항해
GDPR > 제4조. 정의
다운로드 PDF

제4조 GDPR. 정의

Article 4 GDPR. Definitions

본 규정의 취지에 따르면

For the purposes of this Regulation:

(1) 개인정보는 식별된 또는 식별 가능한 자연인(‘정보주체’)과 관련한 일체의 정보를 가리킨다. 식별가능한 자연인은 직접 또는 간접적으로, 특히 이름, 식별번호, 위치정보, 온라인 식별자를 참조하거나 해당인의 신체적, 심리적, 유전적, 정신적, 경제적, 문화적 또는 사회적 정체성에 특이한 하나 이상의 요인을 참조함으로써 식별될 수 있는 자를 가리킨다.

(1) ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

전문가 해설

(RU)

Когда номер телефона – персональные данные?

(1) В настоящем комментарии рассматривается Позиция WP29 4/2007 о концепции
персональных данных от 20 июня 2007 года (далее—Позиция WP29).

В европейской доктрине и законодательстве определение персональных данных умышленно дано широко, не имеет и, скорее всего, никогда не будет иметь четких и однозначных критериев. Для чего эксперты в области приватности в составе WP29, а затем и законодатели это сделали?

Раздел III Позиции WP29 выделяет в конструкции персональных данных 4 «несущих» блока: «любая информация», «относящаяся к», «идентифицированному или идентифицируемому», «физическому лицу». Для целей нашего анализа потребуются два центральных элемента: «относящаяся к» и «идентифицированному или идентифицируемому», поскольку они в наибольшей степени характеризуют сторону контролера персональных данных как участника правоотношений.

(2) Данные, «относящиеся к» субъекту, включают в себя не только информацию о самом субъекте, но и о принадлежащих ему или иным образом связанных с ним объектах, питомцах. Таким образом, данными, «относящимися к» субъекту, являются не только номер телефона, автомобиля, компьютера, банковской карты, фитнес трекера, чипа питомца, но и иные характеристики этих объектов и животных: цена, износ, серийные номера, поломки, диагнозы, результаты анализов и т.д.

Позиция WP29 также выделяет три элемента, каждый из которых, независимо от наличия других, может сделать любую информацию «относящейся к» субъекту — это содержание, цель и результат.

Информация может относиться к субъекту по своему содержанию, если она о конкретном физическом лице, например, результаты тестов на экзамене, номер телефона конкретного лица, профиль определенного пользователя в соцсетях.

Информация может относиться к субъекту также по цели, если она используется или, вероятнее всего, будет использована в целях оценки, влияния на статус или поведение субъекта, проявления определенного рода отношения к субъекту. Например, список посещенных сотрудниками компании интернет страниц в корпоративной сети, может быть использован для целей мониторинга эффективности использования рабочего времени каждым сотрудником, или для блокировки определенных страниц определенным сотрудникам.

Информация может относиться к субъекту персональных данных, даже в отсутствие признаков «содержания» и «цели», если есть признак результата: если обработка данных, вероятнее всего, повлияет на права и интересы субъекта, например, даже если слегка изменит отношение окружающих к нему, заставит выделять его среди остальных в сообществе. Например, информация о том, что дедушка школьника получил премию Дарвина, может вызвать насмешки и издевательства со стороны сверстников.

Эти три элемента относимости данных к субъекту применяются каждый в отдельности, но, если присутствует хотя бы один элемент, нет надобности выявлять остальные два — данные точно относятся к субъекту.

(3) Третий блок конструкции персональных данных: «идентифицированному или идентифицируемому» — имеет квалифицирующее значение для номера телефона и прочих номеров, характеристик объектов и живых существ, относящихся к субъектам.

Позиция WP29 определяет лицо как идентифицируемое, если оно еще не идентифицировано, но его возможно идентифицировать прямо, например, по имени (если оно позволяет выделить субъекта из группы) или косвенно — по номеру паспорта, автомобиля, телефона или комбинации существенных критериев, позволяющих выделить субъекта из группы (это может быть возраст, место проживания, внешний вид и т.д.).

Однако одна лишь гипотетическая вероятность идентификации субъекта не делает информацию персональными данными. Если возможность идентифицировать субъекта отсутствует или ничтожно мала, данные не считаются персональными. В этом месте некоторые контролеры с радостью воскликнут, что у них и в мыслях не было идентифицировать кого либо, что они всего лишь собирают номера телефонов, автомобилей и некоторых карт, принадлежащих субъектам. Но мы понимаем, что идентификация по этим номерам возможна при сопоставлении с другой базой данных, например, в рамках межведомственного обмена данными, получения данных от сотовых контролеров, с дорожных камер видеонаблюдения, либо в рамках интеграции систем.

Как же определить степень и вероятность того, что контролер или любое третье лицо, завладевшее информацией, решит воспользоваться возможностью идентифицировать субъектов?

Для этого необходимо определить какие разумные усилия контролер или любое третье лицо должны будут приложить для идентификации конкретных субъектов: затраты денежных средств на такие усилия; временные и человеческие ресурсы; наличие технологии, позволяющей выполнить идентификацию без особых усилий и затрат; подразумеваемая (а не декларируемая цель) и построение обработки; какие выгоды может извлечь контролер или любое другое третье лицо; продолжительность хранения данных и потенциальное развитие технологий для идентификации в этот период.

В каждом конкретном случае необходимо определять наличие возможности и прилагаемые ресурсы контролера для идентификации субъектов по номеру телефона. Если возможность есть, или цель и контекст обработки предполагает идентификацию субъекта, то номер телефона является персональными данными.

Номер телефона — является персональными данными, так как он в зависимости от ситуации либо служит идентификатором личности, либо представляет собой информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу. Все прочие номера и характеристики принадлежащих субъекту объектов и живых существ, в том или ином контексте обработки, также могут квалифицироваться в качестве персональных данных.

(4) Даже при отсутствии ФИО субъекта персональных данных у контролера и любого третьего лица, и даже при отсутствии у них возможности идентифицировать субъекта, они все же имеют возможность очень серьезно повлиять на поведение субъекта, нарушить его права и интересы.

Ведь номер телефона, существенно отличается от остальных номеров вещей принадлежностей еще и тем, что по нему можно непосредственно связаться с субъектом и вмешаться в его частную жизнь, причинить ему беспокойство. Возможны: мошенничество, пранк, звонки ночью или ранним утром в выходные, нежелательные смс, звонки, спам. Все это может не только причинить вред здоровью субъекта, нанести ущерб его материальному благосостоянию, но и заставить субъекта сменить номер телефона, и даже поменять контролера, по вине которого произошло нарушение его прав.

Контактные данные в целом (номер телефона, email, адрес и т.д.) позволяют злоумышленникам вступить в непосредственный контакт с субъектом против его воли, чтобы, предположим, угрожать его жизни и безопасности, манипулировать им, назойливо завладеть его вниманием, мешать работе и личной жизни (вторжение согласно Таксономии приватности). Дополнением к мерам защиты таких данных должна быть разумная осмотрительность самого субъекта при раскрытии своих контактных данных третьим лицам, поскольку их компрометация может заставить субъекта сменить номер или переехать, а также нарушить интересы третьих лиц, например семьи субъекта.

Как показано выше, даже без полной идентификации субъекта по контактным данным возможно нарушение его прав. Конфиденциальность этих данных обеспечивает безопасность жизни и здоровья субъекта, его близких, позволяет держать под контролем свои внешние коммуникации, снижает его доступность для внешнего мира, выстраивает личные границы субъекта, оберегает его личное пространство, что дает субъекту комфорт и уверенность.


전체 텍스트에 액세스하려면

(EN) Author
(EN) Elena Sebjakina CIPP/E, Privacy by design
(EN) Data Protection Officer, GDPR Consultant
Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant
지침 및 사례 법률 전문 (Recitals)

(26) 개인정보 보호 원칙은 식별된 또는 식별될 수 있는 개인에 관한 일체의 정보에 적용된다. 가명처리를 거친 개인정보는 추가 정보의 사용으로 개인에 연계될 수 있는 정보로서, 식별 가능한 개인에 관한 정보로 간주되어야 한다. 개인이 식별 가능한지를 판단함에 있어 선별(singling out) 등 그 개인을 직간접적으로 식별하기 위해 컨트롤러 또는 제3자가 합리적으로 사용할 것으로 예상되는 모든 수단이 고려되어야 한다. 그 수단이 개인을 식별하는 데 사용될 것이라 합리적으로 예상되는지 여부를 확인하기 위해서 식별에 소요되는 비용 및 시간 등의 모든 객관적 요인을 고려하고, 처리 시점에 가용한 기술 및 기술 발전사항을 고려하여야 한다. 따라서 개인정보 보호 원칙은 익명정보, 즉 식별되었거나 식별 가능한 개인에 관련되지 않은 정보 또는 정보주체가 식별 가능하지 않거나 더 이상 식별 가능하지 않은 방식으로 익명 처리된 개인정보에는 적용되지 않는다. 따라서 본 규정은 통계 목적 또는 연구 목적 등을 위한 익명정보의 처리에는 적용되지 않는다.

(26) The principles of data protection should apply to any information concerning an identified or identifiable natural person. Personal data which have undergone pseudonymisation, which could be attributed to a natural person by the use of additional information should be considered to be information on an identifiable natural person. To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments. The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable. This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes.

(2) 처리는 자동화 수단에 의한 것인지 여부에 관계없이 단일의 또는 일련의 개인정보에 행해지는 단일 작업이나 일련의 작업으로서, 수집, 기록, 편집(organisation), 구성, 저장, 가공 또는 변경(adaptation or alteration), 검색(retrieval), 참조(consultation), 사용, 이전을 통한 제공, 배포나 기타 방식으로의 제공(dissemination or otherwise making available), 연동이나 연계(alignment or combination), 제한, 삭제 또는 파기 등이 이에 해당한다.

(2) ‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;

전문가 해설

(EN) Though GDPR Art.4(2) does not mention “purpose”, a “processing” should actually be understood as an operation or set of operations united by one purpose. The purpose determines the role of data controller, legal ground for processing, defines the exception allowing for the processing of special categories of data, it limits processing to one purpose (purpose limitation principle), serves as a criteria for data minimisation, and determines a risk level and scope of data subject rights.

Some operations may serve multiple purposes, for instance, storage of email addresses allows a company to provide login to its website (purpose 1) and to send marketing communications (purpose 2). In that case this operation (storage) is  a part of two processing activities at the same time. Stopping one of them (for example as a result of a withdrawal of consent for marketing emails) does not prevent company from continuing the another one (allowing the user to login).


전체 텍스트에 액세스하려면

(EN) Author
Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant
지침 및 사례 법률

(3) 처리의 제한은 장래의 처리를 제한할 목적으로, 저장된 개인정보에 표시하는 행위를 의미한다.

(3) ‘restriction of processing’ means the marking of stored personal data with the aim of limiting their processing in the future;

(4) 프로파일링은 특히 자연인의 업무 성과, 경제적 상황, 건강, 개인적 선호, 관심사, 신뢰도, 행태, 위치 또는 이동에 관한 측면을 분석하거나 예측하기 위해 행해지는 경우로서, 자연인에 관련한 개인적인 특정 측면을 평가하기 위해 개인정보를 사용하여 이루어지는 모든 형태의 자동화된 개인정보의 처리를 가리킨다.

(4) ‘profiling’ means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person’s performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements;

지침 및 사례 법률

(5) 가명처리는 추가적인 정보의 사용 없이는 더 이상 특정 정보주체에게 연계될 수 없는 방식으로 개인정보를 처리하는 것이다. 단, 그 같은 추가 정보는 별도로 보관하고, 기술적 및 관리적 조치를 적용하여 해당 개인정보가 식별된 또는 식별될 수 있는 자연인에 연계되지 않도록 해야 한다.

(5) ‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person;

전문가 해설
(EN) Author
Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant
지침 및 사례 법률 전문 (Recitals)

(26) 개인정보 보호 원칙은 식별된 또는 식별될 수 있는 개인에 관한 일체의 정보에 적용된다. 가명처리를 거친 개인정보는 추가 정보의 사용으로 개인에 연계될 수 있는 정보로서, 식별 가능한 개인에 관한 정보로 간주되어야 한다. 개인이 식별 가능한지를 판단함에 있어 선별(singling out) 등 그 개인을 직간접적으로 식별하기 위해 컨트롤러 또는 제3자가 합리적으로 사용할 것으로 예상되는 모든 수단이 고려되어야 한다. 그 수단이 개인을 식별하는 데 사용될 것이라 합리적으로 예상되는지 여부를 확인하기 위해서 식별에 소요되는 비용 및 시간 등의 모든 객관적 요인을 고려하고, 처리 시점에 가용한 기술 및 기술 발전사항을 고려하여야 한다. 따라서 개인정보 보호 원칙은 익명정보, 즉 식별되었거나 식별 가능한 개인에 관련되지 않은 정보 또는 정보주체가 식별 가능하지 않거나 더 이상 식별 가능하지 않은 방식으로 익명 처리된 개인정보에는 적용되지 않는다. 따라서 본 규정은 통계 목적 또는 연구 목적 등을 위한 익명정보의 처리에는 적용되지 않는다.

(26) The principles of data protection should apply to any information concerning an identified or identifiable natural person. Personal data which have undergone pseudonymisation, which could be attributed to a natural person by the use of additional information should be considered to be information on an identifiable natural person. To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments. The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable. This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes.

(28) 개인정보에 가명처리를 적용하는 것은 관련 정보주체에게 미치는 위험성을 줄이고 컨트롤러와 프로세서가 개인정보 보호의 의무를 충족시킬 수 있도록 지원한다. 본 규정에서 명시적으로 ‘가명처리’를 도입하는 것이 기타의 개인정보 보호의 조치를 배제시키려는 의도는 아니다(가명처리를 하더라도 기타의 개인정보 보호 조치를 적용할 필요도 있음).

(28) The application of pseudonymisation to personal data can reduce the risks to the data subjects concerned and help controllers and processors to meet their data-protection obligations. The explicit introduction of ‘pseudonymisation’ in this Regulation is not intended to preclude any other measures of data protection.

(29) 개인정보 처리 시 가명처리 적용에 대한 인센티브를 부여하기 위해서는 가명처리 조치가 일반적 분석은 허용하되 동종의 컨트롤러 사업체 내에서 가능할 수 있어야 한다. 이 때 동종의 컨트롤러 사업체 내의 컨트롤러는 관련 처리에 대하여 본 규정이 이행되고 개인정보를 특정 정보주체에 연결시키는 추가 정보를 별도 보관하도록 하는 기술적·관리적 조치를 취했어야 한다. 개인정보를 처리하는 컨트롤러는 동종의 컨트롤러 사업체 내의 인가받은 사람을 가리킨다.

(29) In order to create incentives to apply pseudonymisation when processing personal data, measures of pseudonymisation should, whilst allowing general analysis, be possible within the same controller when that controller has taken technical and organisational measures necessary to ensure, for the processing concerned, that this Regulation is implemented, and that additional information for attributing the personal data to a specific data subject is kept separately. The controller processing the personal data should indicate the authorised persons within the same controller.

(6) 파일링시스템은 기능적 또는 지리학적으로 중앙에 집중되거나 분산되었는지 여부에 관계없이 특정 기준에 따라 열람 가능한 일련의 구조화된 개인정보를 가리킨다.

(6) ‘filing system’ means any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis;

전문가 해설
지침 및 사례 법률 관련 교과서

(7) 컨트롤러는 단독으로 또는 제3자와 공동으로 개인정보 처리의 목적 및 방법을 결정하는 자연인 또는 법인, 공공기관, 기관, 기타 기구를 가리킨다. 그러한 처리의 목적 및 방법이 유럽연합 또는 회원국 법률로 결정되는 경우 컨트롤러 또는 컨트롤러자 지정을 위한 구체적 기준은 유럽연합 또는 회원국 법률로 규정될 수 있다.

(7) ‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law;

전문가 해설
지침 및 사례 법률

(8) 프로세서는 컨트롤러를 대신하여 개인정보를 처리하는 자연인이나 법인, 공공기관, 기관 또는 기타 기구를 가리킨다.

(8) ‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller;

지침 및 사례 법률

(9) 수령인은 제3자 포함 여부에 관계없이 개인정보가 제공되는 자연인 또는 법인, 공공기관, 기관, 기타 기구를 가리킨다. 그러나 유럽연합 또는 회원국 법률에 따라 특정 조회업무를 수행하는 체제에서 개인정보를 수령할 수 있는 공공당국은 수령인으로 간주하지 않는다. 그러한 공공당국의 그 같은 개인정보의 처리는 처리 목적에 따라 적용 가능한 개인정보 보호 규칙을 준수하여야 한다.

(9) ‘recipient’ means a natural or legal person, public authority, agency or another body, to which the personal data are disclosed, whether a third party or not. However, public authorities which may receive personal data in the framework of a particular inquiry in accordance with Union or Member State law shall not be regarded as recipients; the processing of those data by those public authorities shall be in compliance with the applicable data protection rules according to the purposes of the processing;

전문 (Recitals)

(31) 관세청 및 국세청, 금융조사 기관, 독립 행정기관, 또는 증권시장 규제 및 감독책임의 금융시장 기구 등, 공적 임무 수행을 위한 법적 의무에 따라 개인정보를 제공받는 공공기관은 유럽연합 또는 회원국 법률에 따라 공공이익을 위한 특정 문의업무를 처리하는 데 필요한 개인정보를 받은 경우, 수령인으로 간주되지 않는다. 공공기관의 정보 제공 요청은 항상 서면 형식을 갖추어야 하고 타당하고 간헐적이어야 한다. 그 요청은 파일링시스템 전체에 대한 것이 아니어야 하고 파일링시스템 간에 상호연결이 이루어지도록 해서도 안 된다. 상기 공공기관의 개인정보 처리는 처리 목적에 따라 적용 가능한 데이터 보호 규칙을 준수하여 이루어져야 한다.

(31) Public authorities to which personal data are disclosed in accordance with a legal obligation for the exercise of their official mission, such as tax and customs authorities, financial investigation units, independent administrative authorities, or financial market authorities responsible for the regulation and supervision of securities markets should not be regarded as recipients if they receive personal data which are necessary to carry out a particular inquiry in the general interest, in accordance with Union or Member State law. The requests for disclosure sent by the public authorities should always be in writing, reasoned and occasional and should not concern the entirety of a filing system or lead to the interconnection of filing systems. The processing of personal data by those public authorities should comply with the applicable data-protection rules according to the purposes of the processing.

(10) 제3자는 정보주체, 컨트롤러, 프로세서, 컨트롤러나 프로세서의 직권에 따라 개인정보를 처리할 수 있는 자를 제외한 자연인이나 법인, 공공기관, 기관 또는 기구를 가리킨다.

(10) ‘third party’ means a natural or legal person, public authority, agency or body other than the data subject, controller, processor and persons who, under the direct authority of the controller or processor, are authorised to process personal data;

(11) 정보주체의 동의는 본인과 관련된 개인정보의 처리에 대해 합의한다는 정보주체의 희망을 진술 또는 명백한 적극적인 행위를 통해 자유롭고, 구체적으로, 결과에 대해 인지하여 분명하게 나타낸 의사표시를 가리킨다.

(11) ‘consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her;

지침 및 사례 법률 전문 (Recitals)

(32) 동의는 전자적 방식 등 서면 진술 또는 구두 진술 등으로, 정보주체가 본인과 관련한 개인정보의 처리에 대해 자발적이고 구체적이며 동의 내용에 대해 인지하는 분명한 합의를 나타내는 명확하고 적극적인 행위로써 제공되어야 한다. 인터넷 웹사이트의 개인정보 처리동의란 체크, 정보사회서비스에 대한 기술적 설정 선택 또는 본인의 개인정보 처리 수락을 의미하는 정보주체의 행동이나 기타 진술이 이에 포함된다. 따라서 침묵, 사전 자동 체크된 개인정보처리 동의나 부작위는 동의에 해당되지 않는다. 동의는 단일 또는 복수의 동일한 목적을 위한 모든 처리 활동에 유효하다. 복수의 목적으로 개인정보를 처리하는 경우, 각 목적에 대한 동의를 받아야 한다. 만약 정보주체의 동의를 전자방식의 요청에 따라 제공하는 경우, 그 요청은 명확하고 간결하게 제공되어야 하며, 관련 서비스 이용을 불필요하게 방해해서는 안 된다.

(32) Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject's agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement. This could include ticking a box when visiting an internet website, choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of his or her personal data. Silence, pre-ticked boxes or inactivity should not therefore constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes, consent should be given for all of them. If the data subject's consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.

(33) 과학적 연구 목적의 경우, 개인정보 수집 당시에 개인정보 처리 목적을 충분히 확인하기가 불가능할 때가 많다. 따라서 정보주체는 과학적 연구의 공인 윤리 기준에 부합된 경우, 특정 연구 분야에 한해 동의를 제공할 수 있다. 정보주체는 의도한 처리 목적이 허용하는 선에서 특정 연구 분야 혹은 연구 일부분에 한해 본인의 동의를 제공할 수 있어야 한다.

(33) It is often not possible to fully identify the purpose of personal data processing for scientific research purposes at the time of data collection. Therefore, data subjects should be allowed to give their consent to certain areas of scientific research when in keeping with recognised ethical standards for scientific research. Data subjects should have the opportunity to give their consent only to certain areas of research or parts of research projects to the extent allowed by the intended purpose.

관련 교과서

(12) 개인정보 침해는 이전 또는 저장되거나 기타 방식으로 처리된 개인정보가 우발적 또는 불법적으로 파기, 유실, 변경, 무단제공, 무단열람을 초래하게 되는 보안 위반을 가리킨다.

(12) ‘personal data breach’ means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed;

지침 및 사례 법률

(13) 유전정보는 자연인의 생리나 건강에 관해 고유한 정보를 제공하는 해당인의 선천적 또는 후천적인 유전자 특성과 관련한 개인정보로서, 특히 해당 자연인의 생물학적 샘플 분석을 통해 획득하게 된다.

(13) ‘genetic data’ means personal data relating to the inherited or acquired genetic characteristics of a natural person which give unique information about the physiology or the health of that natural person and which result, in particular, from an analysis of a biological sample from the natural person in question;

지침 및 사례 법률 전문 (Recitals)

(34) 유전자 정보는 특히 염색체 분석, 데옥시리보핵산(DNA) 분석 또는 리보핵산(RNA)분석 등 개인에게서 채취한 생물학적 샘플의 분석 결과나 이에 상응하는 정보를 입수할 수 있는 기타 요소의 분석으로부터 얻은 개인의 선천적 또는 후천적 유전자 특성에 관한 개인정보로 정의되어야 한다.

(34) Genetic data should be defined as personal data relating to the inherited or acquired genetic characteristics of a natural person which result from the analysis of a biological sample from the natural person in question, in particular chromosomal, deoxyribonucleic acid (DNA) or ribonucleic acid (RNA) analysis, or from the analysis of another element enabling equivalent information to be obtained.

(14) 생체정보는 안면 영상이나 지문정보와 같이 특정 기술 처리로 얻어진 자연인의 신체적, 생리적, 행태적 특성과 관련된 정보로서, 자연인을 고유하게 식별할 수 있도록 해주거나 확인해주는 것을 의미한다.

(14) ‘biometric data’ means personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, which allow or confirm the unique identification of that natural person, such as facial images or dactyloscopic data;

지침 및 사례 법률

(15) 건강에 관한 정보는 의료서비스 제공 등 자연인의 신체적 또는 정신적 건강과 관련한 개인정보를 가리키며, 해당인의 건강 상태에 관한 정보를 드러낸다.

(15) ‘data concerning health’ means personal data related to the physical or mental health of a natural person, including the provision of health care services, which reveal information about his or her health status;

지침 및 사례 법률 전문 (Recitals)

(35) 건강 관련 개인정보에는 정보주체의 과거, 현재, 혹은 미래의 신체적 또는 정신적 건강 상태와 관련한 정보를 드러내는 모든 정보주체의 건강상태에 속하는 데이터가 포함된다. 이 정보에는 유럽 의회와 각료이사회의 지침 2011/24/EU에 규정된 바와 같이 의료서비스를 등록하고 정보주체에 제공하는 과정에서 수집된 개인에 대한 정보도 포함된다 [9]. 건강 목적으로 특정 개인을 식별하기 위해 개인에게 부여되는 숫자, 상징, 혹은 특별사항도 포함되며, 유전자 정보와 생물학적 샘플 등, 신체의 일부분 또는 신체 물질에 대한 테스트나 검사에서 얻은 정보도 포함된다. 또한 질병, 장애, 질병 위험성, 의료 내역, 임상치료에 대한 정보 또는, 이와 무관하게, 내과의사 혹은 다른 의료계 종사자, 병원, 의료기기나 시험관 진단검사에서 얻은 정보주체에 대한 생리학적 상태 혹은 생체의학적 상태에 대한 정보도 포함된다.

(35) Personal data concerning health should include all data pertaining to the health status of a data subject which reveal information relating to the past, current or future physical or mental health status of the data subject. This includes information about the natural person collected in the course of the registration for, or the provision of, health care services as referred to in Directive 2011/24/EU of the European Parliament and of the Council [9] to that natural person; a number, symbol or particular assigned to a natural person to uniquely identify the natural person for health purposes; information derived from the testing or examination of a body part or bodily substance, including from genetic data and biological samples; and any information on, for example, a disease, disability, disease risk, medical history, clinical treatment or the physiological or biomedical state of the data subject independent of its source, for example from a physician or other health professional, a hospital, a medical device or an in vitro diagnostic test.

[9] Directive 2011/24/EU of the European Parliament and of the Council of 9 March 2011 on the application of patients' rights in cross-border healthcare (OJ L 88, 4.4.2011, p. 45). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:088:TOC

[9] Directive 2011/24/EU of the European Parliament and of the Council of 9 March 2011 on the application of patients' rights in cross-border healthcare (OJ L 88, 4.4.2011, p. 45). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:088:TOC

(16) 주 사업장은 다음 각 호를 의미한다.

(16) ‘main establishment’ means:

전문 (Recitals)

(36) 컨트롤러의 유럽연합 역내 주 사업장은 컨트롤러의 유럽연합 내 중앙행정 지점이어야 하지만, 개인정보 처리 목적 빛 방식에 대한 결정을 유럽연합 내 다른 사업장에서 내리는 경우, 그 사업장이 주 사업장으로 간주되어야 한다. 컨트롤러의 유럽연합 내 주 사업장은 객관적인 기준에 따라 결정되어야 하며, 안정적인 방식을 통해 처리 목적 및 방식에 대한 주요 결정을 내리는 관리활동을 효과적이고 실제적으로 행하는 것을 의미한다. 그 기준은 개인정보의 처리가 해당 지역에서 이루어지는지 여부에 따라 달라지지 않는다. 개인정보 처리 또는 처리활동을 위한 기술적 수단 및 기술이 존재하고 이를 사용한다는 그 자체가 주 사업장이 되지 않으므로 이는 주 사업장을 결정하는 기준이 아니다. 프로세서의 주 사업장은 프로세서의 유럽연합 내 중앙행정 지점이거나, 유럽연합 역내에서 중앙 행정처리가 이루어지지 않는 경우에는 유럽연합 내 주요 처리 활동이 발생하는 장소가 주 사업장이다. 컨트롤러와 프로세서 모두와 관련되어 있는 경우, 선임 감독기관은 처리자의 주 사업장이 있는 회원국의 감독기관이어야 하고 프로세서의 감독기관은 관련 감독기관으로 간주되어야 하며, 이 감독기관은 본 규정이 정한 협력 절차에 참여해야 한다. 어느 경우든, 프로세서의 단일 또는 복수의 사업장이 소재한 회원국 또는 복수의 회원국의 감독기관들은, 결정문 초안이 처리자에 한하여 관련되어 있는 경우, 관련 감독기관으로 간주되지 않는다. 사업체 집단이 처리를 수행하는 경우, 통제 사업체의 주 사업장은 사업체 집단의 주 사업장로 간주되어야하며, 처리 목적과 수단을 다른 사업체가 결정하는 경우는 예외로 한다.

(36) The main establishment of a controller in the Union should be the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union, in which case that other establishment should be considered to be the main establishment. The main establishment of a controller in the Union should be determined according to objective criteria and should imply the effective and real exercise of management activities determining the main decisions as to the purposes and means of processing through stable arrangements. That criterion should not depend on whether the processing of personal data is carried out at that location. The presence and use of technical means and technologies for processing personal data or processing activities do not, in themselves, constitute a main establishment and are therefore not determining criteria for a main establishment. The main establishment of the processor should be the place of its central administration in the Union or, if it has no central administration in the Union, the place where the main processing activities take place in the Union. In cases involving both the controller and the processor, the competent lead supervisory authority should remain the supervisory authority of the Member State where the controller has its main establishment, but the supervisory authority of the processor should be considered to be a supervisory authority concerned and that supervisory authority should participate in the cooperation procedure provided for by this Regulation. In any case, the supervisory authorities of the Member State or Member States where the processor has one or more establishments should not be considered to be supervisory authorities concerned where the draft decision concerns only the controller. Where the processing is carried out by a group of undertakings, the main establishment of the controlling undertaking should be considered to be the main establishment of the group of undertakings, except where the purposes and means of processing are determined by another undertaking.

(a) 하나 이상의 유럽연합 회원국에 사업장을 운영하는 컨트롤러의 경우, 유럽연합 역내의 중앙 행정 지점을 주 사업장으로 본다. 유럽연합 역내의 또 다른 사업장에서 개인정보의 처리 목적 및 처리 방식을 결정하거나, 또 다른 사업장에서 개인정보의 처리 목적 및 처리 방식을 결정하게 할 집행권을 보유하고 있는 경우에는 또 다른 사업장을 주 사업장으로 본다.

(a) as regards a controller with establishments in more than one Member State, the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union and the latter establishment has the power to have such decisions implemented, in which case the establishment having taken such decisions is to be considered to be the main establishment;

(b) 하나 이상의 유럽연합 회원국에 사업장을 운영하는 프로세서의 경우, 유럽연합 역내의 중앙 행정 지점을 주 사업장으로 본다. 프로세서가 유럽연합 역내에 중앙 행정 지점을 가지고 있지 않은 경우에는, 프로세서에게 본 규정에 따른 특정 의무가 부과되는 범위 내에서 주요 처리 활동이 이루어지는 사업장을 주 사업장으로 본다.

(b) as regards a processor with establishments in more than one Member State, the place of its central administration in the Union, or, if the processor has no central administration in the Union, the establishment of the processor in the Union where the main processing activities in the context of the activities of an establishment of the processor take place to the extent that the processor is subject to specific obligations under this Regulation;

관련 교과서

(17) 대리인은 제27조에 따라 컨트롤러나 프로세서가 서면으로 지정하여 유럽연합 역내에 설립된 자연인 또는 법인으로서 본 규칙에 의거, 컨트롤러 또는 프로세서 각각의 의무에 대해 그들을 대신한다.

(17) ‘representative’ means a natural or legal person established in the Union who, designated by the controller or processor in writing pursuant to Article 27, represents the controller or processor with regard to their respective obligations under this Regulation;

관련 교과서

(18) 기업(enterprise)은 정례적으로 경제활동에 종사하는 합명회사, 조합 등 법적 형태와는 상관없이, 경제활동에 종사하는 자연인 또는 법인을 의미한다.

(18) ‘enterprise’ means a natural or legal person engaged in an economic activity, irrespective of its legal form, including partnerships or associations regularly engaged in an economic activity;

(19) 사업체 집단(group of undertakings)은 관리하는 사업체와 그 관리를 받는 사업체를 의미한다.

(19) ‘group of undertakings’ means a controlling undertaking and its controlled undertakings;

전문가 해설
전문 (Recitals)

(37) 사업체 집단(a group of undertakings)은 관리하는 사업체와 관리되는 사업체를 포함하며, 관리하는 사업체는 소유권, 재정적 참여 또는 이를 관할하는 규정이나 개인정보보호 규정의 이행권한 등을 통해 다른 사업체에 우세적인 영향력을 행사할 수 있어야 한다. 부속 사업체 내의 개인정보 처리를 통제하는 사업체는 다른 사업체와 함께 사업체그룹으로 간주되어야 한다.

(37) A group of undertakings should cover a controlling undertaking and its controlled undertakings, whereby the controlling undertaking should be the undertaking which can exert a dominant influence over the other undertakings by virtue, for example, of ownership, financial participation or the rules which govern it or the power to have personal data protection rules implemented. An undertaking which controls the processing of personal data in undertakings affiliated to it should be regarded, together with those undertakings, as a group of undertakings.

(20) 의무적 기업규칙(binding corporate rules)은 공동 경제활동에 종사하는 사업체 집단 또는 기업체 집단 내부에서 단일 또는 복수의 제3국에 위치한 컨트롤러나 프로세서에게 개인정보를 이전하기 위해, 유럽연합 회원국 영토에 설립된 컨트롤러 또는 프로세서가 준수하는 개인정보 정책을 의미한다.

(20) ‘binding corporate rules’ means personal data protection policies which are adhered to by a controller or processor established on the territory of a Member State for transfers or a set of transfers of personal data to a controller or processor in one or more third countries within a group of undertakings, or group of enterprises engaged in a joint economic activity;

(21) 감독기관(supervisory authority)은 제51조에 따라 유럽연합 회원국이 설립한 독립적인 공공기관을 의미한다.

(21) ‘supervisory authority’ means an independent public authority which is established by a Member State pursuant to Article 51;

(22) 관련 감독기관(supervisory authority concerned)은 다음 각 호의 사유로 개인정보 처리에 관여하는 감독기관을 의미한다.

(22) ‘supervisory authority concerned’ means a supervisory authority which is concerned by the processing of personal data because:

전문 (Recitals)

(36) 컨트롤러의 유럽연합 역내 주 사업장은 컨트롤러의 유럽연합 내 중앙행정 지점이어야 하지만, 개인정보 처리 목적 빛 방식에 대한 결정을 유럽연합 내 다른 사업장에서 내리는 경우, 그 사업장이 주 사업장으로 간주되어야 한다. 컨트롤러의 유럽연합 내 주 사업장은 객관적인 기준에 따라 결정되어야 하며, 안정적인 방식을 통해 처리 목적 및 방식에 대한 주요 결정을 내리는 관리활동을 효과적이고 실제적으로 행하는 것을 의미한다. 그 기준은 개인정보의 처리가 해당 지역에서 이루어지는지 여부에 따라 달라지지 않는다. 개인정보 처리 또는 처리활동을 위한 기술적 수단 및 기술이 존재하고 이를 사용한다는 그 자체가 주 사업장이 되지 않으므로 이는 주 사업장을 결정하는 기준이 아니다. 프로세서의 주 사업장은 프로세서의 유럽연합 내 중앙행정 지점이거나, 유럽연합 역내에서 중앙 행정처리가 이루어지지 않는 경우에는 유럽연합 내 주요 처리 활동이 발생하는 장소가 주 사업장이다. 컨트롤러와 프로세서 모두와 관련되어 있는 경우, 선임 감독기관은 처리자의 주 사업장이 있는 회원국의 감독기관이어야 하고 프로세서의 감독기관은 관련 감독기관으로 간주되어야 하며, 이 감독기관은 본 규정이 정한 협력 절차에 참여해야 한다. 어느 경우든, 프로세서의 단일 또는 복수의 사업장이 소재한 회원국 또는 복수의 회원국의 감독기관들은, 결정문 초안이 처리자에 한하여 관련되어 있는 경우, 관련 감독기관으로 간주되지 않는다. 사업체 집단이 처리를 수행하는 경우, 통제 사업체의 주 사업장은 사업체 집단의 주 사업장로 간주되어야하며, 처리 목적과 수단을 다른 사업체가 결정하는 경우는 예외로 한다.

(36) The main establishment of a controller in the Union should be the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union, in which case that other establishment should be considered to be the main establishment. The main establishment of a controller in the Union should be determined according to objective criteria and should imply the effective and real exercise of management activities determining the main decisions as to the purposes and means of processing through stable arrangements. That criterion should not depend on whether the processing of personal data is carried out at that location. The presence and use of technical means and technologies for processing personal data or processing activities do not, in themselves, constitute a main establishment and are therefore not determining criteria for a main establishment. The main establishment of the processor should be the place of its central administration in the Union or, if it has no central administration in the Union, the place where the main processing activities take place in the Union. In cases involving both the controller and the processor, the competent lead supervisory authority should remain the supervisory authority of the Member State where the controller has its main establishment, but the supervisory authority of the processor should be considered to be a supervisory authority concerned and that supervisory authority should participate in the cooperation procedure provided for by this Regulation. In any case, the supervisory authorities of the Member State or Member States where the processor has one or more establishments should not be considered to be supervisory authorities concerned where the draft decision concerns only the controller. Where the processing is carried out by a group of undertakings, the main establishment of the controlling undertaking should be considered to be the main establishment of the group of undertakings, except where the purposes and means of processing are determined by another undertaking.

(a) 해당 감독기관이 소재한 회원국의 영토에 컨트롤러나 프로세서가 설립되는 경우

(a) the controller or processor is established on the territory of the Member State of that supervisory authority;

(b) 해당 감독기관이 소재한 회원국에 거주하는 정보주체가 처리로 인해 상당한 영향을 받거나 받을 것으로 예상되는 경우

(b) data subjects residing in the Member State of that supervisory authority are substantially affected or likely to be substantially affected by the processing; or

(c) 해당 감독기관에 민원이 제기된 경우

(c) a complaint has been lodged with that supervisory authority;

(23) 국가간 처리(cross-border processing)는 다음 각 호의 하나에 해당한다.

(23) ‘cross-border processing’ means either:

(a) 컨트롤러나 프로세서가 하나 이상의 회원국에 설립된 경우로서, 유럽연합 역내에 컨트롤러나 프로세서가 소재한 하나 이상의 회원국에서 사업장의 활동 중에 발생하는 개인정보의 처리

(a) processing of personal data which takes place in the context of the activities of establishments in more than one Member State of a controller or processor in the Union where the controller or processor is established in more than one Member State; or

(b) 유럽연합 역내의 컨트롤러나 프로세서의 단일 사업장의 활동 중에 발생하지만 하나 이상의 회원국의 정보주체에게 상당한 영향을 미치거나 미칠 것으로 예상되는 개인정보의 처리

(b) processing of personal data which takes place in the context of the activities of a single establishment of a controller or processor in the Union but which substantially affects or is likely to substantially affect data subjects in more than one Member State.

관련 교과서

(24) 타당하고 합당한 이의제기는 본 규정에 대한 위반이 존재하는지 여부 또는 컨트롤러나 프로세서와 관련해 예정된 작업이 본 규정을 준수하는지 여부에 대한 이의제기로서, 정보주체의 기본적 권리 및 자유, 그리고 해당하는 경우 유럽연합 내의 개인정보의 자유로운 이동에 관한 가결정(draft decision)이 초래하는 위험의 중대성을 명확히 보여준다.

(24) ‘relevant and reasoned objection’ means an objection to a draft decision as to whether there is an infringement of this Regulation, or whether envisaged action in relation to the controller or processor complies with this Regulation, which clearly demonstrates the significance of the risks posed by the draft decision as regards the fundamental rights and freedoms of data subjects and, where applicable, the free flow of personal data within the Union;

(25) 정보사회 서비스(information society service)는 유럽 의회 및 각료이사회 지침(EU) 2015/1535의 제1조 제(1)항 (b)호에서 정의하는 서비스를 의미한다 [19].

(25) ‘information society service’ means a service as defined in point (b) of Article 1(1) of Directive (EU) 2015/1535 of the European Parliament and of the Council [19];

관련 교과서

[19] Directive (EU) 2015/1535 of the European Parliament and of the Council of 9 September 2015 laying down a procedure for the provision of information in the field of technical regulations and of rules on Information Society services (OJ L 241, 17.9.2015, p. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2015:241:TOC

[19] Directive (EU) 2015/1535 of the European Parliament and of the Council of 9 September 2015 laying down a procedure for the provision of information in the field of technical regulations and of rules on Information Society services (OJ L 241, 17.9.2015, p. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2015:241:TOC

(26) 국제기구란 국제 공법이 준용되는 조직 및 산하기관, 또는 둘 이상의 국가 간의 협정에 의하거나 이를 기반으로 설립된 모든 기타 기관을 가리킨다.

(26) ‘international organisation’ means an organisation and its subordinate bodies governed by public international law, or any other body which is set up by, or on the basis of, an agreement between two or more countries.

전문 (Recitals) 코멘트를 남겨주세요
전문 (Recitals)

(26) 개인정보 보호 원칙은 식별된 또는 식별될 수 있는 개인에 관한 일체의 정보에 적용된다. 가명처리를 거친 개인정보는 추가 정보의 사용으로 개인에 연계될 수 있는 정보로서, 식별 가능한 개인에 관한 정보로 간주되어야 한다. 개인이 식별 가능한지를 판단함에 있어 선별(singling out) 등 그 개인을 직간접적으로 식별하기 위해 컨트롤러 또는 제3자가 합리적으로 사용할 것으로 예상되는 모든 수단이 고려되어야 한다. 그 수단이 개인을 식별하는 데 사용될 것이라 합리적으로 예상되는지 여부를 확인하기 위해서 식별에 소요되는 비용 및 시간 등의 모든 객관적 요인을 고려하고, 처리 시점에 가용한 기술 및 기술 발전사항을 고려하여야 한다. 따라서 개인정보 보호 원칙은 익명정보, 즉 식별되었거나 식별 가능한 개인에 관련되지 않은 정보 또는 정보주체가 식별 가능하지 않거나 더 이상 식별 가능하지 않은 방식으로 익명 처리된 개인정보에는 적용되지 않는다. 따라서 본 규정은 통계 목적 또는 연구 목적 등을 위한 익명정보의 처리에는 적용되지 않는다.

(26) The principles of data protection should apply to any information concerning an identified or identifiable natural person. Personal data which have undergone pseudonymisation, which could be attributed to a natural person by the use of additional information should be considered to be information on an identifiable natural person. To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments. The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable. This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes.

(27) 본 규정은 망자의 개인정보에 적용되지 않는다. 회원국은 망자의 개인정보 처리에 대한 규칙을 규정할 수 있다.

(27) This Regulation does not apply to the personal data of deceased persons. Member States may provide for rules regarding the processing of personal data of deceased persons.

(28) 개인정보에 가명처리를 적용하는 것은 관련 정보주체에게 미치는 위험성을 줄이고 컨트롤러와 프로세서가 개인정보 보호의 의무를 충족시킬 수 있도록 지원한다. 본 규정에서 명시적으로 ‘가명처리’를 도입하는 것이 기타의 개인정보 보호의 조치를 배제시키려는 의도는 아니다(가명처리를 하더라도 기타의 개인정보 보호 조치를 적용할 필요도 있음).

(28) The application of pseudonymisation to personal data can reduce the risks to the data subjects concerned and help controllers and processors to meet their data-protection obligations. The explicit introduction of ‘pseudonymisation’ in this Regulation is not intended to preclude any other measures of data protection.

(29) 개인정보 처리 시 가명처리 적용에 대한 인센티브를 부여하기 위해서는 가명처리 조치가 일반적 분석은 허용하되 동종의 컨트롤러 사업체 내에서 가능할 수 있어야 한다. 이 때 동종의 컨트롤러 사업체 내의 컨트롤러는 관련 처리에 대하여 본 규정이 이행되고 개인정보를 특정 정보주체에 연결시키는 추가 정보를 별도 보관하도록 하는 기술적·관리적 조치를 취했어야 한다. 개인정보를 처리하는 컨트롤러는 동종의 컨트롤러 사업체 내의 인가받은 사람을 가리킨다.

(29) In order to create incentives to apply pseudonymisation when processing personal data, measures of pseudonymisation should, whilst allowing general analysis, be possible within the same controller when that controller has taken technical and organisational measures necessary to ensure, for the processing concerned, that this Regulation is implemented, and that additional information for attributing the personal data to a specific data subject is kept separately. The controller processing the personal data should indicate the authorised persons within the same controller.

(30) 개인은 본인이 사용하는 기기, 애플리케이션, 툴, 프로토콜을 통해 제공되는 인터넷 프로토콜 주소, 쿠키 식별자 또는 전파식별태그 등의 기타 식별자인 온라인 식별자와 연결될 수 있다. 이러한 정보는 개인에 대한 자취를 남길 수 있고, 특히 서버를 통해 수신되는 ‘고유 식별자(unique identifies)’ 및 다른 정보와 결합되는 경우, 해당 개인에 대한 프로파일을 생성하고 이들을 식별하는 데 사용될 수 있다.

(30) Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.

(31) 관세청 및 국세청, 금융조사 기관, 독립 행정기관, 또는 증권시장 규제 및 감독책임의 금융시장 기구 등, 공적 임무 수행을 위한 법적 의무에 따라 개인정보를 제공받는 공공기관은 유럽연합 또는 회원국 법률에 따라 공공이익을 위한 특정 문의업무를 처리하는 데 필요한 개인정보를 받은 경우, 수령인으로 간주되지 않는다. 공공기관의 정보 제공 요청은 항상 서면 형식을 갖추어야 하고 타당하고 간헐적이어야 한다. 그 요청은 파일링시스템 전체에 대한 것이 아니어야 하고 파일링시스템 간에 상호연결이 이루어지도록 해서도 안 된다. 상기 공공기관의 개인정보 처리는 처리 목적에 따라 적용 가능한 데이터 보호 규칙을 준수하여 이루어져야 한다.

(31) Public authorities to which personal data are disclosed in accordance with a legal obligation for the exercise of their official mission, such as tax and customs authorities, financial investigation units, independent administrative authorities, or financial market authorities responsible for the regulation and supervision of securities markets should not be regarded as recipients if they receive personal data which are necessary to carry out a particular inquiry in the general interest, in accordance with Union or Member State law. The requests for disclosure sent by the public authorities should always be in writing, reasoned and occasional and should not concern the entirety of a filing system or lead to the interconnection of filing systems. The processing of personal data by those public authorities should comply with the applicable data-protection rules according to the purposes of the processing.

(32) 동의는 전자적 방식 등 서면 진술 또는 구두 진술 등으로, 정보주체가 본인과 관련한 개인정보의 처리에 대해 자발적이고 구체적이며 동의 내용에 대해 인지하는 분명한 합의를 나타내는 명확하고 적극적인 행위로써 제공되어야 한다. 인터넷 웹사이트의 개인정보 처리동의란 체크, 정보사회서비스에 대한 기술적 설정 선택 또는 본인의 개인정보 처리 수락을 의미하는 정보주체의 행동이나 기타 진술이 이에 포함된다. 따라서 침묵, 사전 자동 체크된 개인정보처리 동의나 부작위는 동의에 해당되지 않는다. 동의는 단일 또는 복수의 동일한 목적을 위한 모든 처리 활동에 유효하다. 복수의 목적으로 개인정보를 처리하는 경우, 각 목적에 대한 동의를 받아야 한다. 만약 정보주체의 동의를 전자방식의 요청에 따라 제공하는 경우, 그 요청은 명확하고 간결하게 제공되어야 하며, 관련 서비스 이용을 불필요하게 방해해서는 안 된다.

(32) Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject's agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement. This could include ticking a box when visiting an internet website, choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of his or her personal data. Silence, pre-ticked boxes or inactivity should not therefore constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes, consent should be given for all of them. If the data subject's consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.

(33) 과학적 연구 목적의 경우, 개인정보 수집 당시에 개인정보 처리 목적을 충분히 확인하기가 불가능할 때가 많다. 따라서 정보주체는 과학적 연구의 공인 윤리 기준에 부합된 경우, 특정 연구 분야에 한해 동의를 제공할 수 있다. 정보주체는 의도한 처리 목적이 허용하는 선에서 특정 연구 분야 혹은 연구 일부분에 한해 본인의 동의를 제공할 수 있어야 한다.

(33) It is often not possible to fully identify the purpose of personal data processing for scientific research purposes at the time of data collection. Therefore, data subjects should be allowed to give their consent to certain areas of scientific research when in keeping with recognised ethical standards for scientific research. Data subjects should have the opportunity to give their consent only to certain areas of research or parts of research projects to the extent allowed by the intended purpose.

(34) 유전자 정보는 특히 염색체 분석, 데옥시리보핵산(DNA) 분석 또는 리보핵산(RNA)분석 등 개인에게서 채취한 생물학적 샘플의 분석 결과나 이에 상응하는 정보를 입수할 수 있는 기타 요소의 분석으로부터 얻은 개인의 선천적 또는 후천적 유전자 특성에 관한 개인정보로 정의되어야 한다.

(34) Genetic data should be defined as personal data relating to the inherited or acquired genetic characteristics of a natural person which result from the analysis of a biological sample from the natural person in question, in particular chromosomal, deoxyribonucleic acid (DNA) or ribonucleic acid (RNA) analysis, or from the analysis of another element enabling equivalent information to be obtained.

(35) 건강 관련 개인정보에는 정보주체의 과거, 현재, 혹은 미래의 신체적 또는 정신적 건강 상태와 관련한 정보를 드러내는 모든 정보주체의 건강상태에 속하는 데이터가 포함된다. 이 정보에는 유럽 의회와 각료이사회의 지침 2011/24/EU에 규정된 바와 같이 의료서비스를 등록하고 정보주체에 제공하는 과정에서 수집된 개인에 대한 정보도 포함된다 [9]. 건강 목적으로 특정 개인을 식별하기 위해 개인에게 부여되는 숫자, 상징, 혹은 특별사항도 포함되며, 유전자 정보와 생물학적 샘플 등, 신체의 일부분 또는 신체 물질에 대한 테스트나 검사에서 얻은 정보도 포함된다. 또한 질병, 장애, 질병 위험성, 의료 내역, 임상치료에 대한 정보 또는, 이와 무관하게, 내과의사 혹은 다른 의료계 종사자, 병원, 의료기기나 시험관 진단검사에서 얻은 정보주체에 대한 생리학적 상태 혹은 생체의학적 상태에 대한 정보도 포함된다.

(35) Personal data concerning health should include all data pertaining to the health status of a data subject which reveal information relating to the past, current or future physical or mental health status of the data subject. This includes information about the natural person collected in the course of the registration for, or the provision of, health care services as referred to in Directive 2011/24/EU of the European Parliament and of the Council [9] to that natural person; a number, symbol or particular assigned to a natural person to uniquely identify the natural person for health purposes; information derived from the testing or examination of a body part or bodily substance, including from genetic data and biological samples; and any information on, for example, a disease, disability, disease risk, medical history, clinical treatment or the physiological or biomedical state of the data subject independent of its source, for example from a physician or other health professional, a hospital, a medical device or an in vitro diagnostic test.

[9] Directive 2011/24/EU of the European Parliament and of the Council of 9 March 2011 on the application of patients' rights in cross-border healthcare (OJ L 88, 4.4.2011, p. 45). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:088:TOC

[9] Directive 2011/24/EU of the European Parliament and of the Council of 9 March 2011 on the application of patients' rights in cross-border healthcare (OJ L 88, 4.4.2011, p. 45). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:088:TOC

(36) 컨트롤러의 유럽연합 역내 주 사업장은 컨트롤러의 유럽연합 내 중앙행정 지점이어야 하지만, 개인정보 처리 목적 빛 방식에 대한 결정을 유럽연합 내 다른 사업장에서 내리는 경우, 그 사업장이 주 사업장으로 간주되어야 한다. 컨트롤러의 유럽연합 내 주 사업장은 객관적인 기준에 따라 결정되어야 하며, 안정적인 방식을 통해 처리 목적 및 방식에 대한 주요 결정을 내리는 관리활동을 효과적이고 실제적으로 행하는 것을 의미한다. 그 기준은 개인정보의 처리가 해당 지역에서 이루어지는지 여부에 따라 달라지지 않는다. 개인정보 처리 또는 처리활동을 위한 기술적 수단 및 기술이 존재하고 이를 사용한다는 그 자체가 주 사업장이 되지 않으므로 이는 주 사업장을 결정하는 기준이 아니다. 프로세서의 주 사업장은 프로세서의 유럽연합 내 중앙행정 지점이거나, 유럽연합 역내에서 중앙 행정처리가 이루어지지 않는 경우에는 유럽연합 내 주요 처리 활동이 발생하는 장소가 주 사업장이다. 컨트롤러와 프로세서 모두와 관련되어 있는 경우, 선임 감독기관은 처리자의 주 사업장이 있는 회원국의 감독기관이어야 하고 프로세서의 감독기관은 관련 감독기관으로 간주되어야 하며, 이 감독기관은 본 규정이 정한 협력 절차에 참여해야 한다. 어느 경우든, 프로세서의 단일 또는 복수의 사업장이 소재한 회원국 또는 복수의 회원국의 감독기관들은, 결정문 초안이 처리자에 한하여 관련되어 있는 경우, 관련 감독기관으로 간주되지 않는다. 사업체 집단이 처리를 수행하는 경우, 통제 사업체의 주 사업장은 사업체 집단의 주 사업장로 간주되어야하며, 처리 목적과 수단을 다른 사업체가 결정하는 경우는 예외로 한다.

(36) The main establishment of a controller in the Union should be the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union, in which case that other establishment should be considered to be the main establishment. The main establishment of a controller in the Union should be determined according to objective criteria and should imply the effective and real exercise of management activities determining the main decisions as to the purposes and means of processing through stable arrangements. That criterion should not depend on whether the processing of personal data is carried out at that location. The presence and use of technical means and technologies for processing personal data or processing activities do not, in themselves, constitute a main establishment and are therefore not determining criteria for a main establishment. The main establishment of the processor should be the place of its central administration in the Union or, if it has no central administration in the Union, the place where the main processing activities take place in the Union. In cases involving both the controller and the processor, the competent lead supervisory authority should remain the supervisory authority of the Member State where the controller has its main establishment, but the supervisory authority of the processor should be considered to be a supervisory authority concerned and that supervisory authority should participate in the cooperation procedure provided for by this Regulation. In any case, the supervisory authorities of the Member State or Member States where the processor has one or more establishments should not be considered to be supervisory authorities concerned where the draft decision concerns only the controller. Where the processing is carried out by a group of undertakings, the main establishment of the controlling undertaking should be considered to be the main establishment of the group of undertakings, except where the purposes and means of processing are determined by another undertaking.

(37) 사업체 집단(a group of undertakings)은 관리하는 사업체와 관리되는 사업체를 포함하며, 관리하는 사업체는 소유권, 재정적 참여 또는 이를 관할하는 규정이나 개인정보보호 규정의 이행권한 등을 통해 다른 사업체에 우세적인 영향력을 행사할 수 있어야 한다. 부속 사업체 내의 개인정보 처리를 통제하는 사업체는 다른 사업체와 함께 사업체그룹으로 간주되어야 한다.

(37) A group of undertakings should cover a controlling undertaking and its controlled undertakings, whereby the controlling undertaking should be the undertaking which can exert a dominant influence over the other undertakings by virtue, for example, of ownership, financial participation or the rules which govern it or the power to have personal data protection rules implemented. An undertaking which controls the processing of personal data in undertakings affiliated to it should be regarded, together with those undertakings, as a group of undertakings.

코멘트를 남겨주세요
[js-disqus]