Navigatsioon
GDPR > 제13조. 개인정보가 정보주체로부터 수집되는 경우 제공되는 정보
Allalaadimine

제13조 GDPR. 개인정보가 정보주체로부터 수집되는 경우 제공되는 정보

1. 정보주체에 관련된 개인정보를 정보주체로부터 수집하는 경우, 컨트롤러는 개인정보를 취득할 당시 정보주체에게 다음 각 호의 정보 일체를 제공해야 한다.

Põhjendustes

(60) 공정하고 투명한 처리의 원칙에 따라 정보주체는 처리 작업의 존재 및 그 존재에 대하여 통지 받아야 한다. 컨트롤러는 개인정보가 처리되는 특정 상황 및 맥락을 참작하여 공정하고 투명한 처리 보장에 필요한 모든 추가적인 정보를 정보주체에 제공해야 한다. 또한 정보주체는 프로파일링 유무와 해당 프로파일링의 결과에 대해 통지받아야 한다. 정보주체로부터 개인정보가 수집되는 경우, 해당 정보주체는 본인이 개인정보 제공의 의무가 있는지 여부 및 해당 정보를 제공하지 않을 경우의 결과에 대해 통지받아야 한다. 그 정보는 눈에 잘 띄고 이해하기 쉬우며 가독성이 뛰어난 방식으로 예정된 처리에 대해 중요한 개략적 정보를 제공하기 위해 표준화된 아이콘과 함께 제공될 수 있다. 전자 수단을 이용하여 아이콘을 제공하는 경우에는 기계 판독이 가능해야 한다.

Ühendused

(a) 컨트롤러 또는 해당되는 경우, 컨트롤러의 대리인의 신원 및 상세 연락처

Suunised & Case Law

(b) 해당되는 경우, 데이터보호담당관의 상세 연락처

Suunised & Case Law

(c) 해당 개인정보의 예정된 처리의 목적뿐 아니라 처리의 법적 근거

Suunised & Case Law

(d) 제6조(1)의 (f)호에 근거한 처리의 경우, 컨트롤러 또는 제3자의 정당한 이익

Suunised & Case Law Ühendused

(e) 해당되는 경우, 개인정보의 수령인 또는 수령인의 범주

Suunised & Case Law Ühendused

(f) 해당되는 경우, 컨트롤러가 제3국이나 국제기구의 수령인에게 개인정보를 이전할 예정이라는 사실과 집행위원회가 내린 적정성 결정의 유무, 또는 제46조, 제47조, 제49조(1)의 두 번째 단락에 명시된 이전의 경우, 적절하고 적합한 안전조치, 그 사본을 입수하기 위한 수단, 안전조치가 사용 가능하게 되는 경우에 대한 언급

Suunised & Case Law Ühendused

2. 제1항의 정보와 함께, 컨트롤러는 개인정보가 입수될 때 공정하고 투명한 처리를 보장하는 데 필요한, 다음 각 호의 추가 정보를 정보주체에 제공해야 한다.

Põhjendustes

(61) 정보주체에 관한 개인정보의 처리와 관련한 정보는 정보주체로부터 수집 당시 또는 제3의 출처로부터 정보가 수집된 경우 적절한 기간 내에, 해당 경우의 상황에 따라, 정보주체에 제공되어야 한다. 개인정보가 합법적으로 제3의 수령인에게 제공될 수 있는 경우, 해당 정보주체는 정보가 최초로 해당 수령인에게 제공될 시 이를 통지받아야 한다. 컨트롤러가 당초 수집 목적 외로 개인정보를 처리하려는 경우, 컨트롤러는 추가 처리에 앞서 정보주체에게 추가 목적에 대한 정보 및 기타 필요한 정보를 제공해야 한다. 다양한 출처의 활용으로 인해 정보주체에게 개인정보의 출처를 제공할 수 없는 경우, 일반적인 정보가 제공되어야 한다.

Ühendused

(a) 개인정보의 보관기간, 또는 이것이 여의치 않을 경우, 해당 기간을 결정하는 데 사용하는 기준

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 13(2)(a) GDPR:

7.4.7 Retention

Control

The organization should not retain PII for longer than is necessary for the purposes for which the PII is processed.

Implementation guidance

The organization should develop and maintain retention schedules for information it retains, taking into account the requirement to retain PII for no longer than is necessary.


terviktekstile juurdepääsuks

Suunised & Case Law

(b) 컨트롤러에게 본인의 개인정보에 대한 열람, 정정, 삭제를 요구하거나 정보주체 본인에 관한 처리의 제한이나 반대를 요구할 권리, 그리고 본인의 개인정보를 이전할 수 있는 권리의 유무

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 13(2)(b) GDPR:

7.3.5 Providing mechanism to object to PII processing

Control

The organization should provide a mechanism for PII principals to object to the processing of their PII.

Implementation guidance

Some jurisdictions provide PII principals with a right to object to the processing of their PII. Organizations subject to the legislation and/or regulation of such jurisdictions should ensure that they implement appropriate measures to enable PII principals to exercize this right.


terviktekstile juurdepääsuks

Suunised & Case Law

(c) 해당 처리가 제6조(1)의 (a)호나 제9조(2)의 (a)호에 근거하는 경우, 철회 이전에 동의를 기반으로 하는 처리의 적법성에 영향을 주지 않고 언제든지 동의를 철회할 수 있는 권리의 유무

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 13(2)(c) GDPR:

7.3.4 Providing mechanism to modify or withdraw consent

Control

The organization should provide a mechanism for PII principals to modify or withdraw their consent.

Implementation guidance

The organization should inform PII principals of their rights related to withdrawing consent (which may vary by jurisdiction) at any time, and provide the mechanism to do so.


terviktekstile juurdepääsuks

Suunised & Case Law Ühendused

(d) 감독기관에 민원을 제기할 수 있는 권리

Suunised & Case Law Ühendused

(e) 개인정보의 제공이 법정 또는 계약상의 요건이거나 계약 체결에 필요한 요건인지의 여부 및 정보주체가 개인정보를 제공할 의무가 있는지의 여부, 그리고 해당 정보를 제공하지 않을 경우 발생할 수 있는 결과

Suunised & Case Law

(f) 제22조(1) 및 (4)에 규정된 프로파일링 등, 자동화된 의사결정의 유무. 최소한 이 경우, 관련 논리에 관한 유의미한 정보와 그 같은 처리가 정보주체에 미치는 중대성 및 예상되는 결과

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 13(2)(f) GDPR:

7.3.10 Automated decision making

Control

The organization should identify and address obligations, including legal obligations, to the PII principals resulting from decisions made by the organization which are related to the PII principal based solely on automated processing of PII.


terviktekstile juurdepääsuks

Suunised & Case Law Ühendused

3. 컨트롤러가 개인정보를 수집한 목적 외로 추가 처리할 예정인 경우, 컨트롤러는 추가 처리 이전에, 정보주체에게 해당하는 기타 목적에 관한 정보와 제2항의 관련 추가 정보 일체를 제공해야 한다.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 13(3) GDPR:

7.3.3 Providing information to PII principals

Control

The organization should provide PII principals with clear and easily accessible information identifying the PII controller and describing the processing of their PII.

Implementation guidance

The organization should provide the information detailed in 7.3.2 to PII principals in a timely, concise, complete, transparent, intelligible and easily accessible form, using clear and plain language, as appropriate to the target audience.


terviktekstile juurdepääsuks

4. 정보주체가 이미 관련 정보를 보유하고 있는 경우, 제1항, 제2항 및 제3항은 적용되지 않는다.

Ekspertide kommentaar ISO 27701 Põhjendustes Suunised & Case Law Jäta kommentaar
Ekspertide kommentaar

(EN) To facilitate the work of our consultants, we have collected all the requirements and information that have to be mentioned and created a convenient checklist. Next to each paragraph, we have placed links to specific GDPR articles and guidelines. We grouped all the information into 7 sections:

  • Controller’s identity
  • Purpose and lawful basis for processing
  • Personal data
  • Transfers of data to third countries
  • Rights
  • Changes (in privacy notices)
  • Form (of information provided)

It looks like this:


terviktekstile juurdepääsuks

(EN) Author
Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

(EN)

Data Subject Request Letter Sample

Concern: Request of information regarding my personal data

Dear Madam, Dear Sir,

I have a right to be informed, under Article 13 of the General Data Protection Regulation (GDPR), about personal data concerning me that you are processing…


terviktekstile juurdepääsuks

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 13 GDPR:

7.3.2 Determining information for PII principals

Control

The organization should determine and document the information to be provided to PII principals regarding the processing of their PII and the timing of such a provision.

Implementation guidance

The organization should determine the legal, regulatory and/or business requirements for when information is to be provided to the PII principal (e.g. prior to processing, within a certain time from when it is requested, etc.) and for the type of information to be provided.

 


terviktekstile juurdepääsuks

Põhjendustes

(61) 정보주체에 관한 개인정보의 처리와 관련한 정보는 정보주체로부터 수집 당시 또는 제3의 출처로부터 정보가 수집된 경우 적절한 기간 내에, 해당 경우의 상황에 따라, 정보주체에 제공되어야 한다. 개인정보가 합법적으로 제3의 수령인에게 제공될 수 있는 경우, 해당 정보주체는 정보가 최초로 해당 수령인에게 제공될 시 이를 통지받아야 한다. 컨트롤러가 당초 수집 목적 외로 개인정보를 처리하려는 경우, 컨트롤러는 추가 처리에 앞서 정보주체에게 추가 목적에 대한 정보 및 기타 필요한 정보를 제공해야 한다. 다양한 출처의 활용으로 인해 정보주체에게 개인정보의 출처를 제공할 수 없는 경우, 일반적인 정보가 제공되어야 한다.

(62) 그러나 정보주체가 이미 해당 정보를 보유하고 있는 경우, 법률이 해당 개인정보의 기록 또는 제공을 명백히 규정한 경우, 또는 정보주체에 해당 정보를 제공하는 것이 불가능하다고 입증되거나 비례하지 않는 노력을 요하는 경우에는 정보 제공의 의무를 부과할 필요가 없다. 후자는 특히 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적, 또는 통계 목적으로 처리가 실시되는 경우가 해당될 수 있다. 이와 관련해 정보주체의 수, 해당 개인정보의 생성시점 및 채택된 모든 적절한 안전장치가 고려되어야 한다.

(63) 정보주체는 처리의 적법성을 인지하고 검증하기 위해 본인에 관해 수집된 개인정보를 열람하고 그 권리를 용이하게, 그리고 적절한 시간 간격으로 행사할 권리를 가진다. 권리를 가진다. 정보주체가 진단, 검사 결과, 의료진의 평가, 제공된 치료나 조치 등의 정보가 포함된 의료 기록상의 데이터 등 본인의 권강에 관한 데이터를 열람할 권리도 이에 포함된다. 따라서 모든 정보주체는 특히 개인정보가 처리되는 목적, 가능한 경우 처리기간, 개인정보의 수령인, 개인정보 자동 처리에 수반되는 논리, 처리가 프로파일링을 근거로 할 시 최소한 그 처리 결과에 대해 알고 전달(통지)받을 권리를 가진다. 가능한 경우, 컨트롤러는 보안시스템에 대한 원격 접속을 가능하게 하여 정보주체가 본인의 개인정보를 직접 열람하게 할 수 있다. 그 권리가 거래 기밀이나 지적재산권, 그리고 특히 소프트웨어 보호 저작권 등 타인의 권리와 자유에 악영향을 끼쳐서는 안 된다. 그러나 상기 사항을 고려함으로 인해 정보주체에게 일체의 정보를 제공하는 것이 거부되어서는 안 된다. 컨트롤러가 정보주체에 관한 대량의 정보를 처리하는 경우, 컨트롤러는 그 정보를 전달하기 전에 정보주체가 해당 요청에 관련된 정보 또는 처리 활동을 명시하도록 요구할 수 있다.

Suunised & Case Law Jäta kommentaar
[js-disqus]