• 정보주체의 요청에 따라 제공해야 하는 정보와 의무적으로 제공해야 하는 정보의 내용 및 제공 시기를 이해할 수 있다.
2.1 주요 내용
컨트롤러는 공정하고 투명한 처리 원칙을 보장하기 위하여 정보주체에게 본인의 개인정보 처리에 관한 정보를 어떻게 사용하고 있는지 알려 주어야 한다.
이와 관련하여 GDPR은 컨트롤러가 정보주체에게 제공하여야 하는 정보와 그 시기 및 방법에 대하여 규정하고 있다.
2.2 의무적으로 제공하여야 하는 정보(제13~14조)
제공하여야 하는 정보
제공 정보 내용
정보주체에게 직접 수집하는 경우
정보주체에게 직접 수집하지 않는 경우 컨트롤러와 (해당되는 경우) 컨트롤러 대리인과 DPO의 신원 및
연락처 ◯ ◯
해당 개인정보의 처리 목적 및 처리의 법적 근거 ◯ ◯
(해당되는 경우) 컨트롤러 또는 제3자의 정당한 이익 ◯ ◯
개인정보의 유형 - ◯
개인정보 수령인 또는 수령인의 유형 ◯ ◯
제3국으로 이전한 상세 내용 및 보호 방법 ◯ ◯
보유 기간 또는 보유 기간 결정을 위하여 적용한 기준 ◯ ◯
정보주체가 갖는 각 권리의 존재 ◯ ◯
(해당되는 경우) 언제라도 동의를 철회할 수 있는 권리 ◯ ◯
감독기구에 불만을 신청할 수 있는 권리 ◯ ◯
개인정보의 출처 및 공개적으로 접근이 허용된 출처인지 여부 - ◯
개인정보의 제공이 법률 또는 계약상 요건이나 의무인지 여부 및
개인정보를 제공하지 않을 경우 생길 수 있는 영향 ◯
-프로파일링 등 자동화된 결정의 존재 및 어떻게 결정되는 지에
대한 정보와 그 중요성 및 영향 ◯ ◯
제공 시기
정보주체에게 직접 수집하는 경우 정보주체에게 직접 수집하지 않는 경우
정보를 취득한 때 정보 취득 후 합리적인 기간 내에(최대 1개월) 또는 개인정보가 정보주체와 연락 목적으로 이용되는 경우, 늦어도 해당 정보주체에게 최초로 연락한 시점 다른 수령인에게 공개될 것이 예상된다면, 늦어도 최초로 공개되는 시점
2.3 정보주체가 요청한 정보(Request of data subject)(제12조제3항)
제공하여야 하는 정보
컨트롤러는 제15~22조에 해당하는 정보주체의 권리 행사를 보장 하여야 한다. 제11조 제2항에 언급된 ‘자신이 정보주체를 식별할 위치에 있지 않음’을 입증하는 경우가 아니라면, 위에 해당하는 정보주체의 권리 행사를 위한 요청을 거절해서는 안 된다.
제공 시기
컨트롤러는 제15~22조에 해당하는 정보주체의 요청에 대하여 다음 기준을 준수하여야 한다.
Ⅴ 정보주체
권리 강화
① 요청을 접수한 후 한 달 이내 가능한 한 신속하게(without undue delay) 제공한다.
② 요청의 복잡성과 요청 횟수를 참작하여, 필요한 경우 2개월 연장하여 제공할 수 있다. 다만 요청을 접수한 지 한 달 이내에 지체 사유와 이러한 연장에 대하여 고지하여야 한다.
③ 요청에 대하여 조치를 취하지 않으면, 컨트롤러는 늦어도 접수 후 한 달 내에 미조치 사유, 감독기구에 민원을 제기할 권리, 사법적 구제를 청구할 권리를 정보주체에게 고지하여야 한다.
2.4 정보 제공 방법
제공 수단(제12조제3항)
정보는 서면으로 제공하여야 하며, 적절한 경우에는 전자적 수단을 포함한 다른 수단을 제공할 수 있다. 정보주체가 요청한 정보의 경우 다른 수단을 통하여 정보주체의 신원이 입증되면 해당 정보는 구두로 제공할 수 있다.
정보주체의 요청이 전자적 형태로 이루어진 경우, 별도의 다른 요청이 없는 한 해당 정보는 가능한 한 전자적 형태로 제공하여야 한다.
명확하고 쉬운 언어 사용(제12조제1항)
특히 정보주체가 아동인 경우에는 더욱 간결하고 투명하며 이해하기 쉬어야 하고, 쉽게 접근할 수 있는 방식으로 제공하여야 한다.
무상 제공(제12조제5항)
정보에 대한 통지 및 조치는 일체 무상으로 제공되어야 한다. 다만 정보주체의 요청이 명백한 근거가 없거나 과도한 경우, 특히 요청이 반복되는 경우 컨트롤러는 행정적 비용을 고려하여 합리적인 요금을 부과하거나, 해당 요청에 대한 응대를 거부할 수 있다. 다만 요청에 대하여 거부할 때 명백하게 근거가 없거나 과도하다는 사실을 입증할
부담은 컨트롤러에게 있다.
2.5 추가 처리(Further processing)
컨트롤러가 당초 개인정보 수집 목적 이외의 목적으로 개인정보를 추가 처리할 경우, 컨트롤러는 해당 처리 이전에 정보주체에게 관련된 추가 정보를 제공하여야 한다.
• 제12조(정보주체의 권리를 행사하기 위한 투명한 정보, 통지 및 형식)
• 제13조(정보주체로부터 개인정보를 수집하는 경우 제공되는 정보)
• 제14조(정보주체로부터 개인정보가 수집되지 않은 경우 제공되는 정보)
• 전문 제58~62항 GDPR 관련 규정
• 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지) 개인정보보호법 관련 규정
셀프 체크리스트
□ □
□ □
□ □
□ □
□ □
• 열람·수정·삭제 등 정보주체가 권리를 행사할 때 법령에서 요구하는 제공 시기 및 방법 등을 준수하여 정보주체에게 정보를 제공하고 있다.
• 정보주체가 이용 약관 및 개인정보 처리방침을 쉽게 조회할 수 있도록 정보를 제공하고 있다.
• 정보주체로부터 개인정보를 수집하는 경우, 회사가 의무적으로 제공하여야 하는 정보를 개인정보 취득 시점에 즉시 제공하고 있다.
• 제3자가 취득한 개인정보를 제공받을 경우, 의무적으로 제공하여야 하는 정보를 해당 정보주체에게 개별 통지하고 있다.
• 법령 등에 의해 개인정보 처리 목적 외 추가 처리가 필요한 경우, 처리 이전에 정보주체에게 처리 목적에 대한 내용 및 의무적으로 제공하여야 하는 정보를 알려주고 있다.
예 아니오
Ⅴ 정보주체
권리 강화