제4조 📖 GDPR. 정의

제4조 GDPR. 정의

본 규정의 취지에 따르면

(1) 개인정보는 식별된 또는 식별 가능한 자연인(‘정보주체’)과 관련한 일체의 정보를 가리킨다. 식별가능한 자연인은 직접 또는 간접적으로, 특히 이름, 식별번호, 위치정보, 온라인 식별자를 참조하거나 해당인의 신체적, 심리적, 유전적, 정신적, 경제적, 문화적 또는 사회적 정체성에 특이한 하나 이상의 요인을 참조함으로써 식별될 수 있는 자를 가리킨다.

전문가 해설 지침 및 사례 법률 전문 (Recitals)

전문가 해설

(RU)

Когда номер телефона – персональные данные?

(1) В настоящем комментарии рассматривается Позиция WP29 4/2007 о концепции
персональных данных от 20 июня 2007 года (далее—Позиция WP29).

В европейской доктрине и законодательстве определение персональных данных умышленно дано широко, не имеет и, скорее всего, никогда не будет иметь четких и однозначных критериев. Для чего эксперты в области приватности в составе WP29, а затем и законодатели это сделали?

Раздел III Позиции WP29 выделяет в конструкции персональных данных 4 «несущих» блока: «любая информация», «относящаяся к», «идентифицированному или идентифицируемому», «физическому лицу». Для целей нашего анализа потребуются два центральных элемента: «относящаяся к» и «идентифицированному или идентифицируемому», поскольку они в наибольшей степени характеризуют сторону контролера персональных данных как участника правоотношений.

(2) Данные, «относящиеся к» субъекту, включают в себя не только информацию о самом субъекте, но и о принадлежащих ему или иным образом связанных с ним объектах, питомцах. Таким образом, данными, «относящимися к» субъекту, являются не только номер телефона, автомобиля, компьютера, банковской карты, фитнес трекера, чипа питомца, но и иные характеристики этих объектов и животных: цена, износ, серийные номера, поломки, диагнозы, результаты анализов и т.д.

Позиция WP29 также выделяет три элемента, каждый из которых, независимо от наличия других, может сделать любую информацию «относящейся к» субъекту — это содержание, цель и результат.

Информация может относиться к субъекту по своему содержанию, если она о конкретном физическом лице, например, результаты тестов на экзамене, номер телефона конкретного лица, профиль определенного пользователя в соцсетях.

Информация может относиться к субъекту также по цели, если она используется или, вероятнее всего, будет использована в целях оценки, влияния на статус или поведение субъекта, проявления определенного рода отношения к субъекту. Например, список посещенных сотрудниками компании интернет страниц в корпоративной сети, может быть использован для целей мониторинга эффективности использования рабочего времени каждым сотрудником, или для блокировки определенных страниц определенным сотрудникам.

Информация может относиться к субъекту персональных данных, даже в отсутствие признаков «содержания» и «цели», если есть признак результата: если обработка данных, вероятнее всего, повлияет на права и интересы субъекта, например, даже если слегка изменит отношение окружающих к нему, заставит выделять его среди остальных в сообществе. Например, информация о том, что дедушка школьника получил премию Дарвина, может вызвать насмешки и издевательства со стороны сверстников.

Эти три элемента относимости данных к субъекту применяются каждый в отдельности, но, если присутствует хотя бы один элемент, нет надобности выявлять остальные два — данные точно относятся к субъекту.

(3) Третий блок конструкции персональных данных: «идентифицированному или идентифицируемому» — имеет квалифицирующее значение для номера телефона и прочих номеров, характеристик объектов и живых существ, относящихся к субъектам.

Позиция WP29 определяет лицо как идентифицируемое, если оно еще не идентифицировано, но его возможно идентифицировать прямо, например, по имени (если оно позволяет выделить субъекта из группы) или косвенно — по номеру паспорта, автомобиля, телефона или комбинации существенных критериев, позволяющих выделить субъекта из группы (это может быть возраст, место проживания, внешний вид и т.д.).

Однако одна лишь гипотетическая вероятность идентификации субъекта не делает информацию персональными данными. Если возможность идентифицировать субъекта отсутствует или ничтожно мала, данные не считаются персональными. В этом месте некоторые контролеры с радостью воскликнут, что у них и в мыслях не было идентифицировать кого либо, что они всего лишь собирают номера телефонов, автомобилей и некоторых карт, принадлежащих субъектам. Но мы понимаем, что идентификация по этим номерам возможна при сопоставлении с другой базой данных, например, в рамках межведомственного обмена данными, получения данных от сотовых контролеров, с дорожных камер видеонаблюдения, либо в рамках интеграции систем.

Как же определить степень и вероятность того, что контролер или любое третье лицо, завладевшее информацией, решит воспользоваться возможностью идентифицировать субъектов?

Для этого необходимо определить какие разумные усилия контролер или любое третье лицо должны будут приложить для идентификации конкретных субъектов: затраты денежных средств на такие усилия; временные и человеческие ресурсы; наличие технологии, позволяющей выполнить идентификацию без особых усилий и затрат; подразумеваемая (а не декларируемая цель) и построение обработки; какие выгоды может извлечь контролер или любое другое третье лицо; продолжительность хранения данных и потенциальное развитие технологий для идентификации в этот период.

В каждом конкретном случае необходимо определять наличие возможности и прилагаемые ресурсы контролера для идентификации субъектов по номеру телефона. Если возможность есть, или цель и контекст обработки предполагает идентификацию субъекта, то номер телефона является персональными данными.

Номер телефона — является персональными данными, так как он в зависимости от ситуации либо служит идентификатором личности, либо представляет собой информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу. Все прочие номера и характеристики принадлежащих субъекту объектов и живых существ, в том или ином контексте обработки, также могут квалифицироваться в качестве персональных данных.

(4) Даже при отсутствии ФИО субъекта персональных данных у контролера и любого третьего лица, и даже при отсутствии у них возможности идентифицировать субъекта, они все же имеют возможность очень серьезно повлиять на поведение субъекта, нарушить его права и интересы.

Ведь номер телефона, существенно отличается от остальных номеров вещей принадлежностей еще и тем, что по нему можно непосредственно связаться с субъектом и вмешаться в его частную жизнь, причинить ему беспокойство. Возможны: мошенничество, пранк, звонки ночью или ранним утром в выходные, нежелательные смс, звонки, спам. Все это может не только причинить вред здоровью субъекта, нанести ущерб его материальному благосостоянию, но и заставить субъекта сменить номер телефона, и даже поменять контролера, по вине которого произошло нарушение его прав.

Контактные данные в целом (номер телефона, email, адрес и т.д.) позволяют злоумышленникам вступить в непосредственный контакт с субъектом против его воли, чтобы, предположим, угрожать его жизни и безопасности, манипулировать им, назойливо завладеть его вниманием, мешать работе и личной жизни (вторжение согласно Таксономии приватности). Дополнением к мерам защиты таких данных должна быть разумная осмотрительность самого субъекта при раскрытии своих контактных данных третьим лицам, поскольку их компрометация может заставить субъекта сменить номер или переехать, а также нарушить интересы третьих лиц, например семьи субъекта.

Как показано выше, даже без полной идентификации субъекта по контактным данным возможно нарушение его прав. Конфиденциальность этих данных обеспечивает безопасность жизни и здоровья субъекта, его близких, позволяет держать под контролем свои внешние коммуникации, снижает его доступность для внешнего мира, выстраивает личные границы субъекта, оберегает его личное пространство, что дает субъекту комфорт и уверенность.

…

로그인
전체 텍스트에 액세스하려면

(EN) Author

(EN) Elena Sebjakina CIPP/E, Privacy by design

(EN) Data Protection Officer, GDPR Consultant

(EN) Ask a question

(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP

(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

(EN) Ask a question

지침 및 사례 법률

(EN)

Documents

Article 29 Working Party, Opinion Nº 4/2007 on the concept of personal data (2007).

Article 29 Working Party, Opinion 1/2008 on data protection issues related to search engines (2008).

Data outlining the use of the service can be divided into different categories:

the query logs (content of the search queries, the date and time, source (IP address and cookie), the preferences of the user, and data relating to the user’s computer);

data on the content offered (links and advertisements as a result of each query);

and data on the subsequent user navigation (clicks).

Search engines may also process operational data relating to user data, data on registered users and data from other services and sources such as e-mail, desktop search, and advertising on third party websites.

An individual’s search history is personal data if the individual to which it relates, is identifiable

Though IP addresses in most cases are not directly identifiable by search engines, identification can be achieved by a third party. Internet access providers hold IP address data. Law enforcement and national security authorities can gain access to these data and in some Member States private parties have gained access also through civil litigation. Thus, in most cases – including cases with dynamic IP address allocation – the necessary data will be available to identify the user(s) of the IP address.

When a cookie contains a unique user ID, this ID is clearly personal data.

ANNEX 1 contains example of data processed by search engines.

Article 29 Working Party, Opinion 05/2014 on Anonymisation Techniques (2014).

Data Protection Commission (Ireland), Guidance Note: Anonymisation and Pseudonymisation (2019).

EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020):

9. There are two principal sources of location data available for modelling the spread of the virus and the overall effectiveness of confinement measures:
– location data collected by electronic communication service providers(such as mobile telecommunication operators) in the course of the provision of their service; and
– location data collected by information society service providers’ applications whose functionality requires the use of such data (e.g., navigation, transportation services,etc.).

EDPB, Guidelines 8/2020 on the targeting of social media users (2020):

18. The term “user” is typically used to refer to individuals who are registered with the service, i.e. those who have an “account” or “profile”. Many social media services can, however, also be accessed by individuals without having registered (i.e. without creating an account or profile). Such individuals are typically not able to make use of all of the same features or services offered to individuals who have registered with the social media provider. Both users and non-registered individuals may be considered “data subjects” within the meaning of Article 4(1) GDPR insofar as the individual is directly or indirectly identified or identifiable.

Case Law

CJEU, Scarlet Extended SA/Société belge des auteurs, compositeurs et éditeurs, C-70/10 (2011).

CJEU, Worten – Equipamentos para o Lar SA/Autoridade para as condições de trabalho, C-342-12 (2013).

CJEU, YS/Minister voor Immigratie, Integratie en Asiel, C-141/12 and C-372/12 (2014).

CJEU, Digital Rights Ireland Ltd/Minister for Communications, Marine and Natural Resources, C-293/12 and C-594/12 (2014).

CJEU, Breyer/Germany, C-582/14 (2016).

CJEU, Nowak/Data Protection Commissioner, C-434/16 (2017).

CJEU, Camera di Commercio, Industria, Artigianato e Agricoltura di Lecce/Manni, C-398/15 (2019).

전문 (Recitals)

(26) 개인정보 보호 원칙은 식별된 또는 식별될 수 있는 개인에 관한 일체의 정보에 적용된다. 가명처리를 거친 개인정보는 추가 정보의 사용으로 개인에 연계될 수 있는 정보로서, 식별 가능한 개인에 관한 정보로 간주되어야 한다. 개인이 식별 가능한지를 판단함에 있어 선별(singling out) 등 그 개인을 직간접적으로 식별하기 위해 컨트롤러 또는 제3자가 합리적으로 사용할 것으로 예상되는 모든 수단이 고려되어야 한다. 그 수단이 개인을 식별하는 데 사용될 것이라 합리적으로 예상되는지 여부를 확인하기 위해서 식별에 소요되는 비용 및 시간 등의 모든 객관적 요인을 고려하고, 처리 시점에 가용한 기술 및 기술 발전사항을 고려하여야 한다. 따라서 개인정보 보호 원칙은 익명정보, 즉 식별되었거나 식별 가능한 개인에 관련되지 않은 정보 또는 정보주체가 식별 가능하지 않거나 더 이상 식별 가능하지 않은 방식으로 익명 처리된 개인정보에는 적용되지 않는다. 따라서 본 규정은 통계 목적 또는 연구 목적 등을 위한 익명정보의 처리에는 적용되지 않는다.

(2) 처리는 자동화 수단에 의한 것인지 여부에 관계없이 단일의 또는 일련의 개인정보에 행해지는 단일 작업이나 일련의 작업으로서, 수집, 기록, 편집(organisation), 구성, 저장, 가공 또는 변경(adaptation or alteration), 검색(retrieval), 참조(consultation), 사용, 이전을 통한 제공, 배포나 기타 방식으로의 제공(dissemination or otherwise making available), 연동이나 연계(alignment or combination), 제한, 삭제 또는 파기 등이 이에 해당한다.

전문가 해설 지침 및 사례 법률

전문가 해설

(EN) Though GDPR Art.4(2) does not mention “purpose”, a “processing” should actually be understood as an operation or set of operations united by one purpose. The purpose determines the role of data controller, legal ground for processing, defines the exception allowing for the processing of special categories of data, it limits processing to one purpose (purpose limitation principle), serves as a criteria for data minimisation, and determines a risk level and scope of data subject rights.

Some operations may serve multiple purposes, for instance, storage of email addresses allows a company to provide login to its website (purpose 1) and to send marketing communications (purpose 2). In that case this operation (storage) is a part of two processing activities at the same time. Stopping one of them (for example as a result of a withdrawal of consent for marketing emails) does not prevent company from continuing the another one (allowing the user to login).

…

로그인
전체 텍스트에 액세스하려면

(EN) Author

(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP

(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

(EN) Ask a question

지침 및 사례 법률

(EN)

Documents

Article 29 Working Party, Opinion 2/2010 on behavioural advertising (2010):

The behavioural advertising methods often entail the processing of personal data. This is due to various reasons:

i) behavioural advertising normally involves the collection of IP addresses and the processing of unique identifiers (through the cookie). The use of such devices with a unique identifier allows the tracking of users of a specific computer even when dynamic IP addresses are used. In other words, such devices enable data subjects to be ‘singled out’, even if their real names are not known.

ii) Furthermore, the information collected in the context of behavioural advertising relates to, (i.e. is about) a person’s characteristics or behaviour and it is used to influence that particular person. This view is further confirmed if one takes into account the possibility for profiles to be linked at any moment with directly identifiable information provided by the data subject, such as registration related information.

DPC (Ireland), Guidance for Organisations Accidentally in Receipt of Personal Data (2020):

An organisation, whether in the public, private or voluntary sector, must be aware of the possibility of finding itself accidentally in possession of personal data. The broad definition of ‘processing’ in Article 4(2) of the GDPR means that opening, transmitting, deleting or simply storing personal data that you have unintentionally acquired will bring the GDPR into play.

DPC (Ireland), Guidance for Individuals who Accidentally Receive Personal data (2020).

Case Law

CJEC, Tietosuojavaltuutettu/Satakunnan Markkinapörssi Oy and Satamedia Oy, C-73/07 (2008).

CJEC, Lindqvist, C-101/01 (2003).

CJEU, Schwarz/Stadt Bochum, C-291/12 (2013).

CJEU, La Quadrature du Net et al./Premier ministre et al., C-511/18, C-512/18, C-520/18 (2020).

CJEU, Privacy International/Secretary of State for Foreign and Commonwealth Affairs, C-623/17 (2020).

(3) 처리의 제한은 장래의 처리를 제한할 목적으로, 저장된 개인정보에 표시하는 행위를 의미한다.

(4) 프로파일링은 특히 자연인의 업무 성과, 경제적 상황, 건강, 개인적 선호, 관심사, 신뢰도, 행태, 위치 또는 이동에 관한 측면을 분석하거나 예측하기 위해 행해지는 경우로서, 자연인에 관련한 개인적인 특정 측면을 평가하기 위해 개인정보를 사용하여 이루어지는 모든 형태의 자동화된 개인정보의 처리를 가리킨다.

지침 및 사례 법률

(EN) Article 29 Working Party, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (2018):

Profiling is composed of three elements:

it has to be an automated form of processing;

it has to be carried out on personal data; and

the objective of the profiling must be to evaluate personal aspects about a natural person.

Article 4(4) refers to ‘any form of automated processing’ rather than ‘solely’ automated processing (referred to in Article 22). Profiling has to involve some form of automated processing – although human involvement does not necessarily take the activity out of the definition.

Profiling is a procedure which may involve a series of statistical deductions. It is often used to make predictions about people, using data from various sources to infer something about an individual, based on the qualities of others who appear statistically similar.

The GDPR says that profiling is automated processing of personal data for evaluating personal aspects, in particular to analyse or make predictions about individuals. The use of the word ‘evaluating’ suggests that profiling involves some form of assessment or judgement about a person.

A simple classification of individuals based on known characteristics such as their age, sex, and height does not necessarily lead to profiling. This will depend on the purpose of the classification. For instance, a business may wish to classify its customers according to their age or gender for statistical purposes and to acquire an aggregated overview of its clients without making any predictions or drawing any conclusion about an individual. In this case, the purpose is not assessing individual characteristics and is therefore not profiling.

The GDPR is inspired by but is not identical to the definition of profiling in the Council of Europe Recommendation CM/Rec (2010)132 (the Recommendation), as the Recommendation excludes processing that does not include inference. Nevertheless the Recommendation usefully explains that profiling may involve three distinct stages:

data collection;

automated analysis to identify correlations;

applying the correlation to an individual to identify characteristics of present or future behaviour.

Controllers carrying out profiling will need to ensure they meet the GDPR requirements in respect of all of the above stages.

Broadly speaking, profiling means gathering information about an individual (or group of individuals) and evaluating their characteristics or behaviour patterns in order to place them into a certain category or group, in particular to analyse and/or make predictions about, for example, their:

ability to perform a task;

interests; or

likely behaviour.

(5) 가명처리는 추가적인 정보의 사용 없이는 더 이상 특정 정보주체에게 연계될 수 없는 방식으로 개인정보를 처리하는 것이다. 단, 그 같은 추가 정보는 별도로 보관하고, 기술적 및 관리적 조치를 적용하여 해당 개인정보가 식별된 또는 식별될 수 있는 자연인에 연계되지 않도록 해야 한다.

전문가 해설 지침 및 사례 법률 전문 (Recitals)

전문가 해설

(RU) Псевдонимизация в значении GDPR фактически является обезличиванием в значении, принятом в Российской Федерации. В соответствии со ст.3 Федерального закона от 27.07.2006 N 152-ФЗ “О персональных данных” (ред. от 31.12.2017) “обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных” (Выделение мое – СВ).

(EN) Author

(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP

(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

(EN) Ask a question

지침 및 사례 법률

(EN) EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).

전문 (Recitals)

(28) 개인정보에 가명처리를 적용하는 것은 관련 정보주체에게 미치는 위험성을 줄이고 컨트롤러와 프로세서가 개인정보 보호의 의무를 충족시킬 수 있도록 지원한다. 본 규정에서 명시적으로 ‘가명처리’를 도입하는 것이 기타의 개인정보 보호의 조치를 배제시키려는 의도는 아니다(가명처리를 하더라도 기타의 개인정보 보호 조치를 적용할 필요도 있음).

(29) 개인정보 처리 시 가명처리 적용에 대한 인센티브를 부여하기 위해서는 가명처리 조치가 일반적 분석은 허용하되 동종의 컨트롤러 사업체 내에서 가능할 수 있어야 한다. 이 때 동종의 컨트롤러 사업체 내의 컨트롤러는 관련 처리에 대하여 본 규정이 이행되고 개인정보를 특정 정보주체에 연결시키는 추가 정보를 별도 보관하도록 하는 기술적·관리적 조치를 취했어야 한다. 개인정보를 처리하는 컨트롤러는 동종의 컨트롤러 사업체 내의 인가받은 사람을 가리킨다.

(6) 파일링시스템은 기능적 또는 지리학적으로 중앙에 집중되거나 분산되었는지 여부에 관계없이 특정 기준에 따라 열람 가능한 일련의 구조화된 개인정보를 가리킨다.

전문가 해설 지침 및 사례 법률 관련 교과서

전문가 해설

(RU) Варианты перевода на русский термина Filing System

Наиболее приемлемым переводом filing system на русский язык является система данных либо файловая система (см. таблицу внизу).

	Filing System (en.), zbiór danych (pl.)
	Система данных	Файловая система	Картотека (Украина)	Картотека или систематизированное собрание персональных данных (Россия)	Если обеспечивается поиск по определенным критериям (картотеки, списки, базы данных, журналы и другое) (Беларусь)
Понятность	+		+
Отсутствие коллизии	+	+		+	+
Близость к оригиналу	+-	+

지침 및 사례 법률

(EN)

Case Law

CJEU, Tietosuojavaltuutettu/Jehovan todistajat – uskonnollinen yhdyskunta, C-25/17 (2018).

관련 교과서

제2조 GDPR. 물적 범위

1. 본 규정은 전적 또는 부분적으로 자동화 방식에 의해 이루어지는 개인정보의 처리와 자동화 수단 이외의 방식에 의한 것으로서 파일시스템을 구성하거나 구성하기 위한 개인정보의 처리에 적용된다.

(7) 컨트롤러는 단독으로 또는 제3자와 공동으로 개인정보 처리의 목적 및 방법을 결정하는 자연인 또는 법인, 공공기관, 기관, 기타 기구를 가리킨다. 그러한 처리의 목적 및 방법이 유럽연합 또는 회원국 법률로 결정되는 경우 컨트롤러 또는 컨트롤러자 지정을 위한 구체적 기준은 유럽연합 또는 회원국 법률로 규정될 수 있다.

전문가 해설 지침 및 사례 법률

전문가 해설

(EN) Examples from the British supervisory authority (ICO):

A specialist company provides software and data analysis to process the daily pupil attendance records of a state-maintained school for an annual fee. For the software provision the company is not a processor, but for the data analysis it is a processor for the school.
The readers of a monthly science magazine receive a hard copy delivered to their home. Their subscriptions and the mailings are handled by a separate company at the publisher’s request. The company is a processor for the magazine publisher.
A marketing company sends promotional vouchers to a hairdresser’s customers on the hairdresser’s behalf. The marketing company is a processor for the hairdresser.
An organisation uses a cloud service to store and analyse its data. The organisation remains the controller and the cloud service provider is its processor.

지침 및 사례 법률

(EN)

Document

Article 29 Working Party, Opinion 1/2008 on data protection issues related to search engines (2008).

A search engine provider that processes user data including IP addresses and/or persistent cookies containing a unique identifier falls within the material scope of the definition of the controller, since he effectively determines the purposes and means of the processing.

Article 29 Working Party, Opinion 2/2010 on behavioural advertising (2010):

When behavioural advertising entails the processing of personal data, ad network providers also play the role of data controller. Ad network providers have complete control over the purposes and means of the processing.

However, the publishers’ responsibility covers the first stage, i.e. the initial part of the data processing, namely the transfer of the IP address that takes place when individuals visit their websites. This is because the publishers facilitate such transfer and co-determine the purposes for which it is carried out, i.e. to serve visitors with tailored adverting. In sum, for these reasons, publishers will have some responsibility as data controllers for these actions.

Article 29 Working Party, Opinion 1/2010 on the concepts of “controller” and “processor” (2010).

ICO, Guidelines Data controllers and data processors (2014) – Guidelines by the British Supervisory Authority ICO.

CNIL, Guide for processors (2017) – Guidelines by the French Supervisory Authority CNIL.

European Data Protection Supervisor, Concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725 (2019).

EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).

EDPB, Guidelines 7/2020 on the Concepts of Controller and Processor in the GDPR (2021).

EDPB, Guidelines 8/2020 on the targeting of social media users (2020).

Data Protection Commission (Ireland), Data Protection Considerations Relating to Receivership (2020):

The ‘controller’ of personal data is the entity that determines the ‘purposes and means’ of processing personal data – i.e. ‘why’ and ‘how’ the personal data is processed.

Case Law

CJEU, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein GmbH, C-210/16 (2018).

CJEU, Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV, C-40/17 (2019).

(8) 프로세서는 컨트롤러를 대신하여 개인정보를 처리하는 자연인이나 법인, 공공기관, 기관 또는 기타 기구를 가리킨다.

지침 및 사례 법률

(EN) Article 29 Working Party, Opinion 1/2010 on the concepts of “controller” and “processor” (2010).

CNIL, Guide for processors (2017) – Guidelines from the French Supervisory Authority CNIL.

European Data Protection Supervisor, Concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725 (2019).

(9) 수령인은 제3자 포함 여부에 관계없이 개인정보가 제공되는 자연인 또는 법인, 공공기관, 기관, 기타 기구를 가리킨다. 그러나 유럽연합 또는 회원국 법률에 따라 특정 조회업무를 수행하는 체제에서 개인정보를 수령할 수 있는 공공당국은 수령인으로 간주하지 않는다. 그러한 공공당국의 그 같은 개인정보의 처리는 처리 목적에 따라 적용 가능한 개인정보 보호 규칙을 준수하여야 한다.

전문 (Recitals)

(31) 관세청 및 국세청, 금융조사 기관, 독립 행정기관, 또는 증권시장 규제 및 감독책임의 금융시장 기구 등, 공적 임무 수행을 위한 법적 의무에 따라 개인정보를 제공받는 공공기관은 유럽연합 또는 회원국 법률에 따라 공공이익을 위한 특정 문의업무를 처리하는 데 필요한 개인정보를 받은 경우, 수령인으로 간주되지 않는다. 공공기관의 정보 제공 요청은 항상 서면 형식을 갖추어야 하고 타당하고 간헐적이어야 한다. 그 요청은 파일링시스템 전체에 대한 것이 아니어야 하고 파일링시스템 간에 상호연결이 이루어지도록 해서도 안 된다. 상기 공공기관의 개인정보 처리는 처리 목적에 따라 적용 가능한 데이터 보호 규칙을 준수하여 이루어져야 한다.

(10) 제3자는 정보주체, 컨트롤러, 프로세서, 컨트롤러나 프로세서의 직권에 따라 개인정보를 처리할 수 있는 자를 제외한 자연인이나 법인, 공공기관, 기관 또는 기구를 가리킨다.

(11) 정보주체의 동의는 본인과 관련된 개인정보의 처리에 대해 합의한다는 정보주체의 희망을 진술 또는 명백한 적극적인 행위를 통해 자유롭고, 구체적으로, 결과에 대해 인지하여 분명하게 나타낸 의사표시를 가리킨다.

지침 및 사례 법률 전문 (Recitals) 관련 교과서

지침 및 사례 법률

(EN)

Document

EDPB, Guidelines 5/2020 on Consent under Regulation 2016/679 (2020).

Case law

CJEU, Schwarz/Stadt Bochum, C-291/12 (2013).

CJEU, Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV/Planet49 GmbH, C‑673/17 (2019).

전문 (Recitals)

(32) 동의는 전자적 방식 등 서면 진술 또는 구두 진술 등으로, 정보주체가 본인과 관련한 개인정보의 처리에 대해 자발적이고 구체적이며 동의 내용에 대해 인지하는 분명한 합의를 나타내는 명확하고 적극적인 행위로써 제공되어야 한다. 인터넷 웹사이트의 개인정보 처리동의란 체크, 정보사회서비스에 대한 기술적 설정 선택 또는 본인의 개인정보 처리 수락을 의미하는 정보주체의 행동이나 기타 진술이 이에 포함된다. 따라서 침묵, 사전 자동 체크된 개인정보처리 동의나 부작위는 동의에 해당되지 않는다. 동의는 단일 또는 복수의 동일한 목적을 위한 모든 처리 활동에 유효하다. 복수의 목적으로 개인정보를 처리하는 경우, 각 목적에 대한 동의를 받아야 한다. 만약 정보주체의 동의를 전자방식의 요청에 따라 제공하는 경우, 그 요청은 명확하고 간결하게 제공되어야 하며, 관련 서비스 이용을 불필요하게 방해해서는 안 된다.

(33) 과학적 연구 목적의 경우, 개인정보 수집 당시에 개인정보 처리 목적을 충분히 확인하기가 불가능할 때가 많다. 따라서 정보주체는 과학적 연구의 공인 윤리 기준에 부합된 경우, 특정 연구 분야에 한해 동의를 제공할 수 있다. 정보주체는 의도한 처리 목적이 허용하는 선에서 특정 연구 분야 혹은 연구 일부분에 한해 본인의 동의를 제공할 수 있어야 한다.

관련 교과서

(12) 개인정보 침해는 이전 또는 저장되거나 기타 방식으로 처리된 개인정보가 우발적 또는 불법적으로 파기, 유실, 변경, 무단제공, 무단열람을 초래하게 되는 보안 위반을 가리킨다.

지침 및 사례 법률

(EN) Article 29 Working Party, Guidelines on Personal Data Breach Notification Under Regulation 2016/679 (2018):

In its Opinion 03/2014 on breach notification, WP29 explained that breaches can be categorised according to the following three well-known information security principles:
– “Confidentiality breach” – where there is an unauthorised or accidental disclosure of, or access to, personal data.
– “Integrity breach” – where there is an unauthorised or accidental alteration of personal data.
– “Availability breach” – where there is an accidental or unauthorised loss of access to, or destruction of, personal data.

(13) 유전정보는 자연인의 생리나 건강에 관해 고유한 정보를 제공하는 해당인의 선천적 또는 후천적인 유전자 특성과 관련한 개인정보로서, 특히 해당 자연인의 생물학적 샘플 분석을 통해 획득하게 된다.

지침 및 사례 법률 전문 (Recitals)

지침 및 사례 법률

(EN) Article 29 Working Party, Working Document on Genetic Data (2004).

전문 (Recitals)

(34) 유전자 정보는 특히 염색체 분석, 데옥시리보핵산(DNA) 분석 또는 리보핵산(RNA)분석 등 개인에게서 채취한 생물학적 샘플의 분석 결과나 이에 상응하는 정보를 입수할 수 있는 기타 요소의 분석으로부터 얻은 개인의 선천적 또는 후천적 유전자 특성에 관한 개인정보로 정의되어야 한다.

(14) 생체정보는 안면 영상이나 지문정보와 같이 특정 기술 처리로 얻어진 자연인의 신체적, 생리적, 행태적 특성과 관련된 정보로서, 자연인을 고유하게 식별할 수 있도록 해주거나 확인해주는 것을 의미한다.

지침 및 사례 법률

(EN)

To qualify as biometric data as defined in the GDPR, processing of raw data, such as the physical, physiological or behavioural characteristics of a natural person, must imply a measurement of this characteristics. Since biometric data is the result of such measurements, the GDPR states in its Article 4.14 that it is “resulting from specific technical processing relating to the physical, physiological or behavioural characteristics”.The video footage of an individual cannot however in itself be considered as biometric data under Article 9, if it has not been specifically technically processed in order to contribute to the identification of an individual.

In order for it to be considered as processing of special categories of personal data (Article 9) it requires that biometric data is processed “for the purpose of uniquely identifying a natural person”.
To sum up, in light of Article 4.14 and 9, three criteria must be considered:

— Nature of data: data relating to physical, physiological or behavioural characteristics of a natural person,

— Means and way of processing: data “resulting from a specific technical processing”,

— Purpose of processing: data must be used for the purpose to uniquely identifying a natural person.

EDPB, Guidelines 3/2019 on processing of personal data through video devices — 2019

Article 29 Working Party, Opinion 03/2012 on developments in biometric technologies (2012).

Article 29 Working Party, Opinion 02/2012 on facial recognition in online and mobile services (2012).

Article 29 Working Party, Working document on biometrics (2003).

(15) 건강에 관한 정보는 의료서비스 제공 등 자연인의 신체적 또는 정신적 건강과 관련한 개인정보를 가리키며, 해당인의 건강 상태에 관한 정보를 드러낸다.

지침 및 사례 법률 전문 (Recitals)

지침 및 사례 법률

(EN)

Documents

EDPB, Guidelines 3/2020 on the Processing of Data Concerning Health for the Purpose of Scientific Research in the Context of the Covid-19 Outbreak, (2020).

전문 (Recitals)

(35) 건강 관련 개인정보에는 정보주체의 과거, 현재, 혹은 미래의 신체적 또는 정신적 건강 상태와 관련한 정보를 드러내는 모든 정보주체의 건강상태에 속하는 데이터가 포함된다. 이 정보에는 유럽 의회와 각료이사회의 지침 2011/24/EU에 규정된 바와 같이 의료서비스를 등록하고 정보주체에 제공하는 과정에서 수집된 개인에 대한 정보도 포함된다 [9]. 건강 목적으로 특정 개인을 식별하기 위해 개인에게 부여되는 숫자, 상징, 혹은 특별사항도 포함되며, 유전자 정보와 생물학적 샘플 등, 신체의 일부분 또는 신체 물질에 대한 테스트나 검사에서 얻은 정보도 포함된다. 또한 질병, 장애, 질병 위험성, 의료 내역, 임상치료에 대한 정보 또는, 이와 무관하게, 내과의사 혹은 다른 의료계 종사자, 병원, 의료기기나 시험관 진단검사에서 얻은 정보주체에 대한 생리학적 상태 혹은 생체의학적 상태에 대한 정보도 포함된다.

_{[9] Directive 2011/24/EU of the European Parliament and of the Council of 9 March 2011 on the application of patients' rights in cross-border healthcare (OJ L 88, 4.4.2011, p. 45). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:088:TOC}

(16) 주 사업장은 다음 각 호를 의미한다.

전문 (Recitals)

(36) 컨트롤러의 유럽연합 역내 주 사업장은 컨트롤러의 유럽연합 내 중앙행정 지점이어야 하지만, 개인정보 처리 목적 빛 방식에 대한 결정을 유럽연합 내 다른 사업장에서 내리는 경우, 그 사업장이 주 사업장으로 간주되어야 한다. 컨트롤러의 유럽연합 내 주 사업장은 객관적인 기준에 따라 결정되어야 하며, 안정적인 방식을 통해 처리 목적 및 방식에 대한 주요 결정을 내리는 관리활동을 효과적이고 실제적으로 행하는 것을 의미한다. 그 기준은 개인정보의 처리가 해당 지역에서 이루어지는지 여부에 따라 달라지지 않는다. 개인정보 처리 또는 처리활동을 위한 기술적 수단 및 기술이 존재하고 이를 사용한다는 그 자체가 주 사업장이 되지 않으므로 이는 주 사업장을 결정하는 기준이 아니다. 프로세서의 주 사업장은 프로세서의 유럽연합 내 중앙행정 지점이거나, 유럽연합 역내에서 중앙 행정처리가 이루어지지 않는 경우에는 유럽연합 내 주요 처리 활동이 발생하는 장소가 주 사업장이다. 컨트롤러와 프로세서 모두와 관련되어 있는 경우, 선임 감독기관은 처리자의 주 사업장이 있는 회원국의 감독기관이어야 하고 프로세서의 감독기관은 관련 감독기관으로 간주되어야 하며, 이 감독기관은 본 규정이 정한 협력 절차에 참여해야 한다. 어느 경우든, 프로세서의 단일 또는 복수의 사업장이 소재한 회원국 또는 복수의 회원국의 감독기관들은, 결정문 초안이 처리자에 한하여 관련되어 있는 경우, 관련 감독기관으로 간주되지 않는다. 사업체 집단이 처리를 수행하는 경우, 통제 사업체의 주 사업장은 사업체 집단의 주 사업장로 간주되어야하며, 처리 목적과 수단을 다른 사업체가 결정하는 경우는 예외로 한다.

(a) 하나 이상의 유럽연합 회원국에 사업장을 운영하는 컨트롤러의 경우, 유럽연합 역내의 중앙 행정 지점을 주 사업장으로 본다. 유럽연합 역내의 또 다른 사업장에서 개인정보의 처리 목적 및 처리 방식을 결정하거나, 또 다른 사업장에서 개인정보의 처리 목적 및 처리 방식을 결정하게 할 집행권을 보유하고 있는 경우에는 또 다른 사업장을 주 사업장으로 본다.

(b) 하나 이상의 유럽연합 회원국에 사업장을 운영하는 프로세서의 경우, 유럽연합 역내의 중앙 행정 지점을 주 사업장으로 본다. 프로세서가 유럽연합 역내에 중앙 행정 지점을 가지고 있지 않은 경우에는, 프로세서에게 본 규정에 따른 특정 의무가 부과되는 범위 내에서 주요 처리 활동이 이루어지는 사업장을 주 사업장으로 본다.

관련 교과서

(17) 대리인은 제27조에 따라 컨트롤러나 프로세서가 서면으로 지정하여 유럽연합 역내에 설립된 자연인 또는 법인으로서 본 규칙에 의거, 컨트롤러 또는 프로세서 각각의 의무에 대해 그들을 대신한다.

관련 교과서

제27조 GDPR. 유럽연합 내에 설립되지 않은 컨트롤러 또는 프로세서의 대리인

1. 제3조(2)가 적용되는 경우, 컨트롤러 또는 프로세서는 유럽연합 역내 대리인을 서면으로 지정해야 한다.

[…]

3. 대리인은 정보주체가 거주하고, 재화 또는 용역의 제공과 관련하여 해당 정보주체의 개인정보가 처리되거나 행동이 모니터링 되는 회원국 중 한 곳에 설립되어야 한다.

4. 대리인은 컨트롤러 또는 프로세서에 의해 위임되며, 컨트롤러 또는 프로세서와 함께, 또는 이들을 대신하여 본 규정을 준수하기 위한 목적으로 처리와 관련한 모든 사안에 대해 감독기관 및 정보주체와 교섭해야 한다.

5. 컨트롤러 또는 프로세서의 대리인 지정은 컨트롤러 또는 프로세서 본인에게 제기될 수 있는 법적 조치를 침해하지 않아야 한다.

(18) 기업(enterprise)은 정례적으로 경제활동에 종사하는 합명회사, 조합 등 법적 형태와는 상관없이, 경제활동에 종사하는 자연인 또는 법인을 의미한다.

(19) 사업체 집단(group of undertakings)은 관리하는 사업체와 그 관리를 받는 사업체를 의미한다.

전문가 해설 전문 (Recitals)

전문가 해설

(EN)

In order to impose fines that are effective, proportionate and dissuasive, the supervisory authority shall use for the definition of the notion of an undertaking as provided for by the CJEU for the purposes of the application of Article 101 and 102 TFEU, namely that the concept of an undertaking is understood to mean an economic unit, which may be formed by the parent company and all involved subsidiaries. In accordance with EU law and case-law*, an undertaking must be understood to be the economic unit, which engages in commercial/economic activities, regardless of the legal person involved (Recital 150)

* The ECJ case law definition is: «the concept of an undertaking encompasses every entity engaged in an economic activity regardless of the legal status of the entity and the way in which it is financed” (Case Höfner and Elsner, para 21, ECLI:EU:C:1991:161). An undertaking «must be understood as designating an economic unit even if in law that economic unit consists of several persons, natural or legal» (Case Confederación Española de Empresarios de Estaciones de Servicio [para 40, ECLI:EU:C:2006:784)

Art29WP, Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679, wp253 (2017)

전문 (Recitals)

(37) 사업체 집단(a group of undertakings)은 관리하는 사업체와 관리되는 사업체를 포함하며, 관리하는 사업체는 소유권, 재정적 참여 또는 이를 관할하는 규정이나 개인정보보호 규정의 이행권한 등을 통해 다른 사업체에 우세적인 영향력을 행사할 수 있어야 한다. 부속 사업체 내의 개인정보 처리를 통제하는 사업체는 다른 사업체와 함께 사업체그룹으로 간주되어야 한다.

(20) 의무적 기업규칙(binding corporate rules)은 공동 경제활동에 종사하는 사업체 집단 또는 기업체 집단 내부에서 단일 또는 복수의 제3국에 위치한 컨트롤러나 프로세서에게 개인정보를 이전하기 위해, 유럽연합 회원국 영토에 설립된 컨트롤러 또는 프로세서가 준수하는 개인정보 정책을 의미한다.

(21) 감독기관(supervisory authority)은 제51조에 따라 유럽연합 회원국이 설립한 독립적인 공공기관을 의미한다.

(22) 관련 감독기관(supervisory authority concerned)은 다음 각 호의 사유로 개인정보 처리에 관여하는 감독기관을 의미한다.

전문 (Recitals)

(a) 해당 감독기관이 소재한 회원국의 영토에 컨트롤러나 프로세서가 설립되는 경우

(b) 해당 감독기관이 소재한 회원국에 거주하는 정보주체가 처리로 인해 상당한 영향을 받거나 받을 것으로 예상되는 경우

(c) 해당 감독기관에 민원이 제기된 경우

(23) 국가간 처리(cross-border processing)는 다음 각 호의 하나에 해당한다.

(a) 컨트롤러나 프로세서가 하나 이상의 회원국에 설립된 경우로서, 유럽연합 역내에 컨트롤러나 프로세서가 소재한 하나 이상의 회원국에서 사업장의 활동 중에 발생하는 개인정보의 처리

(b) 유럽연합 역내의 컨트롤러나 프로세서의 단일 사업장의 활동 중에 발생하지만 하나 이상의 회원국의 정보주체에게 상당한 영향을 미치거나 미칠 것으로 예상되는 개인정보의 처리

관련 교과서

(24) 타당하고 합당한 이의제기는 본 규정에 대한 위반이 존재하는지 여부 또는 컨트롤러나 프로세서와 관련해 예정된 작업이 본 규정을 준수하는지 여부에 대한 이의제기로서, 정보주체의 기본적 권리 및 자유, 그리고 해당하는 경우 유럽연합 내의 개인정보의 자유로운 이동에 관한 가결정(draft decision)이 초래하는 위험의 중대성을 명확히 보여준다.

지침 및 사례 법률

(EN)

Documents

EDPB, Guidelines on relevant and reasoned objection under Regulation 2016/679 (2020).

(25) 정보사회 서비스(information society service)는 유럽 의회 및 각료이사회 지침(EU) 2015/1535의 제1조 제(1)항 (b)호에서 정의하는 서비스를 의미한다 [19].

관련 교과서

_{[19] Directive (EU) 2015/1535 of the European Parliament and of the Council of 9 September 2015 laying down a procedure for the provision of information in the field of technical regulations and of rules on Information Society services (OJ L 241, 17.9.2015, p. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2015:241:TOC}

(26) 국제기구란 국제 공법이 준용되는 조직 및 산하기관, 또는 둘 이상의 국가 간의 협정에 의하거나 이를 기반으로 설립된 모든 기타 기관을 가리킨다.

유럽연합 일반 데이터 보호 규칙(EU GDPR)

Source: http://www.pipc.go.kr/cmt/not/ntc/selectBoardArticle.do?nttId=5969&bbsId=BBSMSTR_000000000121&bbsTyCode=BBST03&bbsAttrbCode=BBSA03&authFlag=Y&pageIndex=6

전문 (Recitals) 코멘트를 남겨주세요

전문 (Recitals)

(27) 본 규정은 망자의 개인정보에 적용되지 않는다. 회원국은 망자의 개인정보 처리에 대한 규칙을 규정할 수 있다.

(30) 개인은 본인이 사용하는 기기, 애플리케이션, 툴, 프로토콜을 통해 제공되는 인터넷 프로토콜 주소, 쿠키 식별자 또는 전파식별태그 등의 기타 식별자인 온라인 식별자와 연결될 수 있다. 이러한 정보는 개인에 대한 자취를 남길 수 있고, 특히 서버를 통해 수신되는 ‘고유 식별자(unique identifies)’ 및 다른 정보와 결합되는 경우, 해당 개인에 대한 프로파일을 생성하고 이들을 식별하는 데 사용될 수 있다.

코멘트를 남겨주세요

[js-disqus]