Explication
ISO 27701
Considérants
(51) 본질적으로 기본권과 자유와 관련해 특히 민감한 개인정보는 그 처리가 기본권 및 자유에 중대한 위험을 초래할 수 있기 때문에 특정한 보호를 받아야 한다. 이러한 정보에는 인종 또는 민족출신을 드러나는 개인정보도 포함되어야 하나, 본 규정에서 ‘인종출신’이라는 용어를 사용한다고 하여 유럽연합이 서로 다른 인종이 존재한다고 단정 지으려는 이론을 용인한다는 의미는 아니다. 사진의 처리는 개인을 고유하게 식별하거나 인증할 수 있는 특정 기술 수단을 통해 처리될 시에만 생체정보의 정의에 해당되기 때문에, 체계적으로는 특별 범주의 개인정보 처리로 분류되지 않는다. 그 개인정보는 회원국의 법률이 공익을 위하거나 컨트롤러에 부여된 공적 권한 행사에 따른 직무 수행 또는 법적 의무의 준수를 위해 본 규정의 규칙 적용을 변경하고자 데이터 보호에 관한 특정 조문을 규정할 수 있다는 사실을 고려하여 본 규정에 명시된 특정 상황에서 허용되지 않는다면 처리되어서는 안 된다. 그 처리에 대한 특정 요건과 더불어, 본 규정의 통칙 및 기타 규칙은 특히 적법한 처리를 위한 조건과 관련하여 적용되어야 한다. 그 같은 특별 범주의 개인정보 처리를 일반적으로 금지하는 것에 대한 적용제외는 명시적으로 제공되어야 하고, 특히 정보주체가 명백한 동의를 제공한 경우나 특히 기본적 자유 행사를 허용할 목적으로 특정 재단 또는 협회가 행하는 정당한 활동 중에 처리가 이루어지는 경우의 특정 요구조건과 관련하여 더욱 그러하다.
(52) 특별 범주의 개인정보 처리를 금지하는 것에 대한 적용제외는 유럽연합 또는 회원국 법률에 규정이 되어있고 적절한 안전장치에 따를 경우 개인정보 및 기타 기본권 보호를 위해 허용되어 한다. 특히 공익을 위한 경우로서, 고용법, 연금 및 의료보장 등의 사회적 보호 법률, 감시 및 경계 목적, 전염병 및 기타 건강에 대한 중대한 위협을 예방하거나 통제하려는 경우의 개인정보 처리에 대해서 특히 적용제외가 허용이 되어야 한다. 그 같은 적용제외는 공중보건, 의료 서비스 관리 등의 보건 목적을 위해 허용될 수 있으며, 특히 건강보험 제도상 수당 및 서비스 청구에 사용되는 절차의 품질 및 비용의 효율성을 보장하기 위해서나 공익적 기록보존 목적, 과학적 및 역사적 연구 목적 또는 통계 목적을 위해 허용될 수 있다. 적용제외는 또한 법적 청구권(legal claims)의 입증, 행사 또는 방어 시 필요한 경우 ‘법정 소송절차, 행정절차 또는 법원 외 절차인지 여부에 관계없이’ 그러한 특별 범주의 개인정보 처리를 허용하여야 한다.
(53) 더 높은 수준의 보호를 받아야 하는 특별 범주의 개인정보는 개인 및 사회 전반의 이익을 위한 목적 달성에 필요한 건강 관련 목적으로만 처리되어야 하며, 특히 품질관리, 관리정보, 의료서비스 및 사회보장 제도에 대한 국가와 지역차원의 감독 목적, 의료서비스나 사회보장의 지속성 및 국가간 의료서비스나 의료보장 달성의 목적, 모니터링 및 경계 목적이나 공익적 목표를 달성해야 하는 유럽연합 또는 회원국 법률에 근거한 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적이나 통계 목적을 위해, 그리고 공중보건 부문의 공익을 위한 연구를 위해 경영진 및 중앙 보건당국이 그 같은 데이터를 처리하는 등 의료서비스 또는 사회보장서비스·제도를 관리하는 경우에서 개인과 사회 전체의 이익을 위해 그 목적 달성이 필요한 경우가 그러하다. 따라서 본 규정은 특히 직무상의 법적 기밀유지 의무가 보장되는 상황에서 개인이 특정의 건강 관련 목적으로 건강에 관한 특별 범주의 개인정보를 처리하는 경우, 특정 니즈(needs)를 고려하여, 그 같은 처리에 대한 조화로운 여건을 제공하여야 한다. 유럽연합 또는 회원국 법률은 개인의 기본권 및 개인정보를 보호하기 위한 구체적이고 적절한 조치를 규정하여야 한다. 회원국은 유전 정보, 생체 정보 또는 건강에 관한 데이터의 처리와 관련하여 제한 등 추가적 조건을 유지하거나 도입할 수 있어야 한다. 그러나 회원국 간에 이루어지는 그 같은 처리에 상기 조건이 적용될 시 유럽연합 역내의 자유로운 개인정보 이동이 방해를 받아서는 안 된다.
(54) 특별 범주의 개인정보 처리는 정보주체의 동의 없이 공중보건 분야에서 공익상의 이유로 필요할 수 있다. 그 처리는 개인의 권리와 자유를 보호하기 위해 적절하고 구체적인 조치를 적용받아야 한다. 그러한 맥락에서 ‘공중보건’은 유럽의회와 각료이사회의 규정(EC) No1338/2008에 정의된 대로 해석되어야 하며 [11], 이는 건강과 관련된 모든 요소로서 질병 상태나 장애 등의 건강상태, 그 건강상태에 영향을 미치는 결정적 요소, 의료서비스의 필요, 의료서비스에 할당된 자원, 의료서비스 지출 및 재정 조달을 비롯한 의료서비스 제공 및 보편적 이용, 그리고 사망 원인 등을 가리킨다. 공익적 사유의 그 같은 건강 관련 개인정보의 처리로 인해 고용인 또는 보험사, 그리고 금융사 등 제3자가 기타 목적으로 개인정보를 처리하는 결과가 초래되어서는 안 된다.
(55) 또한 헌법이나 국제공법에 규정된 공인된 종교단체의 목표를 달성할 목적으로 공공당국이 실시하는 개인정보의 처리는 공익을 근거로 시행된다.
(56) 선거활동 중 회원국 내 민주주의 제도의 작동을 위해 정당이 개인의 정견에 대한 개인정보를 축적하도록 요구되는 경우, 적절한 안전조치가 수립되는 한, 공익의 사유로 그 같은 데이터의 처리가 허용될 수 있다.
Lignes directrices & Jurisprudence
(EN) The first exception is based on “explicit consent”. Article 9 consent differs from the general notion of consent of article 6 in one important aspect: it must be explicitly provided by the person concerned. It means that the consent must be freely given, specific, informed, and unambiguous, under the definition of article 4 (11), and, in addition to these requirements, it must be “explicit”.
What form of consent is considered “explicit” and thus valid under article 9? The sensitive nature of the data involved entails a consent that goes beyond the regular “statement or clear affirmative action” [article 4 (11)] on the part of the data subject. It means that s/he must give “an express statement of consent” (Guidelines on Consent), even in the case where services are provided on a contractual basis. An explicit consent is needed because there is no contract based exceptions in article 9 (2) a controller can rely on.
The Guidelines on Consent suggest that a written statement or even a signed written statement may be required, even though the GDPR does not prescribe such a form of consent. A signed consent may be relevant if health data are collected, for example, in the context of services offered by a private clinic or a convalescent home. A plastic surgeon may need to gather information about a client’s health condition or share medical information to seek a second opinion from one of her/his colleagues. The managers of a convalescent home will have to gather information about a future pensionary’s health condition to arrange the appropriate services needed during her/his stay.
A signed written statement is not as practical in the digital or online environment. How can a person consent if, for example, s/he buys a plane ticket online and requires special medical assistance at boarding time, during the flight or at her/his arrival at destination? A valid consent will also be difficult to obtain if a person places an online order for buying special eyewear as the seller has to collect health-related information about her/his vision and share it with the manufacturer.
Simply following a link or ticking a box might be regarded as an insufficient consent in these examples. The Guidelines on Consent recommend other forms of consent, like filling in an electronic form, using an electronic signature, recording an oral statement or proceeding with a two-step verification (ticking a box in a form and confirming the consent by email afterward, for example).
Article 9 prescribes that a person must consent “for one or more specified purposes”. The requirement goes beyond the “specific” quality of consent required by article 4 (11). Purposes must be clearly specified, which implies that the consent must be tied to specific data or precise categories of data that the controller will be allowed to process.
You must always remember that the GDPR is not a complete statement on the state of the law on data protection in a particular Member State, and it is particularly true here because there is an exception to the exception. Consent is an invalid basis to process special categories of personal data if a Member State prohibits the lifting of the prohibition for processing special categories of personal data by an individual in its national legislation, as the GDPR allows it.