... (49) 오로지 네트워크 및 정보보안을 담보할 목적에 대하여 필요하고 비례하는 범위 내에서 이루어지는 개인정보의 처리는 관련 컨트롤러의 정당한 이익이 된다. 네트워크 및 정보보안이란 주어진 신뢰수준에서 네트워크나 정보시스템이 저장되거나 전송된 개인정보의 가용성, 진위성, 무결성, 기밀성을 해치는 우발적 사건이나 불법적 또는 악의적 행위에 저항하는 능력, 그리고 해당 네트워크와 시스템이 제공하거나 이를 통해 공공기관, 컴퓨터 비상 대응팀, 컴퓨터 보안사고 대응팀, 전자통신 네트워크·서비스 공급자, 보안기술·서비스 공급자가 제공받는 관련 서비스의 보안을 가리킨다. 여기에는 전자통신 네트워크에의 무단접근 및 악성코드 배포를 방지하고 ‘서비스 거절’ 공격 및 컴퓨터·전자통신시스템의 손상을 중지시키는 것이 포함될 수 있다. ...
... (49) The processing of personal data to the extent strictly necessary and proportionate for the purposes of ensuring network and information security, i.e. the ability of a network or an information system to resist, at a given level of confidence, accidental events or unlawful or malicious actions that compromise the availability, authenticity, integrity and confidentiality of stored or transmitted personal data, and the security of the related services offered by, or accessible via, those networks and systems, by public authorities, by computer emergency response teams (CERTs), computer security incident response teams (CSIRTs), by providers of electronic communications networks and services and by providers of security technologies and services, constitutes a legitimate interest of the data controller concerned. This could, for example, include preventing unauthorised access to electronic communications networks and malicious code distribution and stopping ‘denial of service’ attacks and damage to computer and electronic communication systems. ...
... (45) 컨트롤러에게 부과된 법적 의무에 따라 처리가 이루어지는 경우 또는 공익을 위하거나 공적 권한 행사에 따른 직무 수행에 개인정보 처리가 필요한 경우, 해당 처리는 유럽연합 또는 회원국 법률에 그 근거를 두어야 한다. 본 규정은 각 개별 처리에 대하여 특정 법률을 요구하지는 않는다. 컨트롤러에 적용되는 법적 의무에 근거한 복수의 처리작업 또는 공익을 위하거나 공적 권한 행사에 따른 직무 수행에 처리가 요구되는 경우에 대한 근거가 된다면 하나의 법으로도 충분할 수 있다. 유럽연합 또는 회원국 법률은 처리 목적도 결정하여야 한다. 또한 그 법률은 개인정보 처리의 적법성을 관장하는 본 규정의 일반 조건을 명시할 수 있고, 컨트롤러, 처리 대상인 개인정보의 유형, 관련 정보주체, 해당 개인정보를 제공받을 수 있는 기관, 목적제한, 보관기간 및 적법하고 공정한 처리를 보장하기 위한 기타 조치를 결정하는 세부사항을 수립할 수 있다. 또한 유럽연합 또는 회원국 법률은 공익을 위하거나 공적 권한 행사에 따른 직무를 수행하는 컨트롤러가 공법에 적용받는 공공기관이나 기타 자연인 또는 법인이어야 하는지 여부, 또는 공중보건, 사회적 보호, 의료서비스 관리 등 건강목적을 포함해 공익에 부합하는 경우에는 전문가협회 등 민법에 적용받는지 여부를 결정하여야 한다. ...
... (45) Where processing is carried out in accordance with a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority, the processing should have a basis in Union or Member State law. This Regulation does not require a specific law for each individual processing. A law as a basis for several processing operations based on a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of an official authority may be sufficient. It should also be for Union or Member State law to determine the purpose of processing. Furthermore, that law could specify the general conditions of this Regulation governing the lawfulness of personal data processing, establish specifications for determining the controller, the type of personal data which are subject to the processing, the data subjects concerned, the entities to which the personal data may be disclosed, the purpose limitations, the storage period and other measures to ensure lawful and fair processing. It should also be for Union or Member State law to determine whether the controller performing a task carried out in the public interest or in the exercise of official authority should be a public authority or another natural or legal person governed by public law, or, where it is in the public interest to do so, including for health purposes such as public health and social protection and the management of health care services, by private law, such as a professional association. ...
... (g) 추구하는 목표에 비례하도록 유럽연합 또는 회원국 법률에 근거하여 상당한 공익상의 이유로 처리가 필요한 경우와 개인정보 보호권의 본질을 존중하고 정보주체의 기본적 권리 및 이익을 보호하기 위해 적절하고 구체적인 조치를 제공하는 경우 ...
... (g) processing is necessary for reasons of substantial public interest, on the basis of Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject; ...
... 컨트롤러가 목적의 양립가능 여부와 상관없이 해당 개인정보를 추가적으로 처리할 수 있는 경우가 있는데, 첫째, 정보주체가 동의하였거나, 둘째, 민주사회에서의 일반적 공익의 중요한 목표를 보호하는데 필수적이고 비례적인 조치를 구성하는 유럽연합 또는 회원국 법률에 근거하여 처리가 이루어지는 경우이다. 어떤 경우에서도 본 규정이 정한 원칙을 준수하여야 하며, 추가 처리 목적과 더불어 (처리) 반대권 등 정보주체의 권리를 정보주체에게 통보하여야 한다. 컨트롤러가 발생 가능한 범죄행위나 공안의 위협을 입증하고 동일한 범죄행위나 위협에 관한 개별 또는 복수의 사례에서 관련 개인정보를 관계 당국에 전송하는 것은 컨트롤러가 추구하는 정당한 이익으로 간주되어야 한다. 그러나 해당 정보처리가 법적, 직무상 또는 기타 구속력 있는 기밀유지의 의무와 양립하지 않는 경우, 컨트롤러의 정당한 이익을 위한 정보의 전송 및 추가 처리는 금지되어야 한다. ...
... Where the data subject has given consent or the processing is based on Union or Member State law which constitutes a necessary and proportionate measure in a democratic society to safeguard, in particular, important objectives of general public interest, the controller should be allowed to further process the personal data irrespective of the compatibility of the purposes. In any case, the application of the principles set out in this Regulation and in particular the information of the data subject on those other purposes and on his or her rights including the right to object, should be ensured. Indicating possible criminal acts or threats to public security by the controller and transmitting the relevant personal data in individual cases or in several cases relating to the same criminal act or threats to public security to a competent authority should be regarded as being in the legitimate interest pursued by the controller. However, such transmission in the legitimate interest of the controller or further processing of personal data should be prohibited if the processing is not compatible with a legal, professional or other binding obligation of secrecy. ...
... (156) 공익상의 기록보존 목적, 과학적 또는 역사적 연구 목적 또는 통계적 목적의 개인정보 처리는 본 규정에 따른 정보주체의 권리와 자유를 위해 적절한 안전조치의 적용을 받아야 한다. 이러한 안전조치는 특히 데이터 최소화의 원칙을 보장하기 위해 기술적 및 관리적 조치가 마련되어 있도록 보장해야 한다. 공익상의 기록보존 목적, 과학적 또는 역사적 연구 목적 또는 통계적 목적의 추가적인 개인정보 처리는 (개인정보의 가명처리 등) 적절한 안전조치가 존재하는 경우로서, 컨트롤러가 정보주체를 식별할 수 없거나 더 이상 식별할 수 없는 개인정보를 처리하여 해당 목적을 충족시킬 가능성을 평가하였을 때 시행되어야 한다. 회원국은 공익상의 기록보존 목적, 과학적 또는 역사적 연구 목적 또는 통계적 목적의 개인정보 처리를 위한 적절한 안전조치를 규정하여야 한다. 회원국은 특정 조건 하에서 정보주체를 위한 적절한 안전조치에 따라, 정보 제공에 관한 요건(information requirement) 및 공익상의 기록보존 목적, 과학적 또는 역사적 연구 목적 또는 통계적 목적으로 개인정보를 처리할 때 정정하고 삭제할 권리, 잊힐 권리, 정보를 이전하고 반대할 권리에 관한 세부사항 및 일부 적용제외 사항을 규정할 권한이 있어야 한다. 비례성 및 필요성의 원칙에 따라 개인정보의 처리를 최소화하려는 기술적 및 관리적 조치와 더불어, 특정 처리에서 추구하는 목적을 고려하여 적절한 경우, 정보주체가 상기의 권리를 행사하게 하기 위한 구체적인 절차가 이러한 조건과 안전조치에 포함되어 있을 수 있다. 과학적 목적으로의 개인정보 처리도 임상 실험에 관한 법률 등 기타 관련 법률을 준수해야 한다. ...
... (156) The processing of personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes should be subject to appropriate safeguards for the rights and freedoms of the data subject pursuant to this Regulation. Those safeguards should ensure that technical and organisational measures are in place in order to ensure, in particular, the principle of data minimisation. The further processing of personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes is to be carried out when the controller has assessed the feasibility to fulfil those purposes by processing data which do not permit or no longer permit the identification of data subjects, provided that appropriate safeguards exist (such as, for instance, pseudonymisation of the data). Member States should provide for appropriate safeguards for the processing of personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. Member States should be authorised to provide, under specific conditions and subject to appropriate safeguards for data subjects, specifications and derogations with regard to the information requirements and rights to rectification, to erasure, to be forgotten, to restriction of processing, to data portability, and to object when processing personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. The conditions and safeguards in question may entail specific procedures for data subjects to exercise those rights if this is appropriate in the light of the purposes sought by the specific processing along with technical and organisational measures aimed at minimising the processing of personal data in pursuance of the proportionality and necessity principles. The processing of personal data for scientific purposes should also comply with other relevant legislation such as on clinical trials. ...
... (53) 더 높은 수준의 보호를 받아야 하는 특별 범주의 개인정보는 개인 및 사회 전반의 이익을 위한 목적 달성에 필요한 건강 관련 목적으로만 처리되어야 하며, 특히 품질관리, 관리정보, 의료서비스 및 사회보장 제도에 대한 국가와 지역차원의 감독 목적, 의료서비스나 사회보장의 지속성 및 국가간 의료서비스나 의료보장 달성의 목적, 모니터링 및 경계 목적이나 공익적 목표를 달성해야 하는 유럽연합 또는 회원국 법률에 근거한 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적이나 통계 목적을 위해, 그리고 공중보건 부문의 공익을 위한 연구를 위해 경영진 및 중앙 보건당국이 그 같은 데이터를 처리하는 등 의료서비스 또는 사회보장서비스·제도를 관리하는 경우에서 개인과 사회 전체의 이익을 위해 그 목적 달성이 필요한 경우가 그러하다. 따라서 본 규정은 특히 직무상의 법적 기밀유지 의무가 보장되는 상황에서 개인이 특정의 건강 관련 목적으로 건강에 관한 특별 범주의 개인정보를 처리하는 경우, 특정 니즈(needs)를 고려하여, 그 같은 처리에 대한 조화로운 여건을 제공하여야 한다. 유럽연합 또는 회원국 법률은 개인의 기본권 및 개인정보를 보호하기 위한 구체적이고 적절한 조치를 규정하여야 한다. 회원국은 유전 정보, 생체 정보 또는 건강에 관한 데이터의 처리와 관련하여 제한 등 추가적 조건을 유지하거나 도입할 수 있어야 한다. 그러나 회원국 간에 이루어지는 그 같은 처리에 상기 조건이 적용될 시 유럽연합 역내의 자유로운 개인정보 이동이 방해를 받아서는 안 된다. ...
... (53) Special categories of personal data which merit higher protection should be processed for health-related purposes only where necessary to achieve those purposes for the benefit of natural persons and society as a whole, in particular in the context of the management of health or social care services and systems, including processing by the management and central national health authorities of such data for the purpose of quality control, management information and the general national and local supervision of the health or social care system, and ensuring continuity of health or social care and cross-border healthcare or health security, monitoring and alert purposes, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, based on Union or Member State law which has to meet an objective of public interest, as well as for studies conducted in the public interest in the area of public health. Therefore, this Regulation should provide for harmonised conditions for the processing of special categories of personal data concerning health, in respect of specific needs, in particular where the processing of such data is carried out for certain health-related purposes by persons subject to a legal obligation of professional secrecy. Union or Member State law should provide for specific and suitable measures so as to protect the fundamental rights and the personal data of natural persons. Member States should be allowed to maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health. However, this should not hamper the free flow of personal data within the Union when those conditions apply to cross-border processing of such data. ...
... (48) ‘사업체 집단’ 또는 ‘중앙기구의 부속 기관’인 컨트롤러는 고객이나 피고용인의 개인정보의 처리 등 내부 행정의 목적으로 사업체 집단 내에서 개인정보를 전송하는 정당한 이익을 가질 수 있다. 사업체 집단 내에서 제3국에 소재한 사업체로의 개인정보를 규정한 일반 원칙에는 적용되지 않는다. ...
... (48) Controllers that are part of a group of undertakings or institutions affiliated to a central body may have a legitimate interest in transmitting personal data within the group of undertakings for internal administrative purposes, including the processing of clients' or employees' personal data. The general principles for the transfer of personal data, within a group of undertakings, to an undertaking located in a third country remain unaffected. ...
... (69) 공익을 위하거나 컨트롤러에 부여된 공적 권한 행사에 따른 직무 수행에 처리가 필요하거나 컨트롤러 또는 제3자의 정당한 이익에 근거하여 처리가 필요한 이유로써 개인정보의 처리가 적법할 수 있는 경우, 정보주체는 그럼에도 불구하고 본인의 특정 상황과 관련한 어떤 개인정보의 처리에라도 반대할 권한이 있다. 컨트롤러가 가지는 설득력 있는 정당한 이익이 정보주체의 이익이나 기본권 및 자유에 우선한다는 것을 입증하는 것은 컨트롤러의 책임이다. ...
... (69) Where personal data might lawfully be processed because processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, or on grounds of the legitimate interests of a controller or a third party, a data subject should, nevertheless, be entitled to object to the processing of any personal data relating to his or her particular situation. It should be for the controller to demonstrate that its compelling legitimate interest overrides the interests or the fundamental rights and freedoms of the data subject. ...
... (65) 정보주체는 본인에 관한 개인정보를 보관하는 것이 본 규정이나 컨트롤러에 적용되는 유럽연합 또는 회원국 법률을 침해하는 경우, 그 정보를 정정할 권리 및 ‘잊힐 권리’를 가진다. 특히 정보주체는 본인의 개인정보가 수집되거나 달리 처리되는 목적과 관련하여 더 이상 필요하지 않은 경우, 정보주체가 본인에 관한 개인정보의 처리에 대한 동의를 철회하였거나 반대하는 경우, 본인의 개인정보에 대한 처리가 기존과는 달리 본 규정을 준수하지 않는 경우 그 정보를 삭제할 권리와 그 정보가 더 이상 처리되지 않도록 할 권리를 가진다. 그 권리는 특히 정보주체가 아동으로서 본인의 동의를 제공하였고. 처리에 관여된 위험을 완전히 인지하지 못하다가 이후 특히 인터넷상에서 그 개인정보를 삭제하기를 희망하는 경우와 관련 있다. 그 정보주체가 더 이상 아동이 아닐지라도 이 권리를 행사할 수 있어야 한다. 그러나 개인정보의 추가 보관은 필요한 경우 적법하며, 표현 및 정보의 자유권 행사, 법적 의무 준수, 공익을 위하거나 컨트롤러에 부여된 공적 권한 행사에 따른 직무 수행, 공중보건 분야의 공익적 근거, 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적이나 통계 목적, 또는 법적 청구권의 입증, 행사, 방어를 위한 경우가 이에 해당한다. ...
... (65) A data subject should have the right to have personal data concerning him or her rectified and a ‘right to be forgotten’ where the retention of such data infringes this Regulation or Union or Member State law to which the controller is subject. In particular, a data subject should have the right to have his or her personal data erased and no longer processed where the personal data are no longer necessary in relation to the purposes for which they are collected or otherwise processed, where a data subject has withdrawn his or her consent or objects to the processing of personal data concerning him or her, or where the processing of his or her personal data does not otherwise comply with this Regulation. That right is relevant in particular where the data subject has given his or her consent as a child and is not fully aware of the risks involved by the processing, and later wants to remove such personal data, especially on the internet. The data subject should be able to exercise that right notwithstanding the fact that he or she is no longer a child. However, the further retention of the personal data should be lawful where it is necessary, for exercising the right of freedom of expression and information, for compliance with a legal obligation, for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, on the grounds of public interest in the area of public health, for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, or for the establishment, exercise or defence of legal claims. ...
... 2. 제1항 (g)호에 따른 정보이전은 개인정보 기록부에 포함된 개인정보의 전부 또는 전체 범주와 관련되어서는 안 된다. 개인정보 기록부가 정당한 이익을 가진 자를 위한 참조(조회)의 목적으로 만들어진 경우, 정보의 이전은 해당인이 요청하는 경우 또는 이들이 수령인인 경우에만 가능해야 한다. ...
... 2. A transfer pursuant to point (g) of the first subparagraph of paragraph 1 shall not involve the entirety of the personal data or entire categories of the personal data contained in the register. Where the register is intended for consultation by persons having a legitimate interest, the transfer shall be made only at the request of those persons or if they are to be the recipients. ...