Ⅲ 주요 원칙
5
민감정보 및 범죄행위 관련 정보
② 고용, 사회 안보나 사회보장 및 사회보호법(social security and social protection law) 또는 단체협약에 따른 의무의 이행을 위하여 필요한 경우
③ 물리적 또는 법적으로 동의를 할 능력이 없는 정보주체의 중대한 이익을 보호하기 위하여 필요한 경우
④ 정치·철학·종교 목적을 지닌 비영리 단체나 노동조합이 하는 처리로, 회원이나 전 회원(또는 그 목적과 관련하여 정규적인 접촉을 유지하는 자)에 관해서만 처리하며, 또한 동의없이는 제3자에게 공개하지 않는 경우
⑤ 정보주체가 일반에게 공개한 것이 명백한 정보
⑥ 법적 청구권의 설정, 행사나 방어 또는 법원이 사법적 지위에서 행동하는 데 필요한 경우
⑦ 중대한 공익을 위하여 또는 EU나 회원국 법률을 근거로 하는 처리로, 추구하는 목적에 비례하며(proportionate to the aim pursued) 적절한 보호조치가 있는 경우
⑧ EU나 회원국 법률 또는 의료 전문가와의 계약을 근거로, 예방 의학이나 직업 의학, 종업원의 업무 능력 판정, 의료 진단, 보건·사회 복지·치료, 보건이나 사회 복지 시스템의 관리 및 서비스 등의 제공을 위하여 필요한 경우
⑨ 국경을 넘은 심각한 보건 위협으로부터의 보호 또는 의료 혜택 및 약품이나 높은 수준의 의료장비 확보 등 공중보건 영역에서 공익을 위하여 필요한 경우
⑩ 공익을 위한 기록 보존 목적(archiving purposes in the public interest)이나 과학적·역사적 연구 목적, 통계 목적을 위하여 제89조제1항에 따라 필요한 경우
5.3 유전정보, 생체 인식 정보 또는 의료 정보
회원국은 GDPR 제9조제4항에 따라 유전정보, 생체 인식 정보 또는 의료 정보에 대하여 추가 조건(한도 포함)을 유지하거나 부과할 권한이 있다.
Ⅲ 주요 원칙
5.4 범죄경력(전과) 및 범죄행위 관련 정보(Criminal convictions and offences)(제10조)
GDPR은 민감정보 유형에 범죄경력 및 범죄행위 정보를 포함하고 있는지에 대하여 구체적으로 명시하고 있지 않다.
그러나 유럽평의회의 ‘Convention 108’
20)
에서 범죄 전과를 민감정보로 본다는 점과, GDPR에서 해당 정보에 대한 처리 규정을 보다 제한적으로 명시한다는 점에서 민감정보로 볼 수도 있다.그러나 범죄경력 및 범죄행위에 관련한 정보는 민감정보와 달리 원칙적으로 정보주체의 동의에 의해서도 처리가 불가능하기에 이를 구분할 필요가 있다. 제6조제1항에 근거한 범죄경력 및 범죄행위에 관련한 개인정보의 처리 또는 관련 보안조치는 다음의 경우에 한하여만 수행될 수 있다.
① 공적 권한의 통제 하에 있을 경우
② 적절한 안전장치를 규정하는 EU 또는 회원국의 법이 허가하는 경우
• 제9조(민감정보의 처리)
• 제18조(범죄경력 및 범죄행위 관련 정보) GDPR 관련 규정
• 제23조(민감정보의 처리 제한) 개인정보보호법 관련 규정
셀프 체크리스트
□ □
□ □
• 민감정보를 임의 수집 및 보유하거나 처리하지 않는다.
•• 민감정보를 처리하는 경우 명확한 법적 근거에 기반하고 있다.
예 아니오
20) EU 집행위원회(1981. 1. 28.), Convention for the Protection of individuals with regard to Automatic Processing of Personal Data.
더 알아보기 3
투명성의 원칙(Transparency)
21)
#1 투명성의 원칙
GDPR은 개인정보를 처리할 때 적법성·공정성과 함께 투명성의 원칙을 준수하도록 명시하고 있습니다. 이 때 투명성의 원칙은 정보주체에게 일련의 정보 처리 과정을 투명하게 알리는 것을 의미합니다.
투명성은 EU 기본권 헌장 제8조에 표명된 개인정보 처리와 관련된 공정성 원칙의 한 가지 표현이며, Directive에서 GDPR에 이르기까지 정보주체의 권리로 강조하고 있는 정보를 제공받을 권리(Right to be informed)와 밀접한 관련이 있다는 점에서 중요합니다.
투명성의 원칙을 준수함으로써 ① 컨트롤러는 정보주체의 개인정보를 적법하고 공정 하게 처리하고 있다는 것, ② 컨트롤러가 GDPR과 관련하여 정보주체와 의사소통하고 있다는 것, ③ 컨트롤러가 정보주체의 권리 행사를 지원하고 있다는 것을 제시할 수 있습니다. 이 때 컨트롤러는 정보주체의 개인정보를 투명한 방식으로 처리하고 있다는 사실을 입증할 수 있어야 합니다.
#2 개인정보의 투명한 처리 입증
제29조 작업반의 투명성 가이드라인은 컨트롤러가 개인정보의 투명한 처리를 입증하기 위하여 다음과 같은 요건을 확인하도록 명시하고 있습니다.
① 간결하고 투명하며, 이해 가능하고 쉽게 접근 가능한 형식
컨트롤러는 정보주체에게 정보를 제공하거나 통지할 때, 프라이버시와 관련되지 않는
21) 제29조 작업반(2018. 1. 23.), Guidelines on transparency under Regulation 2016/679.
Ⅲ 주요 원칙
다른 정보와 명확하게 구별하여야 합니다. 또한 정보주체가 온라인에서 개인정보보호 정책(privacy statement) 또는 고지(notice)에 대한 특정 이슈를 찾고자 할 때, 전체 내용을 스크롤할 필요 없이 찾고자 하는 특정 섹션으로 이동할 수 있게 하여야 합니다.
컨트롤러는 대상이 되는 정보주체의 평균 이해 수준을 파악하고, 평균 구성원이 이해할 수 있도록 정보를 공개하여야 합니다.
‘쉽게 접근 가능’한 요소는 정보주체가 어렵게 정보를 찾아다닐 필요 없이 해당 정보를 어디에서 접근할 수 있는지 바로 알 수 있어야 한다는 것을 의미합니다. 예를 들면 정보주체에게 직접 정보를 제공하거나, 링크를 제공하거나, 분명한 안내 표시를 하거나, 질문에 대한 답변의 방식을 적용할 수 있습니다.
제29조 작업반은 온라인에서 개인정보를 수집하는 시점에 개인정보보호 정책/고지에 대한 링크를 제공하거나, 또는 개인정보를 수집하는 동일 페이지에서 이를 제공하는 것을 모범사례로 권고한다.
참고・예시
② 명확하고 평이한 언어를 사용
복잡한 문장과 언어 구조를 피하고 되도록이면 간단한 방식으로 정보를 제공해야 한다는 것을 의미합니다.
정보는 구체적이고 확정적이어야 하며, 추상적이거나 모호한 용어(‘may’, ‘might’,
‘some’, ‘often’, ‘possible’ 등의 불확실한 표현)로 표현하거나 달리 해석할 여지를 남겨서는 안 됩니다. 특히 개인정보를 처리하는 목적과 법적 근거가 명확하여야 합니다.
다만 정보주체에게 제공하는 정보에는 지나치게 법률적·기술적·전문적인 언어 또는 용어가 포함되어서는 안 됩니다.
③ 아동에게 정보를 제공할 때
컨트롤러가 아동을 대상으로 상품 또는 서비스를 제공하는 경우, 아동에게 적절하고 공감되는 어휘, 어조, 언어 스타일을 사용하여 아동 자신에게 전달하는 메시지와
정보라는 것을 인지할 수 있도록 보장하여야 합니다.
④ 서면 제공 또는 그 밖의 방식
정보주체에 대한 정보 제공 또는 통지는 기본적으로 문서로 제공하여야 합니다. 다만 GDPR은 전자 수단을 포함하여 명시되지 않은 다른 방식의 사용을 허용합니다.
22)
• 서면 전자 수단과 관련한 제29조 작업반의 입장은 컨트롤러가 웹사이트를 운영하는 경우 웹사이트 방문자 자신이 가장 관심 있는 개인정보보호 정책/고지의 특정 사항으로 이동할 수 있도록 ‘계층적 개인정보보호 정책/고지(layered privacy statements/notices)’의 사용을 권장하고 있다.
• 그 외 전자적 방식으로 ‘just-in-time’ 상황별 팝업 고지, 3D 터치 또는 호버오버(hover-over)22) 고지, 프라이버시 대시보드 등이 포함된다.
참고・예시
⑤ 구두로 정보를 제공할 수 있어야 함
정보주체가 요청한 경우 ‘구두로(orally)’ 정보를 제공할 수 있는데, 이 때 정보주체의 신원 정보는 구두와 다른 수단을 이용하여 증명되어야 한다고 규정하고 있습니다.
제13~14조에 따라 요구되는 구두 정보 제공은 직접 또는 전화와 같이 개인대 개인 방식으로 제공되는 구두 정보를 의미하는 것은 아닙니다. 서면 방식과 더불어 자동화된 구두 정보(automated oral information)를 제공할 수 있는데, 제29조 작업반의 입장은 컨트롤러가 정보주체로 하여금 미리 녹음된 메시지를 다시 들을 수 있도록 해야 한다는 것입니다.
⑥ 무상으로 제공
컨트롤러는 정보주체의 권리 이행과 정보주체에 대한 모든 통지 및 조치에 관하여 정보주체를 대상으로 요금을 청구할 수 없습니다. 이는 정보의 제공이 금융 거래,
22) 호버오버(hover-over) 고지: 마우스의 위치에 정보를 고지할 수 있는 방법을 제공하는 것. 예를 들면 웹사이트에 특정 문장이나 단어 등에 마우스 커서를 위치시키면 고지 내용이 새로운 창으로 보이도록 하는 방법 등으로 구현할 수 있다.
Ⅲ 주요 원칙
서비스 또는 상품에 대한 지불 또는 구입의 조건이 될 수 없다는 것을 의미합니다. 다만 제12조제5항에 의거하여 정보주체의 요청이 명백한 근거가 없거나 과도한 경우, 특히 그 성격이 반복적인 경우 거부 또는 합리적인 수수료를 부과할 수 있습니다.
1. 컨트롤러(Controller) 2. 대리인(Representatives) 3. 프로세서(Processor)