GDPR 제3장(정보주체의 권리)은 정보주체의 권리 행사와 강화에 대한 내용을 규정 하고 있으며, 특히 삭제권(‘잊힐 권리’), 처리 제한권, 개인정보 이동권 등을 새로 도입 하고 접근권, 삭제권(‘잊힐 권리’) 등의 대상을 확대하였다는 점에서 기존 Directive보 다 정보주체의 권리 강화 내용을 구체화하였다는 것을 알 수 있다.
정보주체의 권리와 관련된 규정은 컨트롤러가 정보주체의 개인정보를 처리할 때 보다 안전한 기술적·관리적 조치를 취하게 하는 수단으로써 의의가 있다. 또한 이를 통해 기 업은 책임성을 강화하고 투명성을 입증하는 데 도움이 된다.
■
■
┃ 표 4. 정보주체의 권리 강화에 대한 내용 및 관련 주요 조문
No. 정보주체의 권리 관련 조문
1 정보를 제공받을 권리(Right to be informed) 제1절 제12조~제14조
2 정보주체의 접근권(Right of access) 제2절 제12조, 제15조
3 정정권(Right to rectification)
제3절
제12조, 제16조, 제19조 4 삭제권(‘잊힐 권리’)[Right to erasure(‘Right to be
forgotten’)]
제13조, 제17조, 제19조 5 처리 제한권(Right to restrict of processing) 제12조, 제18조,
제19조 6 개인정보 이동권(Right to data portability) 제12조, 제20조
7 반대권(Right to object)
제4절
제12조, 제21조
8 프로파일링을 포함한 자동화된 의사결정(Rights related to
automated decision making including profiling) 제22조
2
정보를 제공받을 권리
(Right to be informed)
• 정보주체의 요청에 따라 제공해야 하는 정보와 의무적으로 제공해야 하는 정보의 내용 및 제공 시기를 이해할 수 있다.
셀프 체크리스트
Self Check List
예 아니오
•접근·수정·삭제 등 정보주체가 권리를 행사할 때 법령에서 요구하는 제공
시기 및 방법 등을 준수하여 정보주체에게 정보를 제공하고 있는가? □ □
•정보주체가 이용 약관 및 개인정보처리방침을 쉽게 조회할 수 있도록
정보를 제공하고 있는가? □ □
•정보주체로부터 개인정보를 수집하는 경우, 회사가 의무적으로
제공하여야 하는 정보를 개인정보 취득 시점에 즉시 제공하고 있는가? □ □
•제3자가 취득한 개인정보를 제공받을 경우, 의무적으로 제공하여야 하는
정보를 해당 정보주체에게 개별 통지하고 있는가? □ □
•법령 등에 의해 개인정보 처리 목적 외 추가 처리가 필요한 경우, 처리 이전에 정보주체에게 처리 목적에 대한 내용 및 의무적으로 제공하여야 하는 정보를 알려주고 있는가?
□ □
2.1 주요 내용
정보주체는 자신의 개인정보를 누가, 어떤 목적으로, 무엇을 하는지 등의 정보를 명확 하고 간결하게 제공받을 권리를 가진다. 이러한 정보주체의 권리 실현은 GDPR 제5조
■
Point
2.2 개인정보의 수집 시 정보 제공 의무 2.2.1 정보 제공의 형식
제13조와 제14조는 정보주체의 개인정보를 누가, 어떤 목적으로, 무엇을 하는지 등의 정보를 해당 정보주체에게 모두 “제공”하여야 할 컨트롤러의 의무에 대한 것이다. 이 는 컨트롤러가 해당 정보를 정보주체에게 제공하기 위하여 적극적인 조치를 취해야 함을 의미하고 정보주체는 이러한 조항들이 적용되는 정보를 구하거나 웹사이트 또는 앱의 이용약관과 같은 다른 정보들 사이에서 해당 정보를 찾기 위하여 적극적인 조치 를 취할 필요가 없어야 함을 의미한다. 이를 위한 방법으로 개인정보처리방침·고지, 푸 시 및 풀 알림, 그 밖에 다양한 개인정보 환경에서 정보주체에게 정보를 제공하기 위하 여 하드카피를 통한 서면 설명(만화, 인포그래픽, 플로차트), 전화 환경에서의 녹음 정 보 제공, 모바일 또는 스마트 기기 환경에서 아이콘, QR코드, 음성 알림정보, 개인 대 개인 환경에서의 구두 설명, CCTV나 드론 녹화 환경에서의 관련 정보가 포함된 게시 판 내지 미디어 공지 등을 포함할 수 있다.
■
제1항(투명성 원칙)과 맞닿아 있으며, 컨트롤러가 정보주체에게 제공하여야 하는 정보 와 그 시기 및 방법에 대해 제12조~제14조에 규정하고 있다.
2.2.2 제공하여야 하는 정보
제공 정보 내용
정보주체에게 직접 수집하는
경우
정보주체에게 직접 수집하지 않는 경우
WP29 작업반의 해석
컨트롤러와(해당하는 경우) 컨트롤러 대리인의 신원 및 연락처와 DPO의 연락처
◯ ◯
컨트롤러의 신원 확인 및 가급적 컨트롤 러와 다양한 형태로 의사교환을 할 수 있게 해 주어야 함
해당 개인정보의 처리 목적
및 처리의 법적 근거 ◯ ◯
개인정보 처리 목적을 명시하는 이외에 제6조 내지 제9조에 따라 의존하는 관 련 법적 근거를 명시하여야 함
제6조제1항(f)에 의한 처리 의 경우) 컨트롤러 또는 제3 자의 적법한 이익
◯ ◯
정보주체의 이해를 위하여 관련되는 특 정한 이해관계를 확인해주어야 함. 모범 관행으로서 LIA 실사하는 경우 그 테스 트 정보를 정보주체에게 제공하여야 함
개인정보의 유형 – ◯
개인정보가 정보주체로부터 획득되지 않았고 따라서 정보주체는 컨트롤러가 어떠한 유형의 정보를 획득하였는지 알 지 못하므로 이 정보는 제14조가 적용되 는 경우에 요구됨
개인정보 수령인 또는 수령
인의 유형 ◯ ◯
수신자는 제3자일 필요 없음. 한편, 공 정성의 원칙에 따른 기본 입장은 컨트 롤러는 개인정보의 실제 수신자에 대한 정보를 제공하여야 한다는 것이지만, 컨 트롤러가 단지 수신자의 범주만을 제공 하기로 하는 경우에는 컨트롤러는 이러 한 접근법이 왜 공정한지를 입증할 수 있어야 함. 수신자의 범주에 대한 정보 는 수신자의 유형, 산업, 부문, 수신자의 위치 등을 명시하는 등 가능한 한 구체 적이어야 함
제3국이나 국제기구로 개인 정보를 이전할 예정이라는 사실, 적정성 결정의 유무, 적절하고 적합한 보호수단 과 그에 대한 사본 입수 수 단
◯ ◯
전송 및 그에 대응하는 메커니즘을 허용 하는 관련 GDPR 조항이 명시되어야 함.
가능한 한 사용되는 메커니즘에 대한 링크 또는 정보 획득에 대한 정보도 제 공되어야 함. 공정성의 원칙에 따라 정 보가 전송되는 모든 제3국을 명시적으 로 언급하여야 함
제공 정보 내용 정보주체에게 직 접 수집하는 경우
정보주체에게 직 접 수집하지 않는
경우
WP29 작업반의 해석
보유기간 또는(여의치 않을 경우) 보유기간 결정을 위하 여 적용한 기준
◯ ◯
보유기간은 법적 요건 또는 업계 지침 등의 사항들에 의하여 좌우될 수 있으 나 정보주체가 각자의 상황에 따라 특 정 정보/목적에 대한 보유기간을 평가 할 수 있는 방식으로 진술되어야 함. 컨 트롤러가 처리의 합법적 목적을 위해 필 요한 기간 동안 개인정보가 보유될 것임 을 일반적으로 진술하는 것으로는 충분 하지 않음. 적절한 경우, 개인정보 유형 및 처리목적에 따라 각각 보유기간이 규 정되어야 함
정보주체에게 인정되는 권 리(접근, 수정, 삭제, 처리 제 한, 처리에 대한 이의 제기, 이동성)의 유무
◯ ◯
이 정보에는 권리에 무엇이 포함되고 정 보주체가 이를 행사하기 위하여 어떤 조 치를 취할 수 있는지에 대한 내용이 포 함되어야 함
처리가 제6조제1항(a)이나 제9조제2항(a)에 근거한 경 우, 철회 이전에 동의를 기반 으로 하는 처리의 합법성에 영향을 주지 않고 언제든지 동의를 철회할 수 있는 권리 의 유무
◯ ◯
이 정보에는 정보주체가 동의를 제공하 는 것만큼 쉽게 철회할 수 있다는 점을 고려하여 동의를 철회할 수 있는 방법이 포함되어야 함
감독기구에 민원을 제기할
수 있는 권리 ◯ ◯
이 정보는 제77조에 따라서 정보주체가 자신의 거주지, 근무지, 또는 주장되는 GDPR 위반 장소의 감독기관에 민원을 제기할 권리가 있음을 설명하여야 함
개인정보의 제공이 법률 또 는 계약상 요건이나 의무인 지 여부 및 정보주체가 개인 정보를 제공할 의무가 있는 지 여부 및 해당 개인정보를 제공하지 않을 경우 생길 수 있는 영향
◯ ◯
예컨대, 고용의 맥락에서, 기존 또는 잠 재적인 피고용인에게 특정 정보의 제공 을 요구하는 것은 계약상의 요구사항이 될 수 있다. 온라인 양식에는 필수 필드 와 그렇지 않은 필드, 필수 필드를 작성 하지 않을 경우의 결과를 분명히 밝혀야 함
프로파일링 등 자동화된 결 정의 존재 유무 및 이 경우 관련 로직에 관한 유의미한 정보와 이러한 정보 주체에 대한 처리의 중요성 및 예상 되는 결과
◯ ◯ 아래 9.2.1(156쪽) 참조
정보주체에게 직접 수집하는 경우 정보주체에게 직접 수집하지 않는 경우
정보를 취득한 때
– 개인정보가 처리되는 특정 상황과 관련하여 정보 취득 후 합리적인 기간 내에(최대 1개월) – 개인정보가 정보주체에게 통지 목적으로 이용되는 경우, 늦어도 해당 정보주체에게 최초로 통지한 시점
– 다른 수령인에게 개인정보가 제공될 것으로 예상되는 경우 늦어도 최초로 제공되는 시점
2.2.3 제공 시기
2.3 정보주체의 요청 시 정보제공 의무 2.3.1 제공하여야 하는 정보
2.3.2 제공 시기
컨트롤러는 제15조 내지 제22조에 따른 정보주체의 요청에 따라 취해진 조치에 대한 정보를 제공하여야 한다. 컨트롤러는 정보주체의 권리 행사를 용이하게 할 수 있도록 하여야 하고, 컨트롤러는 제11조제2항에 따라 자신이 정보주체를 식별할 위치에 있지 아니하다는 점을 입증하지 않는 한, 제15조 내지 제22조에 따른 정보주체 본인의 권리 를 행사하기 위한 요청을 거절해서는 안 된다.
컨트롤러는 제15조 내지 22조에 해당하는 정보주체의 요청에 대하여 다음 기준을 준 수하여야 한다.
① 요청을 접수한 후 1개월 이내 부당한 지체 없이(without undue delay) 제공한다.
② 요청의 복잡성과 요청 횟수를 고려하여 필요한 경우 2개월 추가 연장하여 제공할 수 있다. 다만 요청을 접수한 지 한 달 이내에 지체 사유와 이러한 연장에 대하여 고지하여야 한다.
③ 요청에 대하여 조치를 취하지 않으면, 컨트롤러는 늦어도 접수 후 1개월 이내에 미 조치 사유, 감독기구에 민원을 제기할 권리, 사법적 구제를 청구할 권리를 정보주 체에게 고지하여야 한다.
한편, 전달하는 정보 내지 통지와 무관하게, 투명성 의무와 관련한 책임은 개인정보를 수집하는 시점뿐만 아니라 처리 기간 전체에 걸쳐 적용된다. 예컨대 기존 개인정보처 리방침(privacy policy notification)의 내용이나 조건을 변경할 때 컨트롤러는 대부 분의 정보주체가 실제로 인지할 수 있는 방식으로 이러한 변경이 통지되도록 하여야
■
■
■