GDPR > 제34조. 정보주체에 대한 개인정보 침해 통지
다운로드 PDF

제34조 GDPR. 정보주체에 대한 개인정보 침해 통지

Article 34 GDPR. Communication of a personal data breach to the data subject

1. 개인정보의 침해가 자연인의 권리와 자유에 중대한 위험을 초래할 것으로 예상되는 경우, 컨트롤러는 부당한 지체 없이 정보주체에게 그 개인정보 침해에 대해 통지해야 한다.

1. When the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall communicate the personal data breach to the data subject without undue delay.

2. 본 조 제1항에 규정된 정보주체에 대한 통지에서는 해당 개인정보 유출의 성격을 명확하고 평이한 언어로 기술하고, 최소한 제33조(3)의 (b)호, (c)호, (d)호에 규정된 정보 및 권고를 포함해야 한다.

2. The communication to the data subject referred to in paragraph 1 of this Article shall describe in clear and plain language the nature of the personal data breach and contain at least the information and measures referred to in points (b), (c) and (d) of Article 33(3).

관련 교과서

3. 다음 각 호의 하나에 해당하는 경우, 제1항의 정보주체에 대한 통지는 요구되지 않는다.

3. The communication to the data subject referred to in paragraph 1 shall not be required if any of the following conditions are met:

(a) 컨트롤러가 적절한 기술적 및 관리적 보호조치를 시행하였고, 그 조치, 특히 암호처리 등 관련 개인정보를 열람 권한이 없는 개인에게 이해될 수 없도록 만드는 조치가 침해로 영향을 받은 개인정보에 적용된 경우

(a) the controller has implemented appropriate technical and organisational protection measures, and those measures were applied to the personal data affected by the personal data breach, in particular those that render the personal data unintelligible to any person who is not authorised to access it, such as encryption;

(b) 컨트롤러가 제1항에 규정된 정보주체의 권리와 자유에 대한 중대한 위험을 더 이상 실현될 가능성이 없도록 만드는 후속 조치를 취한 경우

(b) the controller has taken subsequent measures which ensure that the high risk to the rights and freedoms of data subjects referred to in paragraph 1 is no longer likely to materialise;

(c) 필요 이상의 노력이 수반될 수 있는 경우. 이 경우, 공개 또는 유사한 조치를 통해 정보주체가 동등하게 효과적인 방식으로 통지받도록 해야 한다.

(c) it would involve disproportionate effort. In such a case, there shall instead be a public communication or similar measure whereby the data subjects are informed in an equally effective manner.

4. 컨트롤러가 정보주체에게 개인정보 침해에 대해 아직 통지하지 않은 경우, 관련 감독기관은 중대한 위험을 초래하는 개인정보 침해의 가능성을 고려한 후, 컨트롤러에게 통지하도록 요구하거나 제3항의 어느 조건이라도 충족시키도록 결정할 수 있다.

4. If the controller has not already communicated the personal data breach to the data subject, the supervisory authority, having considered the likelihood of the personal data breach resulting in a high risk, may require it to do so or may decide that any of the conditions referred to in paragraph 3 are met.

ISO 27701 전문 (Recitals) 지침 및 사례 법률 코멘트를 남겨주세요
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 16.1.1.

Here is the relevant paragraph to article 34 GDPR: Responsibilities and procedures

Implementation guidance

As part of the overall information security incident management process, the organization should establish responsibilities and procedures for the identification and recording of breaches of PII. Additionally, the organization should establish responsibilities and procedures related to notification to required parties of PII breaches (including the timing of such notifications) and the disclosure to authorities, taking into account the applicable legislation and/or regulation.

전체 텍스트에 액세스하려면

전문 (Recitals)

(75) 개인의 권리와 자유에 초래되는 위험은, 다양한 발생가능성과 심각성으로 나타나는데 이는, 개인정보 처리로 인해 발생할 수 있으며, 이는 신체적(physical), 물질적(material) 혹은 비-물질적(non-material) 손해를 초래할 수 있다. 특히, 처리로 인해 차별, 신용도용 및 사기, 재정적 손실, 명예훼손, 직무상의 기밀로 보호되던 개인정보의 기밀성 상실, 가명정보에 대한 무단 재식별 처리, 또는 기타의 심각한 경제적 또는 사회적 불이익이 초래될 수 있는 경우 그러하다. 또한, 정보주체가 본인의 권리와 자유를 빼앗길 수 있는 경우나, 본인의 개인정보에 대한 자기결정권(right to control) 행사하지 못하게 되는 경우, 혹은 개인정보가 인종 및 민족의 출신, 정견, 종교 및 철학적 신념, 노동조합의 가입여부와 유전자정보, 건강정보 또는 성생활 관련 정보나 범죄 기소 및 범죄관련 개인정보에 대한 처리 또는 관련한 보안 조치를 드러내는 방식으로 처리되는 경우. 또는 개인적인 측면에 평가되는 경우로 특히 업무능력, 경제적 상황, 건강상태, 개인의 성향 및 관심사, 신뢰성이나 행동, 위치 및 이동경로와 관련된 측면을 개인프로필 생성 및 이용을 위해 분석하거나 예측하는 경우. 혹은 아동 등 취약한 개인의 개인정보가 처리되는 경우나 처리가 방대한 양의 개인정보와 관련 있거나, 수많은 정보주체에게 영향을 미치는 경우가 그러하다.

(75) The risk to the rights and freedoms of natural persons, of varying likelihood and severity, may result from personal data processing which could lead to physical, material or non-material damage, in particular: where the processing may give rise to discrimination, identity theft or fraud, financial loss, damage to the reputation, loss of confidentiality of personal data protected by professional secrecy, unauthorised reversal of pseudonymisation, or any other significant economic or social disadvantage; where data subjects might be deprived of their rights and freedoms or prevented from exercising control over their personal data; where personal data are processed which reveal racial or ethnic origin, political opinions, religion or philosophical beliefs, trade union membership, and the processing of genetic data, data concerning health or data concerning sex life or criminal convictions and offences or related security measures; where personal aspects are evaluated, in particular analysing or predicting aspects concerning performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, in order to create or use personal profiles; where personal data of vulnerable natural persons, in particular of children, are processed; or where processing involves a large amount of personal data and affects a large number of data subjects.

(86) 컨트롤러는 개인정보 유출이 개인의 권리와 자유에 고위험을 초래할 가능성이 있는 경우, 정보주체가 필요한 예방조치를 취할 수 있도록 부당한 지체 없이 개인정보의 유출을 정보주체에게 통지해야 한다. 통지에는 유출된 개인정보의 성격과 잠재적인 부작용을 완화할 수 있는 권고대책이 포함되어야 한다. 통지는 합리적으로 가능한 빨리, 감독기관 또는 법집행기관 등 기타 관련 기관이 제공하는 지침에 따라 해당 감독기관과의 긴밀한 협력 아래에 이루어져야 한다. 예를 들어, 즉각적으로 피해를 줄이기 위한 경우, 정보주체에 즉시 통지해야 하는 한편, 지속적이거나 비슷한 개인정보의 유출을 막기 위해 적절한 조치를 취해야 하는 경우는 통지하기까지 더 오랜 시간 소요되는 것을 정당화 할 수 있다.

(86) The controller should communicate to the data subject a personal data breach, without undue delay, where that personal data breach is likely to result in a high risk to the rights and freedoms of the natural person in order to allow him or her to take the necessary precautions. The communication should describe the nature of the personal data breach as well as recommendations for the natural person concerned to mitigate potential adverse effects. Such communications to data subjects should be made as soon as reasonably feasible and in close cooperation with the supervisory authority, respecting guidance provided by it or by other relevant authorities such as law-enforcement authorities. For example, the need to mitigate an immediate risk of damage would call for prompt communication with data subjects whereas the need to implement appropriate measures against continuing or similar personal data breaches may justify more time for communication.

(87) 개인정보 유출 발생여부를 즉각적으로 입증하기 위해 적절한 기술적 보호 및 관리조치가 시행되었는지, 이를 감독기관과 정보주체에 즉시 신고했는지 여부를 확인해야 한다. 유출된 개인정보의 성격과 사고의 심각성, 정보주체에 초래되는 영향과 부작용을 특히 고려하여, 부당한 지체없이 통지가 이루어졌는지를 입증해야 한다. 이러한 통지 후, 이 규정상의 감독기관 업무와 권한에 따라, 감독기관이 개입하게 될 수도 있다.

(87) It should be ascertained whether all appropriate technological protection and organisational measures have been implemented to establish immediately whether a personal data breach has taken place and to inform promptly the supervisory authority and the data subject. The fact that the notification was made without undue delay should be established taking into account in particular the nature and gravity of the personal data breach and its consequences and adverse effects for the data subject. Such notification may result in an intervention of the supervisory authority in accordance with its tasks and powers laid down in this Regulation.

(88) 개인정보 유출 통지의 형식 및 절차에 대한 상세한 규칙을 세우려면, 해당 유출사고 시, 적절한 기술적 보호조치를 통해 신원사기나 다른 형태의 오용의 가능성을 효과적으로 제한하여 개인정보가 보호되고 있었는지 등의 상황을 충분히 고려해야 한다. 게다가, 이러한 규칙이나 절차는 법집행기관의 정당한 이익도 고려해야 한다. 성급한 공개(early disclosure)는 유출사고 상황에 대한 조사를 불필요하게 방해할 수도 있다.

(88) In setting detailed rules concerning the format and procedures applicable to the notification of personal data breaches, due consideration should be given to the circumstances of that breach, including whether or not personal data had been protected by appropriate technical protection measures, effectively limiting the likelihood of identity fraud or other forms of misuse. Moreover, such rules and procedures should take into account the legitimate interests of law-enforcement authorities where early disclosure could unnecessarily hamper the investigation of the circumstances of a personal data breach.

지침 및 사례 법률 코멘트를 남겨주세요