Navigation
GDPR > 제12조. 정보주체의 권리 행사를 위한 투명한 정보, 통지 및 형식
Download PDF

제12조 GDPR. 정보주체의 권리 행사를 위한 투명한 정보, 통지 및 형식

1. 컨트롤러는 처리와 관련한 제13조 및 제14조에 명시된 일체의 정보, 제15조부터 제22조까지의 조문 및 제34조에 규정된 일체의 통지를 정확하고, 투명하며, 이해하기 쉬운 형식으로 명확하고 평이한 언어를 사용하여 정보주체에게 제공하기 위한 적절한 조치를 취해야 하고, 특히 아동을 특정 대상으로 할 때 더욱 그러해야 한다. 해당 정보는 서면이나 적절한 경우, 전자수단 등 기타 수단을 이용하여 제공되어야 한다. 정보주체가 요청하는 경우, 다른 수단을 통해 정보주체의 신원이 입증되면, 해당 정보는 구두로 제공될 수 있다.

Guidelines & Case Law Recitals

(58) 투명성의 원칙에 따라 대중 또는 정보주체에 제공되는 정보는 간결하고 이용이 용이하며 이해하기 쉬워야 하고, 명확하고 평이한 언어의 사용에 더해 적절한 경우 시각화 기법을 활용해야 한다. 그 같은 정보는 대중에게 제공될 시 웹사이트를 통해 전자 양식으로 제공될 수 있다. 이는 온라인 광고 등 활동주체(actors)의 확산 및 관행의 기술적 복잡성으로 인해 정보주체가 누가 무슨 목적으로 본인에 관한 개인정보를 수집하는지 여부를 파악하기 어려운 상황과 특히 관련이 있다. 아동에게 특정한 보호수단이 필요하다는 것을 고려할 때 아동을 대상으로 한 (데이터)처리 시 정보제공 및 통지 일체는 해당 아동이 쉽게 이해할 수 있는 명확하고 평이한 언어로 이루어져야 한다.

Related

2. 컨트롤러는 제15조부터 제22조까지의 조문에 따라 정보주체의 권리 행사를 용이하게 해야 한다. 제11조(2)의 경우에서 컨트롤러는 제15조부터 제22조까지의 조문에 따라 본인의 권리를 행사하려는 정보주체의 요청을 거절해서는 안 되며, 컨트롤러가 정보주체를 식별할 수 없음을 입증하는 경우는 예외로 한다.

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 12(2) GDPR:

7.3.1 Determining and fulfilling obligations to PII principals

Control

The organization should determine and document their legal, regulatory and business obligations to PII principals related to the processing of their PII and provide the means to meet these obligations.

[…]


to read the full text

Guidelines & Case Law Recitals

(59) 개인정보의 열람, 정정 또는 삭제를 요청하고 적용 가능한 경우 이를 무상으로 획득할 메커니즘 등 본 규정에 따른 정보주체의 권리 행사 및 반대할 권리 행사를 지원할 양식(modalities)이 제공되어야 한다. 컨트롤러는 특히 전자 수단에 의해 개인정보가 처리되는 경우, 전자적 방식으로 요청을 할 수 있는 방법도 제공하여야 한다. 컨트롤러는 부당한 지체 없이, 늦어도 한 달 이내에 정보주체의 요청에 응대하여야 하며 정보주체의 요청에 응하지 않으려는 경우, 그 사유를 제공할 의무가 있다.

(64) 컨트롤러는 특히 온라인 서비스 및 온라인 식별자와 관련한 상황에서 열람을 요구한 정보주체의 신원을 확인하기 위한 모든 적정 조치를 취해야 한다. 컨트롤러는 잠재적 요청을 응대한다는 유일한 목적으로 개인정보를 보유해서는 안 된다.

Related

3. 컨트롤러는 요청을 접수한 후, 한 달 이내에 부당한 지체 없이, 제15조에서 제22조까지의 조문에 따른 요청에 따라 취해진 조치에 대한 정보를 정보주체에게 제공해야 한다. 해당 요청의 복잡성과 요청 횟수를 참작하여 필요한 경우 해당 기간을 2개월 간 더 연장할 수 있다. 컨트롤러는 요청 접수 후 한 달 이내에 정보주체에게 기간 연장 및 지연 사유에 대해 고지하여야 한다. 정보주체가 전자양식의 수단으로 요청을 하는 경우, 정보주체로부터 별도의 요청이 있지 않는 한, 해당 정보는 가능한 전자양식으로 제공되어야 한다.

Related

4. 컨트롤러가 정보주체의 요청에 대해 조치를 취하지 않는 경우, 정보주체에게 지체 없이 통지해야 하고 요청의 접수 후 최대 한 달 이내에 조치를 취하지 않은 사유 및 감독기관에 민원을 제기하고 사법 구제를 받을 수 있는 가능성에 대해 정보주체에게 고지해야 한다.

5. 제13조 및 제14조에 명시된 정보와 제15조부터 제22조까지의 조문 및 제34조에 따른 일체의 통지와 조치는 무상으로 제공되어야 한다. 정보주체의 요청이 명백하게 근거가 없거나 과도한 경우, 특히 요청이 반복될 경우, 컨트롤러는 다음 각 호의 하나에 따를 수 있다.

Related

(a) 관련 정보 또는 통지를 제공하거나 요청한 조치를 취하는 데 소요되는 행정적 비용을 참작하여 합리적인 비용을 부과한다.

(b) 해당 요청에 대한 응대를 거부한다.

컨트롤러는 해당 요청이 명백하게 근거가 없거나 과도하다는 사실을 입증할 책임이 있다.

6. 제15조에서 제19조까지의 조문에 규정된 요청을 하는 개인의 신원과 관련하여 합리적인 의심이 드는 경우, 컨트롤러는 제11조를 침해하지 않고 정보주체의 신원을 확인하는 데 필요한 추가적 정보 제공을 요청할 수 있다.

Related

7. 제13조 및 제14조에 따라 정보주체에게 제공되는 정보는 예정된 처리에 대해 유의미한 개요를 제공하고자 표준화된 아이콘과 결합하여 가시적이고 이해하기 쉬우며 가독성이 뛰어난 방식으로 제공될 수 있다. 해당 아이콘이 전자 방식으로 제공되는 경우, 이는 기계 판독이 가능해야 한다.

Related

8. 집행위원회는 아이콘으로 제시되는 정보 및 표준 아이콘의 제공 절차를 결정하기 위한 목적으로 제92조에 따라 위임 법률을 채택할 권한을 갖는다.

Expert commentary ISO 27701 Recitals Guidelines & Case Law Leave a comment
Expert commentary
Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert
ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 12 GDPR:

7.3.3 Providing information to PII principals

Control

The organization should provide PII principals with clear and easily accessible information identifying the PII controller and describing the processing of their PII.

Implementation guidance

The organization should provide the information detailed in 7.3.2 to PII principals in a timely, concise, complete, transparent, intelligible and easily accessible form, using clear and plain language, as appropriate to the target audience.

[…]


to read the full text

Recitals

(58) 투명성의 원칙에 따라 대중 또는 정보주체에 제공되는 정보는 간결하고 이용이 용이하며 이해하기 쉬워야 하고, 명확하고 평이한 언어의 사용에 더해 적절한 경우 시각화 기법을 활용해야 한다. 그 같은 정보는 대중에게 제공될 시 웹사이트를 통해 전자 양식으로 제공될 수 있다. 이는 온라인 광고 등 활동주체(actors)의 확산 및 관행의 기술적 복잡성으로 인해 정보주체가 누가 무슨 목적으로 본인에 관한 개인정보를 수집하는지 여부를 파악하기 어려운 상황과 특히 관련이 있다. 아동에게 특정한 보호수단이 필요하다는 것을 고려할 때 아동을 대상으로 한 (데이터)처리 시 정보제공 및 통지 일체는 해당 아동이 쉽게 이해할 수 있는 명확하고 평이한 언어로 이루어져야 한다.

(59) 개인정보의 열람, 정정 또는 삭제를 요청하고 적용 가능한 경우 이를 무상으로 획득할 메커니즘 등 본 규정에 따른 정보주체의 권리 행사 및 반대할 권리 행사를 지원할 양식(modalities)이 제공되어야 한다. 컨트롤러는 특히 전자 수단에 의해 개인정보가 처리되는 경우, 전자적 방식으로 요청을 할 수 있는 방법도 제공하여야 한다. 컨트롤러는 부당한 지체 없이, 늦어도 한 달 이내에 정보주체의 요청에 응대하여야 하며 정보주체의 요청에 응하지 않으려는 경우, 그 사유를 제공할 의무가 있다.

(64) 컨트롤러는 특히 온라인 서비스 및 온라인 식별자와 관련한 상황에서 열람을 요구한 정보주체의 신원을 확인하기 위한 모든 적정 조치를 취해야 한다. 컨트롤러는 잠재적 요청을 응대한다는 유일한 목적으로 개인정보를 보유해서는 안 된다.

Guidelines & Case Law Leave a comment
[js-disqus]