항해
GDPR > 제12조. 정보주체의 권리 행사를 위한 투명한 정보, 통지 및 형식
다운로드 PDF

제12조 GDPR. 정보주체의 권리 행사를 위한 투명한 정보, 통지 및 형식

Article 12 GDPR. Transparent information, communication and modalities for the exercise of the rights of the data subject

1. 컨트롤러는 처리와 관련한 제13조 및 제14조에 명시된 일체의 정보, 제15조부터 제22조까지의 조문 및 제34조에 규정된 일체의 통지를 정확하고, 투명하며, 이해하기 쉬운 형식으로 명확하고 평이한 언어를 사용하여 정보주체에게 제공하기 위한 적절한 조치를 취해야 하고, 특히 아동을 특정 대상으로 할 때 더욱 그러해야 한다. 해당 정보는 서면이나 적절한 경우, 전자수단 등 기타 수단을 이용하여 제공되어야 한다. 정보주체가 요청하는 경우, 다른 수단을 통해 정보주체의 신원이 입증되면, 해당 정보는 구두로 제공될 수 있다.

1. The controller shall take appropriate measures to provide any information referred to in Articles 13 and 14 and any communication under Articles 15 to 22 and 34 relating to processing to the data subject in a concise, transparent, intelligible and easily accessible form, using clear and plain language, in particular for any information addressed specifically to a child. The information shall be provided in writing, or by other means, including, where appropriate, by electronic means. When requested by the data subject, the information may be provided orally, provided that the identity of the data subject is proven by other means.

지침 및 사례 법률 전문 (Recitals)

(58) 투명성의 원칙에 따라 대중 또는 정보주체에 제공되는 정보는 간결하고 이용이 용이하며 이해하기 쉬워야 하고, 명확하고 평이한 언어의 사용에 더해 적절한 경우 시각화 기법을 활용해야 한다. 그 같은 정보는 대중에게 제공될 시 웹사이트를 통해 전자 양식으로 제공될 수 있다. 이는 온라인 광고 등 활동주체(actors)의 확산 및 관행의 기술적 복잡성으로 인해 정보주체가 누가 무슨 목적으로 본인에 관한 개인정보를 수집하는지 여부를 파악하기 어려운 상황과 특히 관련이 있다. 아동에게 특정한 보호수단이 필요하다는 것을 고려할 때 아동을 대상으로 한 (데이터)처리 시 정보제공 및 통지 일체는 해당 아동이 쉽게 이해할 수 있는 명확하고 평이한 언어로 이루어져야 한다.

(58) The principle of transparency requires that any information addressed to the public or to the data subject be concise, easily accessible and easy to understand, and that clear and plain language and, additionally, where appropriate, visualisation be used. Such information could be provided in electronic form, for example, when addressed to the public, through a website. This is of particular relevance in situations where the proliferation of actors and the technological complexity of practice make it difficult for the data subject to know and understand whether, by whom and for what purpose personal data relating to him or her are being collected, such as in the case of online advertising. Given that children merit specific protection, any information and communication, where processing is addressed to a child, should be in such a clear and plain language that the child can easily understand.

관련 교과서

2. 컨트롤러는 제15조부터 제22조까지의 조문에 따라 정보주체의 권리 행사를 용이하게 해야 한다. 제11조(2)의 경우에서 컨트롤러는 제15조부터 제22조까지의 조문에 따라 본인의 권리를 행사하려는 정보주체의 요청을 거절해서는 안 되며, 컨트롤러가 정보주체를 식별할 수 없음을 입증하는 경우는 예외로 한다.

2. The controller shall facilitate the exercise of data subject rights under Articles 15 to 22. In the cases referred to in Article 11(2), the controller shall not refuse to act on the request of the data subject for exercising his or her rights under Articles 15 to 22, unless the controller demonstrates that it is not in a position to identify the data subject.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 12(2) GDPR:

7.3.1 Determining and fulfilling obligations to PII principals

Control

The organization should determine and document their legal, regulatory and business obligations to PII principals related to the processing of their PII and provide the means to meet these obligations.


전체 텍스트에 액세스하려면

지침 및 사례 법률 전문 (Recitals)

(59) 개인정보의 열람, 정정 또는 삭제를 요청하고 적용 가능한 경우 이를 무상으로 획득할 메커니즘 등 본 규정에 따른 정보주체의 권리 행사 및 반대할 권리 행사를 지원할 양식(modalities)이 제공되어야 한다. 컨트롤러는 특히 전자 수단에 의해 개인정보가 처리되는 경우, 전자적 방식으로 요청을 할 수 있는 방법도 제공하여야 한다. 컨트롤러는 부당한 지체 없이, 늦어도 한 달 이내에 정보주체의 요청에 응대하여야 하며 정보주체의 요청에 응하지 않으려는 경우, 그 사유를 제공할 의무가 있다.

(59) Modalities should be provided for facilitating the exercise of the data subject's rights under this Regulation, including mechanisms to request and, if applicable, obtain, free of charge, in particular, access to and rectification or erasure of personal data and the exercise of the right to object. The controller should also provide means for requests to be made electronically, especially where personal data are processed by electronic means. The controller should be obliged to respond to requests from the data subject without undue delay and at the latest within one month and to give reasons where the controller does not intend to comply with any such requests.

(64) 컨트롤러는 특히 온라인 서비스 및 온라인 식별자와 관련한 상황에서 열람을 요구한 정보주체의 신원을 확인하기 위한 모든 적정 조치를 취해야 한다. 컨트롤러는 잠재적 요청을 응대한다는 유일한 목적으로 개인정보를 보유해서는 안 된다.

(64) The controller should use all reasonable measures to verify the identity of a data subject who requests access, in particular in the context of online services and online identifiers. A controller should not retain personal data for the sole purpose of being able to react to potential requests.

관련 교과서

3. 컨트롤러는 요청을 접수한 후, 한 달 이내에 부당한 지체 없이, 제15조에서 제22조까지의 조문에 따른 요청에 따라 취해진 조치에 대한 정보를 정보주체에게 제공해야 한다. 해당 요청의 복잡성과 요청 횟수를 참작하여 필요한 경우 해당 기간을 2개월 간 더 연장할 수 있다. 컨트롤러는 요청 접수 후 한 달 이내에 정보주체에게 기간 연장 및 지연 사유에 대해 고지하여야 한다. 정보주체가 전자양식의 수단으로 요청을 하는 경우, 정보주체로부터 별도의 요청이 있지 않는 한, 해당 정보는 가능한 전자양식으로 제공되어야 한다.

3. The controller shall provide information on action taken on a request under Articles 15 to 22 to the data subject without undue delay and in any event within one month of receipt of the request. That period may be extended by two further months where necessary, taking into account the complexity and number of the requests. The controller shall inform the data subject of any such extension within one month of receipt of the request, together with the reasons for the delay. Where the data subject makes the request by electronic form means, the information shall be provided by electronic means where possible, unless otherwise requested by the data subject.

관련 교과서

4. 컨트롤러가 정보주체의 요청에 대해 조치를 취하지 않는 경우, 정보주체에게 지체 없이 통지해야 하고 요청의 접수 후 최대 한 달 이내에 조치를 취하지 않은 사유 및 감독기관에 민원을 제기하고 사법 구제를 받을 수 있는 가능성에 대해 정보주체에게 고지해야 한다.

4. If the controller does not take action on the request of the data subject, the controller shall inform the data subject without delay and at the latest within one month of receipt of the request of the reasons for not taking action and on the possibility of lodging a complaint with a supervisory authority and seeking a judicial remedy.

5. 제13조 및 제14조에 명시된 정보와 제15조부터 제22조까지의 조문 및 제34조에 따른 일체의 통지와 조치는 무상으로 제공되어야 한다. 정보주체의 요청이 명백하게 근거가 없거나 과도한 경우, 특히 요청이 반복될 경우, 컨트롤러는 다음 각 호의 하나에 따를 수 있다.

5. Information provided under Articles 13 and 14 and any communication and any actions taken under Articles 15 to 22 and 34 shall be provided free of charge. Where requests from a data subject are manifestly unfounded or excessive, in particular because of their repetitive character, the controller may either:

관련 교과서

(a) 관련 정보 또는 통지를 제공하거나 요청한 조치를 취하는 데 소요되는 행정적 비용을 참작하여 합리적인 비용을 부과한다.

(a) charge a reasonable fee taking into account the administrative costs of providing the information or communication or taking the action requested; or

(b) 해당 요청에 대한 응대를 거부한다.

(b) refuse to act on the request.

컨트롤러는 해당 요청이 명백하게 근거가 없거나 과도하다는 사실을 입증할 책임이 있다.

The controller shall bear the burden of demonstrating the manifestly unfounded or excessive character of the request.

6. 제15조에서 제19조까지의 조문에 규정된 요청을 하는 개인의 신원과 관련하여 합리적인 의심이 드는 경우, 컨트롤러는 제11조를 침해하지 않고 정보주체의 신원을 확인하는 데 필요한 추가적 정보 제공을 요청할 수 있다.

6. Without prejudice to Article 11, where the controller has reasonable doubts concerning the identity of the natural person making the request referred to in Articles 15 to 21, the controller may request the provision of additional information necessary to confirm the identity of the data subject.

관련 교과서

7. 제13조 및 제14조에 따라 정보주체에게 제공되는 정보는 예정된 처리에 대해 유의미한 개요를 제공하고자 표준화된 아이콘과 결합하여 가시적이고 이해하기 쉬우며 가독성이 뛰어난 방식으로 제공될 수 있다. 해당 아이콘이 전자 방식으로 제공되는 경우, 이는 기계 판독이 가능해야 한다.

7. The information to be provided to data subjects pursuant to Articles 13 and 14 may be provided in combination with standardised icons in order to give in an easily visible, intelligible and clearly legible manner a meaningful overview of the intended processing. Where the icons are presented electronically they shall be machine-readable.

관련 교과서

8. 집행위원회는 아이콘으로 제시되는 정보 및 표준 아이콘의 제공 절차를 결정하기 위한 목적으로 제92조에 따라 위임 법률을 채택할 권한을 갖는다.

8. The Commission shall be empowered to adopt delegated acts in accordance with Article 92 for the purpose of determining the information to be presented by the icons and the procedures for providing standardised icons.

관련 교과서
전문가 해설 ISO 27701 전문 (Recitals) 지침 및 사례 법률 코멘트를 남겨주세요
전문가 해설
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 12 GDPR:

7.3.3 Providing information to PII principals

Control

The organization should provide PII principals with clear and easily accessible information identifying the PII controller and describing the processing of their PII.

Implementation guidance

The organization should provide the information detailed in 7.3.2 to PII principals in a timely, concise, complete, transparent, intelligible and easily accessible form, using clear and plain language, as appropriate to the target audience.


전체 텍스트에 액세스하려면

전문 (Recitals)

(58) 투명성의 원칙에 따라 대중 또는 정보주체에 제공되는 정보는 간결하고 이용이 용이하며 이해하기 쉬워야 하고, 명확하고 평이한 언어의 사용에 더해 적절한 경우 시각화 기법을 활용해야 한다. 그 같은 정보는 대중에게 제공될 시 웹사이트를 통해 전자 양식으로 제공될 수 있다. 이는 온라인 광고 등 활동주체(actors)의 확산 및 관행의 기술적 복잡성으로 인해 정보주체가 누가 무슨 목적으로 본인에 관한 개인정보를 수집하는지 여부를 파악하기 어려운 상황과 특히 관련이 있다. 아동에게 특정한 보호수단이 필요하다는 것을 고려할 때 아동을 대상으로 한 (데이터)처리 시 정보제공 및 통지 일체는 해당 아동이 쉽게 이해할 수 있는 명확하고 평이한 언어로 이루어져야 한다.

(58) The principle of transparency requires that any information addressed to the public or to the data subject be concise, easily accessible and easy to understand, and that clear and plain language and, additionally, where appropriate, visualisation be used. Such information could be provided in electronic form, for example, when addressed to the public, through a website. This is of particular relevance in situations where the proliferation of actors and the technological complexity of practice make it difficult for the data subject to know and understand whether, by whom and for what purpose personal data relating to him or her are being collected, such as in the case of online advertising. Given that children merit specific protection, any information and communication, where processing is addressed to a child, should be in such a clear and plain language that the child can easily understand.

(59) 개인정보의 열람, 정정 또는 삭제를 요청하고 적용 가능한 경우 이를 무상으로 획득할 메커니즘 등 본 규정에 따른 정보주체의 권리 행사 및 반대할 권리 행사를 지원할 양식(modalities)이 제공되어야 한다. 컨트롤러는 특히 전자 수단에 의해 개인정보가 처리되는 경우, 전자적 방식으로 요청을 할 수 있는 방법도 제공하여야 한다. 컨트롤러는 부당한 지체 없이, 늦어도 한 달 이내에 정보주체의 요청에 응대하여야 하며 정보주체의 요청에 응하지 않으려는 경우, 그 사유를 제공할 의무가 있다.

(59) Modalities should be provided for facilitating the exercise of the data subject's rights under this Regulation, including mechanisms to request and, if applicable, obtain, free of charge, in particular, access to and rectification or erasure of personal data and the exercise of the right to object. The controller should also provide means for requests to be made electronically, especially where personal data are processed by electronic means. The controller should be obliged to respond to requests from the data subject without undue delay and at the latest within one month and to give reasons where the controller does not intend to comply with any such requests.

(64) 컨트롤러는 특히 온라인 서비스 및 온라인 식별자와 관련한 상황에서 열람을 요구한 정보주체의 신원을 확인하기 위한 모든 적정 조치를 취해야 한다. 컨트롤러는 잠재적 요청을 응대한다는 유일한 목적으로 개인정보를 보유해서는 안 된다.

(64) The controller should use all reasonable measures to verify the identity of a data subject who requests access, in particular in the context of online services and online identifiers. A controller should not retain personal data for the sole purpose of being able to react to potential requests.

지침 및 사례 법률 코멘트를 남겨주세요
[js-disqus]