항해
GDPR > 제17조. 삭제권(‘잊힐 권리’)
다운로드 PDF

제17조 GDPR. 삭제권(‘잊힐 권리’)

Article 17 GDPR. Right to erasure (‘right to be forgotten’)

1. 정보주체는 본인에 관한 개인정보를 부당한 지체 없이 삭제하도록 컨트롤러에게 요청할 권리를 가지며, 컨트롤러는 다음 각 호가 적용되는 경우, 부당한 지체 없이 개인정보를 삭제할 의무를 가진다.

1. The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay and the controller shall have the obligation to erase personal data without undue delay where one of the following grounds applies:

전문가 해설
(EN) Author
Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

(a) 개인정보가 수집된, 그렇지 않으면 처리된 목적에 더 이상 필요하지 않은 경우

(a) the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;

(b) 정보주체가 제6조(1)의 (a)호 또는 제9조(2)의 (a)호에 따라 처리의 기반이 되는 동의를 철회하고, 해당 처리에 대한 기타의 법적 근거가 없는 경우

(b) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or point (a) of Article 9(2), and where there is no other legal ground for the processing;

관련 교과서

(c) 정보주체가 제21조(1)에 따라 처리에 반대하고 관련 처리에 대해 우선하는 정당한 근거가 없거나, 정보주체가 제21조(2)에 따라 처리에 반대하는 경우

(c) the data subject objects to the processing pursuant to Article 21(1) and there are no overriding legitimate grounds for the processing, or the data subject objects to the processing pursuant to Article 21(2);

관련 교과서

(d) 개인정보가 불법적으로 처리된 경우

(d) the personal data have been unlawfully processed;

(e) 컨트롤러에 적용되는 유럽연합 또는 회원국 법률의 법적 의무를 준수하기 위해 개인정보가 삭제되어야 하는 경우

(e) the personal data have to be erased for compliance with a legal obligation in Union or Member State law to which the controller is subject;

(f) 제8조(1)에 규정된 정보사회서비스의 제공과 관련하여 개인정보가 수집된 경우

(f) the personal data have been collected in relation to the offer of information society services referred to in Article 8(1).

관련 교과서

2. 컨트롤러가 개인정보를 공개하고 제1항에 따라 해당 개인정보를 삭제할 의무가 있는 경우, 컨트롤러는 가용 기술과 시행 비용을 참작하여 개인정보를 처리하는 컨트롤러에게 정보주체가 그 같은 컨트롤러들에게 해당 개인정보에 대한 링크, 사본 또는 복제본의 삭제를 요청하였음을 고지하기 위한 기술적 조치 등, 적절한 조치를 취해야 한다.

2. Where the controller has made the personal data public and is obliged pursuant to paragraph 1 to erase the personal data, the controller, taking account of available technology and the cost of implementation, shall take reasonable steps, including technical measures, to inform controllers which are processing the personal data that the data subject has requested the erasure by such controllers of any links to, or copy or replication of, those personal data.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 17(2) GDPR:

8.3.1 Obligations to PII principals

Control

The organization should provide the customer with the means to comply with its obligations related to PII principals.

Implementation guidance

A PII controller’s obligations can be defined by legislation, by regulation and/or by contract.


전체 텍스트에 액세스하려면

3. 제1항 및 제2항은 다음 각 호를 위해 개인정보의 처리가 필요한 경우에는 적용되지 않는다.

3. Paragraphs 1 and 2 shall not apply to the extent that processing is necessary:

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 17(3) GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.


전체 텍스트에 액세스하려면

(a) 표현과 정보의 자유에 대한 권리의 행사

(a) for exercising the right of freedom of expression and information;

(b) 컨트롤러에 적용되는 유럽연합 또는 회원국 법률의 법적 의무를 준수하는데 처리가 요구되는 경우 또는, 공익을 위해서 또는 컨트롤러에게 부여된 공적 권한을 행사하여 업무를 수행하는 경우

(b) for compliance with a legal obligation which requires processing by Union or Member State law to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;

(c) 제9조(3)뿐만 아니라 제9조(2)의 (h)호 및 (i)호에 따른 공중보건 분야의 공익상의 이유인 경우

(c) for reasons of public interest in the area of public health in accordance with points (h) and (i) of Article 9(2) as well as Article 9(3);

관련 교과서

(d) 제89조(1)에 따른 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적, 또는 통계적 목적에 해당하는 경우로서, 제1항의 권리가 그 처리의 목적 달성을 불가능하게 하거나 중대하게 손상시킬 것으로 예상되는 경우

(d) for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) in so far as the right referred to in paragraph 1 is likely to render impossible or seriously impair the achievement of the objectives of that processing; or

관련 교과서

(e) 법적 권리의 확립, 행사 또는 방어를 위한 경우

(e) for the establishment, exercise or defence of legal claims.

전문가 해설 ISO 27701 전문 (Recitals) 지침 및 사례 법률 코멘트를 남겨주세요
전문가 해설

(EN) The so-called “right to be forgotten” was hailed as a breakthrough with the adoption of the General Data Protection Regulation, even though it existed in a limited form before. Article 17 provides for a broader “right to erasure”, to take into account the exact wording of the provision. European Union residents have a right to ask for the deletion of their personal data, and the organization that holds the data has a corresponding obligation to erase them “without undue delay” under a certain number of circumstances.


전체 텍스트에 액세스하려면

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert

(EN)

Data Subject Request Letter Sample

Concern: Request to erase my personal data

Dear Madam, Dear Sir,

You have data concerning me that I am asking you to delete…


전체 텍스트에 액세스하려면

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 17 GDPR:

7.3.6 Access, correction and/or erasure

Control

The organization should implement policies, procedures and/or mechanisms to meet their obligations to PII principals to access, correct and/or erase their PII.

Implementation guidance

The organization should implement policies, procedures and/or mechanisms for enabling PII principals to obtain access to, correct and erase of their PII, if requested and without undue delay.


전체 텍스트에 액세스하려면

전문 (Recitals)

(65) 정보주체는 본인에 관한 개인정보를 보관하는 것이 본 규정이나 컨트롤러에 적용되는 유럽연합 또는 회원국 법률을 침해하는 경우, 그 정보를 정정할 권리 및 ‘잊힐 권리’를 가진다. 특히 정보주체는 본인의 개인정보가 수집되거나 달리 처리되는 목적과 관련하여 더 이상 필요하지 않은 경우, 정보주체가 본인에 관한 개인정보의 처리에 대한 동의를 철회하였거나 반대하는 경우, 본인의 개인정보에 대한 처리가 기존과는 달리 본 규정을 준수하지 않는 경우 그 정보를 삭제할 권리와 그 정보가 더 이상 처리되지 않도록 할 권리를 가진다. 그 권리는 특히 정보주체가 아동으로서 본인의 동의를 제공하였고. 처리에 관여된 위험을 완전히 인지하지 못하다가 이후 특히 인터넷상에서 그 개인정보를 삭제하기를 희망하는 경우와 관련 있다. 그 정보주체가 더 이상 아동이 아닐지라도 이 권리를 행사할 수 있어야 한다. 그러나 개인정보의 추가 보관은 필요한 경우 적법하며, 표현 및 정보의 자유권 행사, 법적 의무 준수, 공익을 위하거나 컨트롤러에 부여된 공적 권한 행사에 따른 직무 수행, 공중보건 분야의 공익적 근거, 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적이나 통계 목적, 또는 법적 청구권의 입증, 행사, 방어를 위한 경우가 이에 해당한다.

(65) A data subject should have the right to have personal data concerning him or her rectified and a ‘right to be forgotten’ where the retention of such data infringes this Regulation or Union or Member State law to which the controller is subject. In particular, a data subject should have the right to have his or her personal data erased and no longer processed where the personal data are no longer necessary in relation to the purposes for which they are collected or otherwise processed, where a data subject has withdrawn his or her consent or objects to the processing of personal data concerning him or her, or where the processing of his or her personal data does not otherwise comply with this Regulation. That right is relevant in particular where the data subject has given his or her consent as a child and is not fully aware of the risks involved by the processing, and later wants to remove such personal data, especially on the internet. The data subject should be able to exercise that right notwithstanding the fact that he or she is no longer a child. However, the further retention of the personal data should be lawful where it is necessary, for exercising the right of freedom of expression and information, for compliance with a legal obligation, for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, on the grounds of public interest in the area of public health, for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, or for the establishment, exercise or defence of legal claims.

(66) 온라인 환경에서의 잊힐 권리 강화를 위해서는 개인정보를 공개한 컨트롤러가 그 개인정보를 처리 중인 컨트롤러에게 해당 개인정보에 대한 링크, 사본, 복제물을 삭제하도록 통지할 의무를 지니는 방식으로 삭제권을 확대하여야 한다. 그렇게 함에 있어 컨트롤러는 해당 개인정보를 처리 중인 컨트롤러에게 정보주체의 요청을 통지하기 위한 기술 조치 등 컨트롤러가 가용할 수 있는 기술 및 방법을 고려하여 적절한 조치를 취해야 한다.

(66) To strengthen the right to be forgotten in the online environment, the right to erasure should also be extended in such a way that a controller who has made the personal data public should be obliged to inform the controllers which are processing such personal data to erase any links to, or copies or replications of those personal data. In doing so, that controller should take reasonable steps, taking into account available technology and the means available to the controller, including technical measures, to inform the controllers which are processing the personal data of the data subject's request.

지침 및 사례 법률 코멘트를 남겨주세요
[js-disqus]