항해
제I장 일반 규정 (1-4)
제1조. 주제 및 목적제2조. 물적 범위제3조. 영토의 범위제4조. 정의
제II장 원칙 (5-11)
제5조. 개인정보 처리 원칙제6조. 처리의 적법성제7조. 동의의 조건제8조. 정보사회 서비스와 관련하여 아동의 동의에 적용되는 조건제9조. 특별 범주의 개인정보의 처리제10조. 범죄경력 및 범죄행위에 관한 개인정보의 처리제11조. 신원확인을 요하지 않는 개인정보의 처리
제III장 정보주체의 권리 (12-23)
제12조. 정보주체의 권리 행사를 위한 투명한 정보, 통지 및 형식제13조. 개인정보가 정보주체로부터 수집되는 경우 제공되는 정보제14조. 개인정보가 정보주체로부터 수집되지 않은 경우 제공되는 정보제15조. 정보주체의 열람권제16조. 정정권제17조. 삭제권(‘잊힐 권리’)제18조. 처리에 대한 제한권제19조. 개인정보의 정정이나 삭제 또는 처리의 제한에 관한 고지 의무제20조. 개인정보 이동권제21조. 반대할 권리제22조. 프로파일링 등 자동화된 개별 의사결정제23조. 제한
제IV장 컨트롤러와 프로세서 (24-43)
제24조. 주제 및 목적제25조. 설계 및 기본설정에 의한 개인정보 보호제26조. 공동 컨트롤러제27조. 유럽연합 내에 설립되지 않은 컨트롤러 또는 프로세서의 대리인제28조. 프로세서제29조. 컨트롤러 및 프로세서의 권한에 따른 처리제30조. 처리 활동의 기록제31조. 감독기관과의 협력제32조. 처리의 보안제33조. 감독기관에 대한 개인정보 침해 통지제34조. 정보주체에 대한 개인정보 침해 통지
제35조. 개인정보보호 영향평가
제36조. 사전 자문제37조. 데이터보호 담당관의 지정제38조. 데이터보호담당관의 지위제39조. 데이터보호담당관의 업무제40조. 행동강령제41조. 승인된 행동강령의 모니터링제42조. 인증제43조. 인증기관
제V장 제3국 및 국제기구로의 개인정보 이전 (44-50)
제44조. 이전을 위한 통칙제45조. 적정성 결정에 따른 이전제46조. 적정한 안전조치에 의한 이전제47조. 의무적 기업 규칙제48조. 유럽연합 법률로 승인되지 않은 정보의 이전 또는 제공제49조. 특정 상항에 대한 적용의 일부 제외제50조. 개인정보 보호를 위한 국제협력
제VI장 독립적인 감독기관 (51-59)
제51조. 감독기관제52조. 독립성제53조. 감독기관 위원(들)의 일반 조건제54조. 감독기관 설립에 관한 규칙제55조. 법적 자격(competence)제56조. 선임 감독기관의 법적 자격제57조. 업무제58조. 권한제59조. 활동 보고서
제VII장 협력 및 일관성 (60-70)
제60조. 선임 감독기관과 기타 관련 감독기관 간 협력제61조. 상호 지원제62조. 감독기관의 공동 작업제63조. 일관성 메커니즘제64조. 유럽 데이터보호이사회 의견제65조. 유럽 데이터보호이사회의 분쟁 해결제66조. 긴급성(시급성) 절차제67조. 정보의 교환제68조. 유럽 데이터보호이사회제69조. 독립성제70조. 유럽 데이터보호이사회의 업무제71조. 보고서제72조. 절차제73조. 의장제74조. 의장의 역할제75조. 사무국제76조. 기밀성
제VIII장 구제책, 책임, 처벌 (77-84)
제77조. 감독기관에 민원을 제기할 권리제78조. 감독기관에 대한 효과적인 사법구제권제79조. 컨트롤러나 프로세서를 상대로 한 효과적인 사법구제권제80조. 정보주체의 대리제81조. 법적 절차 중지제82조. 보상 권리 및 책임제83조. 행정 과태료 부과에 관한 일반 조건제84조. 처벌
제IX장 특정 처리 상황에 관한 규정 (85-91)
제85조. 개인정보 처리 및 표현과 정보의 자유제86조. 개인정보 처리 및 공식 문서 공개제87조. 국가 식별번호의 처리제88조. 고용 환경에서의 처리제89조. 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적, 또는 통계적 목적을 위한 처리와 관련한 안전조치 및 적용의 일부 제외제90조. 기밀유지의 의무제91조. 교회 및 종교 단체의 현행 정보보호 규정
제X장 위임법률 및 이행법률 (92-93)
제92조. 위임의 행사제93조. 위원회(Committee) 절차
제XI장 최종 규정 (94-95)
제94조. 지침 95/46/EC의 폐기제95조. 지침 2002/58/EC와의 관계제96조. 이전에 체결된 협정과의 관계제97조. 집행위원회 보고서제98조. 기타 유럽연합의 정보보호 법률에 대한 검토제99조. 발효 및 적용
GDPR > 제35조. 개인정보보호 영향평가
다운로드 PDF

제35조 GDPR. 개인정보보호 영향평가

1. 처리의 성격과 범위, 상황, 목적을 참작하여, 특히 신기술을 사용하는 처리 유형이 개인의 권리와 자유에 중대한 위험을 초래할 것으로 예상되는 경우, 컨트롤러는 처리 이전에, 예정된 처리 작업이 개인정보 보호에 미치는 영향에 대한 평가를 수행해야 한다. 한 번의 평가로 유사한 중대한 위험을 초래하는 일련의 유사 처리 작업을 다룰 수 있다.

ISO 27701 관련 교과서
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to articles 35(1) GDPR:

8.2.1 Customer agreement

Control

The organization should ensure, where relevant, that the contract to process PII addresses the organization’s role in providing assistance with the customer’s obligations (taking into account the nature of processing and the information available to the organization).

Implementation guidance

The contract between the organization and the customer should include the following wherever relevant, and depending on the customer’s role (PII controller or PII processor) (this list is neither definitive nor exhaustive):


전체 텍스트에 액세스하려면

관련 교과서

2. 컨트롤러는 데이터보호담당관이 지정된 경우, 개인정보보호 영향평가를 수행할 때, 담당관의 자문을 구해야 한다.

3. 제1항에 규정된 개인정보보호 영향평가는 특히 다음 각 호의 경우 요구되어야 한다.

(a) 프로파일링 등의 자동화된 처리에 근거한, 개인에 관한 개인적 측면을 체계적이고 광범위하게 평가하는 것으로 해당 평가에 근거한 결정이 해당 개인에게 법적 효력을 미치거나 이와 유사하게 개인에게 중대한 영향을 미치는 경우

(b) 제9조(1)에 규정된 특별 범주의 개인정보에 대한 대규모 처리나 제10조에 규정된 범죄경력 및 범죄 행위에 관련된 개인정보에 대한 처리

관련 교과서
관련 교과서

(c) 공개적으로 접근 가능한 지역에 대한 대규모의 체계적 모니터링

지침 및 사례 법률
지침 및 사례 법률

4. 감독기관은 제1항에 따라 개인정보보호 영향평가의 요건이 적용되는 처리 작업의 종류의 목록을 작성 및 공개해야 한다. 감독기관은 제68조에 규정된 유럽 데이터보호이사회에 해당 목록을 통보해야 한다.

관련 교과서
관련 교과서

5. 감독기관은 개인정보보호 영향평가가 요구되지 않는 처리 작업의 종류의 목록 또한 작성하여 공개할 수 있다. 감독기관은 유럽 데이터보호이사회에 해당 목록을 통보해야 한다.

6. 제4항 및 제5항에 규정된 목록을 채택하기 이전에, 관련 감독기관은 해당 목록이 복수의 회원국 내의 정보주체에게 재화와 서비스를 제공하거나 그들의 행동을 모니터링 하는 것과 관련된 처리활동에 관계가 있는 경우, 또는 유럽연합 내 개인정보의 자유로운 이동에 상당한 영향을 미칠 수 있는 처리활동과 관련 있는 경우, 제63조에 규정된 일관성 메커니즘을 적용해야 한다.

관련 교과서
관련 교과서

7. 평가는 최소한 다음의 각 호를 포함해야 한다.

(a) 예상되는 처리 작업 및 컨트롤러의 정당한 이익 등 개인정보 처리의 목적에 대한 체계적인 설명

지침 및 사례 법률
지침 및 사례 법률

(b) 목적과 관련한 처리 작업의 필요성 및 비례성에 대한 평가

(c) 제1항에 규정된 정보주체의 권리와 자유에 대한 위험성 평가;

(d) 정보주체와 기타 관련인의 권리 및 정당한 이익을 고려하여 개인정보의 보호를 보장하고 본 규정의 준수를 입증하기 위한 안전조치, 보안조치, 메커니즘 등 위험성 처리에 예상되는 조치

8. 특히 개인정보보호 영향평가를 위해 관련 컨트롤러나 프로세서가 수행하는 처리 작업의 영향을 평가할 때는 해당 컨트롤러나 프로세서가 제40조의 승인된 행동강령을 준수하는 것을 고려해야 한다.

관련 교과서
관련 교과서

9. 적절한 경우, 컨트롤러는 상업적 이익이나 공익의 보호 또는 처리 작업의 보안을 침해하지 않고, 예정된 처리에 대한 정보주체 또는 그 대리인의 의견을 구해야 한다.

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.2.

Here is the relevant paragraph to article 35(9) GDPR:

5.2.2 Understanding the needs and expectations of interested parties

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.


전체 텍스트에 액세스하려면

10. 제6조(1)의 (c)호 또는 (e)호에 따른 처리가 컨트롤러에 적용되는 유럽연합 또는 회원국 법률 내에 법적 근거를 두고 있는 경우로서, 해당 법률이 특정 처리 작업이나 일련의 관련 작업을 규제하고 개인정보보호 영향평가가 이미 그 법적 근거를 채택하는 중에 일반적 영향평가의 일환으로 시행된 경우, 제1항에서 제7항까지 적용되지 않는다. 단, 회원국이 처리활동 이전에 이러한 영향평가의 수행이 필요하다고 고려하는 경우는 예외로 한다.

관련 교과서
관련 교과서

11. 필요하다면, 컨트롤러는 적어도 처리 작업으로 초래되는 위험에 변화가 있을 시에는 처리가 개인정보보호 영향평가에 따라 실시되는지를 평가하기 위한 검토를 시행해야 한다.

유럽연합 일반 데이터 보호 규칙(EU GDPR)

Source: http://www.pipc.go.kr/cmt/not/ntc/selectBoardArticle.do?nttId=5969&bbsId=BBSMSTR_000000000121&bbsTyCode=BBST03&bbsAttrbCode=BBSA03&authFlag=Y&pageIndex=6

ISO 27701 전문 (Recitals) 지침 및 사례 법률 코멘트를 남겨주세요
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 35 GDPR:

7.2.5 Privacy impact assessment

Control

The organization should assess the need for, and implement where appropriate, a privacy impact assessment whenever new processing of PII or changes to existing processing of PII is planned.

Implementation guidance

PII processing generates risks for PII principals. These risks should be assessed through a privacy impact assessment.


전체 텍스트에 액세스하려면

전문 (Recitals)

(75) 개인의 권리와 자유에 초래되는 위험은, 다양한 발생가능성과 심각성으로 나타나는데 이는, 개인정보 처리로 인해 발생할 수 있으며, 이는 신체적(physical), 물질적(material) 혹은 비-물질적(non-material) 손해를 초래할 수 있다. 특히, 처리로 인해 차별, 신용도용 및 사기, 재정적 손실, 명예훼손, 직무상의 기밀로 보호되던 개인정보의 기밀성 상실, 가명정보에 대한 무단 재식별 처리, 또는 기타의 심각한 경제적 또는 사회적 불이익이 초래될 수 있는 경우 그러하다. 또한, 정보주체가 본인의 권리와 자유를 빼앗길 수 있는 경우나, 본인의 개인정보에 대한 자기결정권(right to control) 행사하지 못하게 되는 경우, 혹은 개인정보가 인종 및 민족의 출신, 정견, 종교 및 철학적 신념, 노동조합의 가입여부와 유전자정보, 건강정보 또는 성생활 관련 정보나 범죄 기소 및 범죄관련 개인정보에 대한 처리 또는 관련한 보안 조치를 드러내는 방식으로 처리되는 경우. 또는 개인적인 측면에 평가되는 경우로 특히 업무능력, 경제적 상황, 건강상태, 개인의 성향 및 관심사, 신뢰성이나 행동, 위치 및 이동경로와 관련된 측면을 개인프로필 생성 및 이용을 위해 분석하거나 예측하는 경우. 혹은 아동 등 취약한 개인의 개인정보가 처리되는 경우나 처리가 방대한 양의 개인정보와 관련 있거나, 수많은 정보주체에게 영향을 미치는 경우가 그러하다.

(84) 처리 방법이 개인의 권리와 자유에 관해 높은 수준의 위험을 초래할 가능성이 있는 경우 이 규정을 보다 더 잘 준수하기 위해서, 컨트롤러는 특히 관련 위험의 출처, 성격, 특성 그리고 심각성을 평가하는 개인정보보호 영향평가(DPIA)를 수행할 책임이 있다. 평가결과는, 이 규정에 따라 개인정보가 처리되었음을 입증하기 위해 적절한 조치를 결정할 때, 고려되어야 한다. 개인정보보호 영향평가 결과를 통해, 컨트롤러가 이용할 수 있는 기술과 기술시행 비용을 고려했을 때, 적절한 조치로 고위험을 완화할 수 없는 처리 작업임이 판단되는 경우, 처리 이전에 감독기관에 자문을 구해야 한다.

(89) 지침 95/46/EC에서는 감독기관에 개인정보처리를 통지하라는 일반적인 의무조건을 규정하고 있었다. 이러한 의무는 행정적, 재정적 부담을 주는 반면, 항상 개인정보보호 개선에 도움이 된 것은 아니었다. 따라서 이러한 무차별적인 일반적인 통지의 의무는 철폐되어야 하며, 대신 처리 작업의 성격·범위·상황·목적에 따라 개인의 권리와 자유에 고위험을 초래할 가능성이 있는 처리작업 유형을 중점적으로 통지하는, 효과적인 절차와 메커니즘으로 대체되어야 한다. 여기에 해당되는 처리작업의 유형은 신기술을 사용하는 경우나 새로운 종류의 처리인 경우, 컨트롤러가 이전에 개인정보 영향평가를 시행한 적이 없는 경우나 혹은 최초의 처리 이후 시간이 흘러 개인정보 영향평가가 필요하게 된 경우가 포함된다.

(90) 이러한 경우, 고위험의 가능성 및 강도를 평가하기 위해 처리의 성격·범위·상황·목적 그리고 위험요소의 출처를 고려하여, 처리 이전에 개인정보보호 영향평가가 컨트롤러에 의해 수행될 수 있어야 한다. 이러한 개인정보보호영향평가는 해당 위험을 완화하고 개인정보를 보호하며, 본 규정의 준수여부를 입증하기 위한 조치, 안전장치 및 메커니즘을 특히 포함해야 한다.

(91) 이는 특히 상당한 양의 개인정보를 지역적, 국가적, 초국가적 차원에서 처리하고자 하는 대규모의 처리작업과 수많은 정보주체에게 영향을 미칠 수 있는 처리작업, 그리고 현재의 기술적 지식 수준에서 신기술을 대규모 처리에 사용하는 경우 등, 그 민감성 때문에 고위험을 초래할 수 있는 처리작업뿐 아니라 정보주체가 권리를 행사하기 어려운 상황 등, 정보주체의 권리와 자유에 고위험을 초래할 수 있는 기타 처리 방식에 적용되어야 한다. 또한, 관련 개인정보의 프로파일링에 근거하여 개인의 개인적인 측면에 대한 체계적이고 광범위한 일체의 평가를 따라 특정 개인에 대한 결정을 내리기 위해 개인정보를 처리하는 경우, 혹은 특별범주의 개인정보, 생체정보 또는 형사기소 및 범죄나 관련보안조치에 대한 정보처리에 따라 특정 개인에 대한 결정을 내리기 위해 개인정보를 처리하는 경우, 개인정보보호 영향평가가 이루어져야 한다. 특히 시각적 전자기기를 사용하여 공공장소를 대규모로 감시할 때나, 관할 감독기관이 판단하기에 해당 처리가 특히 정보주체가 권리를 행사하지 못하게 하거나 서비스 혹은 계약을 이용하지 못하게 하거나, 체계적으로 대규모로 수행되어 정보주체의 권리와 자유에 고위험을 초래할 가능성이 있다고 간주되는 처리작업에 모두 개인정보보호 영향평가는 동일하게 필요하다. 해당 개인정보 처리가 개인 내과 의사나 기타 의료전문인 또는 변호사의 환자나 고객으로부터의 개인정보가 관련된 처리인 경우, 대규모의 처리라고 간주되어서는 안 된다. 이 경우, 개인정보보호 영향평가는 의무여서는 안된다.

(92) 개인정보보호 영향평가가 단일 프로젝트보다 광범위하게 적용되어야, 합리적이고 경제적이라고 생각되는 상황이 있다. 예를 들어, 공공기관이나 공공기구가 동일한 적용 플랫폼이나 처리 플랫폼을 수립할 계획인 경우, 또는 여러 명의 컨트롤러가 산업분야나 부문 전반이나 비슷한 수준의 활동(horizontal activity)에 광범위하게 사용되는 동일한 적용환경이나 처리환경을 도입하려는 경우가 있다.

(93) 공공기관이나 공공기구의 업무수행 규정하는 회원국 법률 혹은 구체적인 처리작업이나 일련의 처리작업을 규제하는 회원국 법률을 채택할 때, 회원국은 처리활동을 하기 전에 이러한 평가의 수행이 필요하다고 생각할 수 있다.

지침 및 사례 법률 코멘트를 남겨주세요
[js-disqus]