는 권리
    • 11. 개인정보의 출처 및 공개적으로 접근이 허용된 출처인지 여부 (정보주체로부터 직접 수집한 경우 x)
    • 12. 개인정보의 제공이 법률이나 계약상의 요건이나 의무인지 여부 및 개인정보 제공을 하지 않을 경우 생길 수 있는 영향 (정보주체로부터 직접 수행하지 않은 경우 x)
    • 13. 프로파일링 등 자동화된 결정의 존재 및 어떻게 결정되는지에 대한 정보와 그 중요성 및 영향

2. 정보주체의 열람권 [제12, 15조]

  • 컨트롤러는 정보주체가 개인정보 처리 내용과 그 적법성을 확인할 수 있도록 정보주체의 요구가 있을 경우 자신의 개인정보 및 다음의 모든 정보에 대해 열람할 수 있도록 조치
    • 1. 처리 목적
    • 2. 관련된 개인정보의 유형
    • 3. 개인정보를 제공받았거나 제공받을 수령인 또는 수령인의 범주
    • 4. (가능하다면) 개인정보의 예상 보유 기간 또는 (가능하지 않다면) 해당 기간을 결정하기 위한 기준
    • 5. 본인의 개인정보에 대한 수정, 삭제 또는 처리 제한이나 처리에 대한 반대를 요구할 수 있는 권리의 ㅇ무
    • 6. 감독기구에 민원을 제기할 수 있는 권리
    • 7. 개인정보가 정보주체로부터 수집되지 않은 경우 그 출처에 대한 모든 가용된 정보
    • 8. 프로파일링 등 자동화된 결정의 유무 및 이에 따른 유의미한 정보와 이러한 처리의 유의성과 예상되는 결과

3. 정정권 [제12, 16, 19조]

  • 정보주체는 개인정보가 부정확하거나 불완전하다면 이에 대한 정정을 요구할 권리가 있고, 컨트롤러는 정보주체의 정정권리를 보장할 수 있도록 필요한 조치를 취해야 함
    • 1. 정정 요구를 받은 시점으로부터 1개월 이내 이행해야 하나, 정정 요구가 복잡한 경우 2개월 추가 연장 가능
    • 2. 정정 요구에 따른 조치를 취하지 않은 경우, 정보주체에게 그 이유 및 감독기구에 민원을 제기할 권리와 사법적 구제를 청구할 권리가 있음을 공지
    • 3. 개인정보를 (정보) 수령인에게 공개, 제공한 경우, 가능한 한 그 수령인에게 정보주체의 개인정보가 정정된 사실에 대해 알려 주어야 하며, 적절한 경우 정보주체에게 그 정보가 제공된 수령인에 관해서도 알려야 함

4. 삭제권 (잊힐 권리) [제 12,17,19조]

  • 정보주체는 본인에 관한 개인정보 삭제를 컨트롤러에게 요구할 권리를 가지며, 컨트롤러는 개인정보 처리 목적의 달성, 정보주체 동의 철회 등의 경우에 개인정보를 삭제하여야 함
  • 14.05 유럽사법재판소가 결정한 잊힐 권리 개념 도입 (GDPR 상 삭제권은 온전한 잊힐 권리는 아님)
  • 삭제권이 보장되는 경우
    • 1. 개인정보가 원래의 수집 처리 목적에 더 이상 필요하지 않은 경우
    • 2. 정보주체가 동의를 철회한 경우 (단, 해당처리에 대한 법적인 사유가 없는 경우)
    • 3. 정보주체가 처리에 반대하는 경우로서 처리의 계속을 위한 더 중요한 사유가 없는 경우
    • 4. 개인정보가 불법적으로 처리된 경우 (GDPR 위반 등)
    • 5. 법적 의무 준수를 위하여 삭제가 필요한 경우
    • 6. 아동에게 제공할 정보사회서비스와 관련하여 개인정보를 처리한 경우
  • 삭제권 관련 조치 사항
    • 1. 표현 및 정보의 자유에 관한 권리 행사, 공익 목적 등의 경우에는 삭제권 행사가 거부
    • 2. 개인정보 제삼자 공개 시, 불가능하거나 과도한 노력을 해야 하지 않는 한 그 3자에게 개인정보 삭제를 알려야 함
    • 3. 개인정보를 일반에게 공개하는 온라인 환경에 종사하는 조직들은 다른 조직들이 해당 개인정보의 링크 및 사본 또는 복제본을 삭제하도록  통지

5. 처리 제한권 [제12, 18, 19조]

  • 정보주체는 자신에 관한 개인정보의 처리를 차단하거나 제한할 권리를 가지며, 개인정보의 처리가 제한되면 컨트롤러는 그 정보를 보관하는 것만 가능
  • 처리 제한을 해제하는 경우 그 사실을 정보주체에게 고지
  • 처리 제한권이 보장되는 경우
    • 1. 정보주체가 개인정보의 정확성에 이의 제기 (개인정보의 정확성을 입증할 때까지 처리를 제한)
    • 2. 처리가 불법적이고, 정보주체가 삭제를 반대하고 대신 개인정보의 처리 제한을 요구하는 경우
    • 3. 더 이상 개인정보가 필요하지 않지만 정보주체가 법적 청구권의 행사나 방어를 위해 그 정보를 요구한 경우
    • 4. 컨트롤러가 정당한 이익을 위해 하는 개인정보처리가 정보주체의 정당한 이익보다 우선하는지 확인 중인 경우
    • 기타. 개인정보의 처리가 제한된 경우에도 정보주체의 동의가 있거나, 법적 청구권의 입증이나 행사를 위한 경우, 제삼자의 권리 보호를 위한 경우, EU 또는 회원국의 중요한 공식상의 이유가 있는 경우에는 처리 가능
  • 개인정보 처리 제한 방법의 예시
    • 1. 선택된 정보를 임시적으로 다른 처리 시스템으로 이전
    • 2. 정보주체가 선택된 정보를 열람하지 못하도록 하거나 공개된 개인정보를 웹사이트에 임시로 제거

6. 개인정보 이동권 [제12, 20조]

  • 정보주체나 다른 컨트롤러에게 자신의 데이터를 제공할 것을 요구할 수 있는 권리
  • 데이터 이동이 가능한 경우
    • 1. 정보주체에 관한 정보
    • 2. 자동화된 수단에 의한 처리
    • 3. 동의 또는 계약 이행에 근거
    • 4. 정보주체가 제공
    • 5. 이동으로 타인의 자유와 권리에 불리한 영향을 끼치지 않음
  • 데이터 이동권 내용
    • 목적
      • 정보주체의 권리 강화
      • 기업 간의 공정한 경쟁 유도
      • 데이터 활용 활성화 [PDS (Personal Data Store), 정보은행]
    • 제공방법: 기계 판독이 가능한 형태 (CSV, JSON, XML 등)
    • 이행 시기: 1개월 이내 (정보주체에게 사유를 설명하고 2개월 추가 연장 가능)

7. 반대권 [제12, 21조]

  • 정보주체는 프로파일링 등 본인과 관련한 개인정보의 처리에 대해 언제든지 반대할 권리를 지님
  • 컨트롤러는 정보주체에게 최초 고지하는 시점에 반대권에 대한 내용을 알려주어야 하며, 이러한 사항은 다른 정보와 분리하여 분명하게 제시해야 함
  • 컨트롤러는 개인정보 처리 행위가 반대권을 행사할 수 있는 유형에 속하고 온라인으로 이루어진다면 온라인으로 반대 요청을 처리할 수 있는 방법을 제시
  • 반대권 요구 시 조치 사항
    • 1. 직접 마케팅 목적의 처리 시, 정보주체의 반대권 행사 즉시 개인정보 처리 중단 및 이후 동일 목적의 처리 금지
    • 2. 컨트롤러의 정당한 이익 또는 공적 임무 수행 및 직무권한 행사에 근거한 처리 시 정보주체는 자신의 특수한 상황을 근거로 반대권을 행사할 수 있으며, 정보주체의 이익이나 권리 및 자유보다 더 중요하고 강력한 정당한 근거를 입증할 수 있으나 법적 청구권의 입증이나 행사를 위한 경우를 제외하고는 해당 개인정보처리를 중단
    • 3. 과학적 또는 역사적 연구 목적 또는 통계적 목적으로 처리 시 정보주체는 자신의 특수한 상황을 근거로 반대권을 행사할 수 있으며, 다만 해당 처리가 공익을 위한 업무수행을 위하여 필요한 경우는 예외

8. 프로파일링을 포함한 자동화된 의사결정 [제12, 22조]

  • 법적 효력을 초래하거나 이와 유사한 중대한 효과를 미치는 사항에 대하여 프로파일링을 포함한 자동화된 처리에만 근거한 인적개입 없는 결정의 적용을 받지 않을 권리
  • 프로파일링 관련 내용
    • 1. 원칙: 정보주체는 자동화된 처리에만 의존하는 의사결정의 적용을 받지 않음
    • 2. 예외: 계약의 이행, 명시적인 동의, 법률이 허용하는 (예: 사기, 탈세 방지 목적) 경우
    • 3. 정보주체 권리: 인적 개입을 요구할 권리, 정보주체가 자신의 관점을 표현할 권리, 그 결정에 대한 설명을 요구할 권리 및 그에 반대할 권리 등
    • * 프로파일링: 개인의 사적인 측면 (직장 내 업무수행, 경제상황, 건강, 개인적 취향 등)을 분석, 예측하기 위한 자동화된 처리

'정보보안 자격증 > CPPG' 카테고리의 다른 글

CPPG8. 개인정보의 이해 - 개인정보 역외이전, 민감 정보  (0) 2024.07.10
CPPG7. 개인정보의 이해 - EU GDPR 기업의 책임성 강화  (0) 2024.07.10
CPPG5. 개인정보의 이해 - EU GDPR  (0) 2024.07.10
CPPG 예상문제 1  (0) 2024.07.07
CPPG4. 개인정보의 이해 - 해외 개인정보 보호 제도  (0) 2024.07.07

'정보보안 자격증/CPPG'의 다른글

  • 현재글CPPG6. 개인정보의 이해 - EU GDPR 조항

관련글

티스토리툴바