항해
GDPR > 제11조. 신원확인을 요하지 않는 개인정보의 처리
다운로드 PDF

제11조 GDPR. 신원확인을 요하지 않는 개인정보의 처리

Article 11 GDPR. Processing which does not require identification

1. 컨트롤러가 개인정보를 처리하는 목적상 정보주체의 신원확인을 요구하지 않거나 더 이상 요구하지 않아도 되는 경우, 그 컨트롤러는 본 규정을 준수할 목적에 한하여 정보주체를 식별하기 위한 추가 정보를 유지, 취득, 처리할 의무를 가지지 않는다.

1. If the purposes for which a controller processes personal data do not or do no longer require the identification of a data subject by the controller, the controller shall not be obliged to maintain, acquire or process additional information in order to identify the data subject for the sole purpose of complying with this Regulation.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 11(1) GDPR:

7.4.5 PII de-identification and deletion at the end of processing

Control

The organization should either delete PII or render it in a form which does not permit identification or re-identification of PII principals, as soon as the original PII is no longer necessary for the identified purpose(s).


전체 텍스트에 액세스하려면

2. 본 조 제1항에 규정된 사례의 경우 컨트롤러가 정보주체를 식별할 수 없음을 입증할 수 있다면, 제15조부터 제20조까지의 조문은 적용되지 않는다. 단, 정보주체가 해당 조문에 따라 본인의 권리를 행사하기 위한 목적으로 본인의 신원을 확인할 수 있는 추가 정보를 제공하는 경우는 예외로 한다.

2. Where, in cases referred to in paragraph 1 of this Article, the controller is able to demonstrate that it is not in a position to identify the data subject, the controller shall inform the data subject accordingly, if possible. In such cases, Articles 15 to 20 shall not apply except where the data subject, for the purpose of exercising his or her rights under those articles, provides additional information enabling his or her identification.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 11(2) GDPR:

7.3.2 Determining information for PII principals

Control

The organization should determine and document the information to be provided to PII principals regarding the processing of their PII and the timing of such a provision.

Implementation guidance

The organization should determine the legal, regulatory and/or business requirements for when information is to be provided to the PII principal (e.g. prior to processing, within a certain time from when it is requested, etc.) and for the type of information to be provided.

Depending on the requirements, the information can take the form of a notice. Examples of types of information that can be provided to PII principals are:

 


전체 텍스트에 액세스하려면

관련 교과서
전문 (Recitals) 코멘트를 남겨주세요
전문 (Recitals)

(57) 컨트롤러는 본인이 처리하는 개인정보를 통해 개인을 식별할 수 없는 경우, 본 규정 조문 일체의 준수라는 유일한 목적만으로 정보주체를 식별하기 위한 추가 정보를 취득해야 할 의무가 없다. 그러나 컨트롤러는 정보주체가 본인의 권리의 행사를 지원하고자 제공하는 추가 정보의 수령을 거부해서는 안 된다. 식별에는 정보주체가 컨트롤러가 제공하는 온라인 서비스에 로그인 시 사용하는 것과 동일한 증명서 등의 인증 메커니즘을 통한 디지털 신원확인도 포함된다.

(57) If the personal data processed by a controller do not permit the controller to identify a natural person, the data controller should not be obliged to acquire additional information in order to identify the data subject for the sole purpose of complying with any provision of this Regulation. However, the controller should not refuse to take additional information provided by the data subject in order to support the exercise of his or her rights. Identification should include the digital identification of a data subject, for example through authentication mechanism such as the same credentials, used by the data subject to log-in to the on-line service offered by the data controller.

(64) 컨트롤러는 특히 온라인 서비스 및 온라인 식별자와 관련한 상황에서 열람을 요구한 정보주체의 신원을 확인하기 위한 모든 적정 조치를 취해야 한다. 컨트롤러는 잠재적 요청을 응대한다는 유일한 목적으로 개인정보를 보유해서는 안 된다.

(64) The controller should use all reasonable measures to verify the identity of a data subject who requests access, in particular in the context of online services and online identifiers. A controller should not retain personal data for the sole purpose of being able to react to potential requests.

코멘트를 남겨주세요
[js-disqus]