Source: http://www.pipc.go.kr/cmt/not/ntc/selectBoardArticle.do?nttId=5969&bbsId=BBSMSTR_000000000121&bbsTyCode=BBST03&bbsAttrbCode=BBSA03&authFlag=Y&pageIndex=6
(75) 개인의 권리와 자유에 초래되는 위험은, 다양한 발생가능성과 심각성으로 나타나는데 이는, 개인정보 처리로 인해 발생할 수 있으며, 이는 신체적(physical), 물질적(material) 혹은 비-물질적(non-material) 손해를 초래할 수 있다. 특히, 처리로 인해 차별, 신용도용 및 사기, 재정적 손실, 명예훼손, 직무상의 기밀로 보호되던 개인정보의 기밀성 상실, 가명정보에 대한 무단 재식별 처리, 또는 기타의 심각한 경제적 또는 사회적 불이익이 초래될 수 있는 경우 그러하다. 또한, 정보주체가 본인의 권리와 자유를 빼앗길 수 있는 경우나, 본인의 개인정보에 대한 자기결정권(right to control) 행사하지 못하게 되는 경우, 혹은 개인정보가 인종 및 민족의 출신, 정견, 종교 및 철학적 신념, 노동조합의 가입여부와 유전자정보, 건강정보 또는 성생활 관련 정보나 범죄 기소 및 범죄관련 개인정보에 대한 처리 또는 관련한 보안 조치를 드러내는 방식으로 처리되는 경우. 또는 개인적인 측면에 평가되는 경우로 특히 업무능력, 경제적 상황, 건강상태, 개인의 성향 및 관심사, 신뢰성이나 행동, 위치 및 이동경로와 관련된 측면을 개인프로필 생성 및 이용을 위해 분석하거나 예측하는 경우. 혹은 아동 등 취약한 개인의 개인정보가 처리되는 경우나 처리가 방대한 양의 개인정보와 관련 있거나, 수많은 정보주체에게 영향을 미치는 경우가 그러하다.
(86) 컨트롤러는 개인정보 유출이 개인의 권리와 자유에 고위험을 초래할 가능성이 있는 경우, 정보주체가 필요한 예방조치를 취할 수 있도록 부당한 지체 없이 개인정보의 유출을 정보주체에게 통지해야 한다. 통지에는 유출된 개인정보의 성격과 잠재적인 부작용을 완화할 수 있는 권고대책이 포함되어야 한다. 통지는 합리적으로 가능한 빨리, 감독기관 또는 법집행기관 등 기타 관련 기관이 제공하는 지침에 따라 해당 감독기관과의 긴밀한 협력 아래에 이루어져야 한다. 예를 들어, 즉각적으로 피해를 줄이기 위한 경우, 정보주체에 즉시 통지해야 하는 한편, 지속적이거나 비슷한 개인정보의 유출을 막기 위해 적절한 조치를 취해야 하는 경우는 통지하기까지 더 오랜 시간 소요되는 것을 정당화 할 수 있다.
(EN)
Article 29 Working Party, Opinion 03/2014 on “Personal Data Breach Notification (2014).
Article 29 Working Party, Guidelines on Personal data breach notification under Regulation 2016/679 (2018).
EDPB, Guidelines 1/2021 on Examples regarding Data Breach Notification (2021).
DPC (Ireland), Guidance for Individuals who Accidentally Receive Personal data (2020).
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 16.1.1.
Here is the relevant paragraph to article 34 GDPR:
6.13.1.1 Responsibilities and procedures
Implementation guidance
As part of the overall information security incident management process, the organization should establish responsibilities and procedures for the identification and recording of breaches of PII. Additionally, the organization should establish responsibilities and procedures related to notification to required parties of PII breaches (including the timing of such notifications) and the disclosure to authorities, taking into account the applicable legislation and/or regulation.
(EN) […]
(EN) Sign in
to read the full text