항해
GDPR > 제6조. 처리의 적법성
다운로드 PDF

제6조 GDPR. 처리의 적법성

Article 6 GDPR. Lawfulness of processing

1. 개인정보 처리는 적어도 다음 각 호의 하나에 해당되고 그 범위에서만 적법하다.

1. Processing shall be lawful only if and to the extent that at least one of the following applies:

(a) 정보주체가 하나 이상의 특정 목적에 대해 본인의 개인정보 처리를 동의한 경우

(a) the data subject has given consent to the processing of his or her personal data for one or more specific purposes;

지침 및 사례 법률 관련 교과서

(b) 정보주체가 계약 당사자가 되는 계약을 이행하거나 계약 체결 전 정보주체가 요청한 조치를 취하기 위해 처리가 필요한 경우

(b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;

지침 및 사례 법률 전문 (Recitals)

(44) 개인정보 처리가 계약 자체 또는 계약을 체결하고자 할 경우 요구된다면 이는 적법하다.

(44) Processing should be lawful where it is necessary in the context of a contract or the intention to enter into a contract.

관련 교과서

(c) 컨트롤러의 법적 의무를 준수하는데 개인정보 처리가 필요한 경우

(c) processing is necessary for compliance with a legal obligation to which the controller is subject;

전문 (Recitals)

(45) 컨트롤러에게 부과된 법적 의무에 따라 처리가 이루어지는 경우 또는 공익을 위하거나 공적 권한 행사에 따른 직무 수행에 개인정보 처리가 필요한 경우, 해당 처리는 유럽연합 또는 회원국 법률에 그 근거를 두어야 한다. 본 규정은 각 개별 처리에 대하여 특정 법률을 요구하지는 않는다. 컨트롤러에 적용되는 법적 의무에 근거한 복수의 처리작업 또는 공익을 위하거나 공적 권한 행사에 따른 직무 수행에 처리가 요구되는 경우에 대한 근거가 된다면 하나의 법으로도 충분할 수 있다. 유럽연합 또는 회원국 법률은 처리 목적도 결정하여야 한다. 또한 그 법률은 개인정보 처리의 적법성을 관장하는 본 규정의 일반 조건을 명시할 수 있고, 컨트롤러, 처리 대상인 개인정보의 유형, 관련 정보주체, 해당 개인정보를 제공받을 수 있는 기관, 목적제한, 보관기간 및 적법하고 공정한 처리를 보장하기 위한 기타 조치를 결정하는 세부사항을 수립할 수 있다. 또한 유럽연합 또는 회원국 법률은 공익을 위하거나 공적 권한 행사에 따른 직무를 수행하는 컨트롤러가 공법에 적용받는 공공기관이나 기타 자연인 또는 법인이어야 하는지 여부, 또는 공중보건, 사회적 보호, 의료서비스 관리 등 건강목적을 포함해 공익에 부합하는 경우에는 전문가협회 등 민법에 적용받는지 여부를 결정하여야 한다.

(45) Where processing is carried out in accordance with a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority, the processing should have a basis in Union or Member State law. This Regulation does not require a specific law for each individual processing. A law as a basis for several processing operations based on a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of an official authority may be sufficient. It should also be for Union or Member State law to determine the purpose of processing. Furthermore, that law could specify the general conditions of this Regulation governing the lawfulness of personal data processing, establish specifications for determining the controller, the type of personal data which are subject to the processing, the data subjects concerned, the entities to which the personal data may be disclosed, the purpose limitations, the storage period and other measures to ensure lawful and fair processing. It should also be for Union or Member State law to determine whether the controller performing a task carried out in the public interest or in the exercise of official authority should be a public authority or another natural or legal person governed by public law, or, where it is in the public interest to do so, including for health purposes such as public health and social protection and the management of health care services, by private law, such as a professional association.

(d) 정보주체 또는 제3자의 생명에 관한 이익을 보호하기 위해 개인정보 처리가 필요한 경우

(d) processing is necessary in order to protect the vital interests of the data subject or of another natural person;

전문 (Recitals)

(46) 개인정보의 처리는 정보주체의 생명 또는 타인의 생명과 관련한 주요 이익을 보호하기 위하여 필요한 경우 합법적으로 간주된다. 타인의 생명과 관련한 주요 이익에 근거한 개인정보 처리는 원칙적으로 해당 처리가 명백하게 다른 법적 근거에 기반 할 수 없는 경우에 한해서 행해져야 한다. 일부 유형의 처리는 공익상 중요한 근거와 정보주체의 생명에 관련된 이익에 동시에 충족시킬 수 있는데, 에를 들어 전염병과 그 확산을 모니터링하거나 자연재해 또는 인재 등 인도주의적 비상상황에서 인도주의적 목적으로 처리가 필요한 경우가 이에 해당한다.

(46) The processing of personal data should also be regarded to be lawful where it is necessary to protect an interest which is essential for the life of the data subject or that of another natural person. Processing of personal data based on the vital interest of another natural person should in principle take place only where the processing cannot be manifestly based on another legal basis. Some types of processing may serve both important grounds of public interest and the vital interests of the data subject as for instance when processing is necessary for humanitarian purposes, including for monitoring epidemics and their spread or in situations of humanitarian emergencies, in particular in situations of natural and man-made disasters.

(e) 공익을 위하거나 컨트롤러의 공식 권한을 행사하여 이루어지는 업무수행에 처리가 필요한 경우

(e) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;

지침 및 사례 법률 전문 (Recitals)

(115) 일부 제3국은 회원국 소관의 자연인 및 법인의 개인정보 처리 활동을 직접 규제하기 위한 취지의 법률, 규정 및 기타 입법 기구를 채택한다. 여기에는 컨트롤러나 프로세서에게 개인정보의 이전이나 제공을 요구하는 제3국의 법원이나 재판소의 판결 또는 행정당국의 결정이 포함될 수 있다. 이 같은 판결이나 결정은 요청을 한 제3국과 유럽연합 또는 회원국 간에 시행 중인 사법공조조약 등의 국제협정에 기반을 두지 않는다. 이 같은 법률, 규정 및 기타 입법 기구의 역외 적용은 국제법에 위반될 수 있고 본 규정이 유럽연합 내에서 보장하는 개인에 대한 보호를 저해할 수 있다. 정보이전은 본 규정에 따른 제3국으로의 정보이전을 위한 조건을 만족시키는 경우에 한해서만 허용되어야 한다. 컨트롤러에 적용되는 유럽연합이나 회원국의 법률이 규정하는 공익상의 이유로 정보공개가 필요한 경우가 특히 이에 해당한다.

(115) Some third countries adopt laws, regulations and other legal acts which purport to directly regulate the processing activities of natural and legal persons under the jurisdiction of the Member States. This may include judgments of courts or tribunals or decisions of administrative authorities in third countries requiring a controller or processor to transfer or disclose personal data, and which are not based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State. The extraterritorial application of those laws, regulations and other legal acts may be in breach of international law and may impede the attainment of the protection of natural persons ensured in the Union by this Regulation. Transfers should only be allowed where the conditions of this Regulation for a transfer to third countries are met. This may be the case, inter alia, where disclosure is necessary for an important ground of public interest recognised in Union or Member State law to which the controller is subject.

(f) 컨트롤러 또는 제3자의 정당한 이익 목적을 위해 처리가 필요한 경우로서, 개인정보가 보호되어야 할 정보주체의 이익 또는 기본적 권리와 자유가 우선되는 경우는 제외한다. 정보주체가 어린이인 경우에는 특히 그러하다.

(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.

지침 및 사례 법률 전문 (Recitals)

(47) 개인정보를 제공받을 수 있는 컨트롤러의 정당한 이익 등 컨트롤러의 정당한 이익 또는 제3자의 정당한 이익은 컨트롤러와의 관계를 기반으로 정보주체가 합리적으로 예상하는 바를 고려하여 정보주체의 이익 또는 기본권 및 자유가 우선시 되지 않는다면 처리의 법적 근거가 될 수 있다. 이러한 정당한 이익은 정보주체가 컨트롤러의 고객이거나 컨트롤러의 서비스를 이용 중인 경우 등 정보주체와 컨트롤러 간에 타당하고 적절한 관계가 있을 때 존재할 수 있다. 어떠한 경우에든 정당한 이익의 존재에 대해서는 정보주체가 정보수집의 시점 및 정보수집의 상황에서 이러한 목적으로 정보가 처리될 수 있을 것이라고 합리적으로 예상할 수 있는지 여부 등에 관한 신중한 평가가 필요하다. 정보주체의 이익과 기본권은 특히 정보주체가 추가적 개인정보 처리에 대해 합리적인 예상을 하지 못한 상황에서 개인정보가 처리되는 경우 컨트롤러의 이익에 우선할 수 있다. 공공기관이 개인정보를 처리하는 법적 근거는 입법기관(the legislator)이 법률로써 규정한다는 점을 고려하면 공공기관이 본연의 업무를 수행할 때 발생하는 처리에는 해당 법적 근거가 적용되지 않는다. 사기 방지의 목적으로 반드시 필요한 처리 또한 해당 컨트롤러의 정당한 이익에 해당한다. 직접 마케팅(direct marketing)을 목적으로 하는 개인정보의 처리는 정당한 이익을 위해 시행된 것으로 간주될 수 있다.

(47) The legitimate interests of a controller, including those of a controller to which the personal data may be disclosed, or of a third party, may provide a legal basis for processing, provided that the interests or the fundamental rights and freedoms of the data subject are not overriding, taking into consideration the reasonable expectations of data subjects based on their relationship with the controller. Such legitimate interest could exist for example where there is a relevant and appropriate relationship between the data subject and the controller in situations such as where the data subject is a client or in the service of the controller. At any rate the existence of a legitimate interest would need careful assessment including whether a data subject can reasonably expect at the time and in the context of the collection of the personal data that processing for that purpose may take place. The interests and fundamental rights of the data subject could in particular override the interest of the data controller where personal data are processed in circumstances where data subjects do not reasonably expect further processing. Given that it is for the legislator to provide by law for the legal basis for public authorities to process personal data, that legal basis should not apply to the processing by public authorities in the performance of their tasks. The processing of personal data strictly necessary for the purposes of preventing fraud also constitutes a legitimate interest of the data controller concerned. The processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest.

(48) ‘사업체 집단’ 또는 ‘중앙기구의 부속 기관’인 컨트롤러는 고객이나 피고용인의 개인정보의 처리 등 내부 행정의 목적으로 사업체 집단 내에서 개인정보를 전송하는 정당한 이익을 가질 수 있다. 사업체 집단 내에서 제3국에 소재한 사업체로의 개인정보를 규정한 일반 원칙에는 적용되지 않는다.

(48) Controllers that are part of a group of undertakings or institutions affiliated to a central body may have a legitimate interest in transmitting personal data within the group of undertakings for internal administrative purposes, including the processing of clients' or employees' personal data. The general principles for the transfer of personal data, within a group of undertakings, to an undertaking located in a third country remain unaffected.

(49) 오로지 네트워크 및 정보보안을 담보할 목적에 대하여 필요하고 비례하는 범위 내에서 이루어지는 개인정보의 처리는 관련 컨트롤러의 정당한 이익이 된다. 네트워크 및 정보보안이란 주어진 신뢰수준에서 네트워크나 정보시스템이 저장되거나 전송된 개인정보의 가용성, 진위성, 무결성, 기밀성을 해치는 우발적 사건이나 불법적 또는 악의적 행위에 저항하는 능력, 그리고 해당 네트워크와 시스템이 제공하거나 이를 통해 공공기관, 컴퓨터 비상 대응팀, 컴퓨터 보안사고 대응팀, 전자통신 네트워크·서비스 공급자, 보안기술·서비스 공급자가 제공받는 관련 서비스의 보안을 가리킨다. 여기에는 전자통신 네트워크에의 무단접근 및 악성코드 배포를 방지하고 ‘서비스 거절’ 공격 및 컴퓨터·전자통신시스템의 손상을 중지시키는 것이 포함될 수 있다.

(49) The processing of personal data to the extent strictly necessary and proportionate for the purposes of ensuring network and information security, i.e. the ability of a network or an information system to resist, at a given level of confidence, accidental events or unlawful or malicious actions that compromise the availability, authenticity, integrity and confidentiality of stored or transmitted personal data, and the security of the related services offered by, or accessible via, those networks and systems, by public authorities, by computer emergency response teams (CERTs), computer security incident response teams (CSIRTs), by providers of electronic communications networks and services and by providers of security technologies and services, constitutes a legitimate interest of the data controller concerned. This could, for example, include preventing unauthorised access to electronic communications networks and malicious code distribution and stopping ‘denial of service’ attacks and damage to computer and electronic communication systems.

제1항 (f)호는 공공기관이 소관 업무를 수행하기 위해 개인정보를 처리하는 경우에는 적용되지 않는다.

Point (f) of the first subparagraph shall not apply to processing carried out by public authorities in the performance of their tasks.

전문 (Recitals)

(40) 처리가 합법적이기 위해서는 관련 정보주체의 동의를 근거로 하거나, 본 규정이나 본 규정에 명시된 유럽연합 또는 회원국 법률에 규정된 기타 적법한 근거를 기반으로 하여야 한다. 컨트롤러에게 부과된 법적 의무의 준수, 정보주체가 계약 당사자가 되는 계약의 이행 또는 계약 체결 전에 정보주체의 요청에 따른 조치 시행 등이 이에 해당한다.

(40) In order for processing to be lawful, personal data should be processed on the basis of the consent of the data subject concerned or some other legitimate basis, laid down by law, either in this Regulation or in other Union or Member State law as referred to in this Regulation, including the necessity for compliance with the legal obligation to which the controller is subject or the necessity for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract.

(50) 원래 수집 목적 이외의 개인정보 처리는 해당 개인정보의 처리가 원래의 수집 목적과 양립되는 경우에 한해서만 허용되어야 한다. 목적이 양립하는 경우, 당초 개인정보 수집을 허용한 법적 근거 이외의 별도의 법적 근거는 불필요하다. 공익을 추구하거나 컨트롤러에게 내재된 공적 권한의 행사에 따른 직무 수행에 처리가 필요한 경우, 유럽연합 또는 회원국 법률은 추가 처리가 양립 가능하고 적법하다고 간주되는 직무 및 목적을 결정하여 명시할 수 있다. 공익상의 기록보존 목적, 과학적 또는 역사적 연구 목적, 또는 통계 목적의 추가 처리는 양립 가능하고 적법한 처리 작업으로 간주되어야 한다. 유럽연합 또는 회원국 법률이 규정하는 개인정보 처리의 법적 근거는 추가 처리의 법적 근거도 될 수가 있다. 추가 처리의 목적이 당초 개인정보의 수집 목적과 양립되는지 여부를 확인하기 위해 컨트롤러는 당초 처리의 적법성에 관한 모든 요건을 충족시킨 후 무엇보다 당초 수집목적과 추가 처리 목적 간의 연관성, 해당 개인정보가 수집될 때의 상황, 특히 정보주체가 컨트롤러와의 관계를 토대로 추가 사용에 대해 합리적으로 예상할 수 있는 바, 해당 개인정보의 성격, 예정된 추가 처리가 정보주체에게 미치는 결과, 당초 처리 작업 및 추가 처리 작업에 대한 적절한 안전장치의 유무를 고려하여야 한다.

(50) The processing of personal data for purposes other than those for which the personal data were initially collected should be allowed only where the processing is compatible with the purposes for which the personal data were initially collected. In such a case, no legal basis separate from that which allowed the collection of the personal data is required. If the processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, Union or Member State law may determine and specify the tasks and purposes for which the further processing should be regarded as compatible and lawful. Further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes should be considered to be compatible lawful processing operations. The legal basis provided by Union or Member State law for the processing of personal data may also provide a legal basis for further processing. In order to ascertain whether a purpose of further processing is compatible with the purpose for which the personal data are initially collected, the controller, after having met all the requirements for the lawfulness of the original processing, should take into account, inter alia: any link between those purposes and the purposes of the intended further processing; the context in which the personal data have been collected, in particular the reasonable expectations of data subjects based on their relationship with the controller as to their further use; the nature of the personal data; the consequences of the intended further processing for data subjects; and the existence of appropriate safeguards in both the original and intended further processing operations.

컨트롤러가 목적의 양립가능 여부와 상관없이 해당 개인정보를 추가적으로 처리할 수 있는 경우가 있는데, 첫째, 정보주체가 동의하였거나, 둘째, 민주사회에서의 일반적 공익의 중요한 목표를 보호하는데 필수적이고 비례적인 조치를 구성하는 유럽연합 또는 회원국 법률에 근거하여 처리가 이루어지는 경우이다. 어떤 경우에서도 본 규정이 정한 원칙을 준수하여야 하며, 추가 처리 목적과 더불어 (처리) 반대권 등 정보주체의 권리를 정보주체에게 통보하여야 한다. 컨트롤러가 발생 가능한 범죄행위나 공안의 위협을 입증하고 동일한 범죄행위나 위협에 관한 개별 또는 복수의 사례에서 관련 개인정보를 관계 당국에 전송하는 것은 컨트롤러가 추구하는 정당한 이익으로 간주되어야 한다. 그러나 해당 정보처리가 법적, 직무상 또는 기타 구속력 있는 기밀유지의 의무와 양립하지 않는 경우, 컨트롤러의 정당한 이익을 위한 정보의 전송 및 추가 처리는 금지되어야 한다.

Where the data subject has given consent or the processing is based on Union or Member State law which constitutes a necessary and proportionate measure in a democratic society to safeguard, in particular, important objectives of general public interest, the controller should be allowed to further process the personal data irrespective of the compatibility of the purposes. In any case, the application of the principles set out in this Regulation and in particular the information of the data subject on those other purposes and on his or her rights including the right to object, should be ensured. Indicating possible criminal acts or threats to public security by the controller and transmitting the relevant personal data in individual cases or in several cases relating to the same criminal act or threats to public security to a competent authority should be regarded as being in the legitimate interest pursued by the controller. However, such transmission in the legitimate interest of the controller or further processing of personal data should be prohibited if the processing is not compatible with a legal, professional or other binding obligation of secrecy.

2. 회원국은 본 규정의 규칙을 적용하기 위하여 더욱 구체적인 조문을 유지하거나 도입할 수 있다. 이는 개인정보 처리를 위한 구체적 요건과, 제IX장에서 규정하는 특정 처리 상황 등과 같이 적법하고 공정한 처리를 보장하기 위한 여타 조치들을 더욱 엄밀히 결정함으로써 제1항 (c)호 및 (e)호의 준수를 담보하기 위한 내용에 관한 것이다.

2. Member States may maintain or introduce more specific provisions to adapt the application of the rules of this Regulation with regard to processing for compliance with points (c) and (e) of paragraph 1 by determining more precisely specific requirements for the processing and other measures to ensure lawful and fair processing including for other specific processing situations as provided for in Chapter IX.

3. 제1항의 (c)호 및 (e)호에서의 개인정보 처리의 근거는 다음 각 호를 통해 규정되어야 한다.

3. The basis for the processing referred to in point (c) and (e) of paragraph 1 shall be laid down by:

(a) 유럽연합 법률

(a) Union law; or

(b) 컨트롤러에게 적용되는 유럽연합 회원국의 법률

(b) Member State law to which the controller is subject.

처리목적은 상기의 법적 근거에 의해 결정되어야 한다. 제1항 (e)호의 처리는 공익을 위하거나 컨트롤러의 공식권한을 행사하여 이루어지는 업무수행에 필요한 것이다. 해당 법적 근거로는 본 규정의 규칙을 적절히 적용하기 위한 특정 조문이 있을 수 있으며, 특히, 컨트롤러의 개인정보 처리 적법성에 대한 일반적인 조건, 해당 처리의 대상이 되는 개인정보의 유형, 관련 정보주체, 관련 개인정보의 제공 대상 및 목적, 목적 제한, 보관기간, 제IX장에서 규정하는 특정 처리상황을 위한 조치 등 합법적이고 공정한 처리를 보장하는 조치를 포함한 처리작업 및 처리절차가 이에 해당한다. 유럽연합 또는 회원국 법률은 공익의 목적을 달성하고 추구하는 적법한 목표에 비례해야 한다.

The purpose of the processing shall be determined in that legal basis or, as regards the processing referred to in point (e) of paragraph 1, shall be necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. That legal basis may contain specific provisions to adapt the application of rules of this Regulation, inter alia: the general conditions governing the lawfulness of processing by the controller; the types of data which are subject to the processing; the data subjects concerned; the entities to, and the purposes for which, the personal data may be disclosed; the purpose limitation; storage periods; and processing operations and processing procedures, including measures to ensure lawful and fair processing such as those for other specific processing situations as provided for in Chapter IX. The Union or the Member State law shall meet an objective of public interest and be proportionate to the legitimate aim pursued.

전문 (Recitals)

(41) 본 규정이 법적 근거나 입법 조치를 규정하고 있는 경우, 그 규정들이 반드시 회원국 의회가 채택한 것일 필요는 없으나 회원국의 헌법적 질서에 따른 요건을 침해해서는 안 된다. 그러나 그 법적 근거 또는 법적 조치는 명확하고 정확해야 하고 이를 적용받는 개인이 유럽 사법재판소와 유럽 인권재판소의 판례법에 따라 그 적용을 예측할 수 있어야 한다.

(41) Where this Regulation refers to a legal basis or a legislative measure, this does not necessarily require a legislative act adopted by a parliament, without prejudice to requirements pursuant to the constitutional order of the Member State concerned. However, such a legal basis or legislative measure should be clear and precise and its application should be foreseeable to persons subject to it, in accordance with the case-law of the Court of Justice of the European Union (the ‘Court of Justice’) and the European Court of Human Rights.

4. 개인정보를 수집한 목적 외로 처리하는 것이 정보주체의 동의 또는 제23조(1)의 목적을 보장하기 위한 민주사회의 필요하고 비례적인 조치를 구성하는 유렵연합 또는 회원국 법률에 근거하지 않는 경우, 컨트롤러는 개인정보의 목적 외 처리가 해당 개인정보를 수집한 당초 목적과 양립될 수 있는지 확인하기 위해서 특히 다음 각 호를 고려해야 한다.

4. Where the processing for a purpose other than that for which the personal data have been collected is not based on the data subject’s consent or on a Union or Member State law which constitutes a necessary and proportionate measure in a democratic society to safeguard the objectives referred to in Article 23(1), the controller shall, in order to ascertain whether processing for another purpose is compatible with the purpose for which the personal data are initially collected, take into account, inter alia:

(a) 수집 목적과 의도된 추가처리 목적 간의 연관성

(a) any link between the purposes for which the personal data have been collected and the purposes of the intended further processing;

(b) 특히 정보주체와 컨트롤러 간의 관계와 관련해서 등의 개인정보가 수집된 상황

(b) the context in which the personal data have been collected, in particular regarding the relationship between data subjects and the controller;

(c) 특히 제9조에 따른 특정 범주의 개인정보가 처리되는지 여부 또는 제10조에 따른 범죄경력 및 범죄행위와 관련한 개인정보가 처리되는지 여부 등 개인정보의 성격

(c) the nature of the personal data, in particular whether special categories of personal data are processed, pursuant to Article 9, or whether personal data related to criminal convictions and offences are processed, pursuant to Article 10;

(d) 의도된 추가처리가 정보주체에 초래할 수 있는 결과

(d) the possible consequences of the intended further processing for data subjects;

(e) 암호처리나 가명처리 등 적절한 안전조치의 존재

(e) the existence of appropriate safeguards, which may include encryption or pseudonymisation.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 6(4)(e) GDPR:

7.4.5 PII de-identification and deletion at the end of processing

Control

The organization should either delete PII or render it in a form which does not permit identification or re-identification of PII principals, as soon as the original PII is no longer necessary for the identified purpose(s).


전체 텍스트에 액세스하려면

전문가 해설 ISO 27701 전문 (Recitals) 지침 및 사례 법률 관련 교과서 코멘트를 남겨주세요
전문가 해설
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 6 GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.

The legal basis for the processing of PII can include:


전체 텍스트에 액세스하려면

전문 (Recitals)

(40) 처리가 합법적이기 위해서는 관련 정보주체의 동의를 근거로 하거나, 본 규정이나 본 규정에 명시된 유럽연합 또는 회원국 법률에 규정된 기타 적법한 근거를 기반으로 하여야 한다. 컨트롤러에게 부과된 법적 의무의 준수, 정보주체가 계약 당사자가 되는 계약의 이행 또는 계약 체결 전에 정보주체의 요청에 따른 조치 시행 등이 이에 해당한다.

(40) In order for processing to be lawful, personal data should be processed on the basis of the consent of the data subject concerned or some other legitimate basis, laid down by law, either in this Regulation or in other Union or Member State law as referred to in this Regulation, including the necessity for compliance with the legal obligation to which the controller is subject or the necessity for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract.

(41) 본 규정이 법적 근거나 입법 조치를 규정하고 있는 경우, 그 규정들이 반드시 회원국 의회가 채택한 것일 필요는 없으나 회원국의 헌법적 질서에 따른 요건을 침해해서는 안 된다. 그러나 그 법적 근거 또는 법적 조치는 명확하고 정확해야 하고 이를 적용받는 개인이 유럽 사법재판소와 유럽 인권재판소의 판례법에 따라 그 적용을 예측할 수 있어야 한다.

(41) Where this Regulation refers to a legal basis or a legislative measure, this does not necessarily require a legislative act adopted by a parliament, without prejudice to requirements pursuant to the constitutional order of the Member State concerned. However, such a legal basis or legislative measure should be clear and precise and its application should be foreseeable to persons subject to it, in accordance with the case-law of the Court of Justice of the European Union (the ‘Court of Justice’) and the European Court of Human Rights.

(42) 처리가 정보주체의 동의에 근거하는 경우, 컨트롤러는 정보주체가 처리 방식에 대해 동의를 제공하였음을 입증할 수 있어야 한다. 특히 처리되는 사안이 아닌 다른 사안에 대해 서면 진술로 동의하는 경우, 안전장치를 통해 정보주체가 동의가 제공되었다는 사실과 어느 범위까지 동의가 제공되는지에 대해 인지하도록 해야 한다. 유럽이사회 지침 93/13/EEC1에 따라 [10], 컨트롤러가 사전에 작성한 동의 진술서는 명확하고 평이한 언어를 사용하여 이해할 수 있고 열람이 용이하여야 하며 불공정한 용어를 포함해서는 안 된다. 동의 내용을 인지한 동의가 되기 위해 정보주체는 최소한 컨트롤러의 신원과 예정된 개인정보 처리 목적에 대해 인지하고 있어야 한다. 정보주체가 진정으로 또는 자유 선택으로 동의하지 않았거나, 불이익 없이 동의를 거절하거나 철회할 수 없는 경우에는 해당 동의는 자유롭게 제공된 것이라고 간주되지 않는다.

(42) Where processing is based on the data subject's consent, the controller should be able to demonstrate that the data subject has given consent to the processing operation. In particular in the context of a written declaration on another matter, safeguards should ensure that the data subject is aware of the fact that and the extent to which consent is given. In accordance with Council Directive 93/13/EEC [10] a declaration of consent pre-formulated by the controller should be provided in an intelligible and easily accessible form, using clear and plain language and it should not contain unfair terms. For consent to be informed, the data subject should be aware at least of the identity of the controller and the purposes of the processing for which the personal data are intended. Consent should not be regarded as freely given if the data subject has no genuine or free choice or is unable to refuse or withdraw consent without detriment.

[10] Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts (OJ L 95, 21.4.1993, p. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

[10] Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts (OJ L 95, 21.4.1993, p. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

(43) 동의가 자유롭게 제공되도록 하기 위해서는, 정보주체와 컨트롤러 간의 명백한 불균형이 존재하는 특정 상황과 같은 경우에는 동의가 유효한 법적 근거가 되지 않으며, 특히 컨트롤러가 공공기관임으로 인해 그 특정 상황의 모든 정황에서 동의가 자유롭게 제공되었을 것이라 예상되지 않는 경우에는 더욱 그러하다. 서로 다른 개인정보 처리 작업에 개별 동의를 제공하는 것이 개별 사례에서 적절함에도 불구하고 그렇게 할 수 없는 경우 또는 서비스 제공 등의 계약의 이행이 동의 없이 이루어질 수 있음에도 불구하고 동의에 근거하여 진행되는 경우 동의는 자유롭게 제공된 것이 아니라고 간주된다.

(43) In order to ensure that consent is freely given, consent should not provide a valid legal ground for the processing of personal data in a specific case where there is a clear imbalance between the data subject and the controller, in particular where the controller is a public authority and it is therefore unlikely that consent was freely given in all the circumstances of that specific situation. Consent is presumed not to be freely given if it does not allow separate consent to be given to different personal data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service, is dependent on the consent despite such consent not being necessary for such performance.

(44) 개인정보 처리가 계약 자체 또는 계약을 체결하고자 할 경우 요구된다면 이는 적법하다.

(44) Processing should be lawful where it is necessary in the context of a contract or the intention to enter into a contract.

(45) 컨트롤러에게 부과된 법적 의무에 따라 처리가 이루어지는 경우 또는 공익을 위하거나 공적 권한 행사에 따른 직무 수행에 개인정보 처리가 필요한 경우, 해당 처리는 유럽연합 또는 회원국 법률에 그 근거를 두어야 한다. 본 규정은 각 개별 처리에 대하여 특정 법률을 요구하지는 않는다. 컨트롤러에 적용되는 법적 의무에 근거한 복수의 처리작업 또는 공익을 위하거나 공적 권한 행사에 따른 직무 수행에 처리가 요구되는 경우에 대한 근거가 된다면 하나의 법으로도 충분할 수 있다. 유럽연합 또는 회원국 법률은 처리 목적도 결정하여야 한다. 또한 그 법률은 개인정보 처리의 적법성을 관장하는 본 규정의 일반 조건을 명시할 수 있고, 컨트롤러, 처리 대상인 개인정보의 유형, 관련 정보주체, 해당 개인정보를 제공받을 수 있는 기관, 목적제한, 보관기간 및 적법하고 공정한 처리를 보장하기 위한 기타 조치를 결정하는 세부사항을 수립할 수 있다. 또한 유럽연합 또는 회원국 법률은 공익을 위하거나 공적 권한 행사에 따른 직무를 수행하는 컨트롤러가 공법에 적용받는 공공기관이나 기타 자연인 또는 법인이어야 하는지 여부, 또는 공중보건, 사회적 보호, 의료서비스 관리 등 건강목적을 포함해 공익에 부합하는 경우에는 전문가협회 등 민법에 적용받는지 여부를 결정하여야 한다.

(45) Where processing is carried out in accordance with a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority, the processing should have a basis in Union or Member State law. This Regulation does not require a specific law for each individual processing. A law as a basis for several processing operations based on a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of an official authority may be sufficient. It should also be for Union or Member State law to determine the purpose of processing. Furthermore, that law could specify the general conditions of this Regulation governing the lawfulness of personal data processing, establish specifications for determining the controller, the type of personal data which are subject to the processing, the data subjects concerned, the entities to which the personal data may be disclosed, the purpose limitations, the storage period and other measures to ensure lawful and fair processing. It should also be for Union or Member State law to determine whether the controller performing a task carried out in the public interest or in the exercise of official authority should be a public authority or another natural or legal person governed by public law, or, where it is in the public interest to do so, including for health purposes such as public health and social protection and the management of health care services, by private law, such as a professional association.

(46) 개인정보의 처리는 정보주체의 생명 또는 타인의 생명과 관련한 주요 이익을 보호하기 위하여 필요한 경우 합법적으로 간주된다. 타인의 생명과 관련한 주요 이익에 근거한 개인정보 처리는 원칙적으로 해당 처리가 명백하게 다른 법적 근거에 기반 할 수 없는 경우에 한해서 행해져야 한다. 일부 유형의 처리는 공익상 중요한 근거와 정보주체의 생명에 관련된 이익에 동시에 충족시킬 수 있는데, 에를 들어 전염병과 그 확산을 모니터링하거나 자연재해 또는 인재 등 인도주의적 비상상황에서 인도주의적 목적으로 처리가 필요한 경우가 이에 해당한다.

(46) The processing of personal data should also be regarded to be lawful where it is necessary to protect an interest which is essential for the life of the data subject or that of another natural person. Processing of personal data based on the vital interest of another natural person should in principle take place only where the processing cannot be manifestly based on another legal basis. Some types of processing may serve both important grounds of public interest and the vital interests of the data subject as for instance when processing is necessary for humanitarian purposes, including for monitoring epidemics and their spread or in situations of humanitarian emergencies, in particular in situations of natural and man-made disasters.

(47) 개인정보를 제공받을 수 있는 컨트롤러의 정당한 이익 등 컨트롤러의 정당한 이익 또는 제3자의 정당한 이익은 컨트롤러와의 관계를 기반으로 정보주체가 합리적으로 예상하는 바를 고려하여 정보주체의 이익 또는 기본권 및 자유가 우선시 되지 않는다면 처리의 법적 근거가 될 수 있다. 이러한 정당한 이익은 정보주체가 컨트롤러의 고객이거나 컨트롤러의 서비스를 이용 중인 경우 등 정보주체와 컨트롤러 간에 타당하고 적절한 관계가 있을 때 존재할 수 있다. 어떠한 경우에든 정당한 이익의 존재에 대해서는 정보주체가 정보수집의 시점 및 정보수집의 상황에서 이러한 목적으로 정보가 처리될 수 있을 것이라고 합리적으로 예상할 수 있는지 여부 등에 관한 신중한 평가가 필요하다. 정보주체의 이익과 기본권은 특히 정보주체가 추가적 개인정보 처리에 대해 합리적인 예상을 하지 못한 상황에서 개인정보가 처리되는 경우 컨트롤러의 이익에 우선할 수 있다. 공공기관이 개인정보를 처리하는 법적 근거는 입법기관(the legislator)이 법률로써 규정한다는 점을 고려하면 공공기관이 본연의 업무를 수행할 때 발생하는 처리에는 해당 법적 근거가 적용되지 않는다. 사기 방지의 목적으로 반드시 필요한 처리 또한 해당 컨트롤러의 정당한 이익에 해당한다. 직접 마케팅(direct marketing)을 목적으로 하는 개인정보의 처리는 정당한 이익을 위해 시행된 것으로 간주될 수 있다.

(47) The legitimate interests of a controller, including those of a controller to which the personal data may be disclosed, or of a third party, may provide a legal basis for processing, provided that the interests or the fundamental rights and freedoms of the data subject are not overriding, taking into consideration the reasonable expectations of data subjects based on their relationship with the controller. Such legitimate interest could exist for example where there is a relevant and appropriate relationship between the data subject and the controller in situations such as where the data subject is a client or in the service of the controller. At any rate the existence of a legitimate interest would need careful assessment including whether a data subject can reasonably expect at the time and in the context of the collection of the personal data that processing for that purpose may take place. The interests and fundamental rights of the data subject could in particular override the interest of the data controller where personal data are processed in circumstances where data subjects do not reasonably expect further processing. Given that it is for the legislator to provide by law for the legal basis for public authorities to process personal data, that legal basis should not apply to the processing by public authorities in the performance of their tasks. The processing of personal data strictly necessary for the purposes of preventing fraud also constitutes a legitimate interest of the data controller concerned. The processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest.

(48) ‘사업체 집단’ 또는 ‘중앙기구의 부속 기관’인 컨트롤러는 고객이나 피고용인의 개인정보의 처리 등 내부 행정의 목적으로 사업체 집단 내에서 개인정보를 전송하는 정당한 이익을 가질 수 있다. 사업체 집단 내에서 제3국에 소재한 사업체로의 개인정보를 규정한 일반 원칙에는 적용되지 않는다.

(48) Controllers that are part of a group of undertakings or institutions affiliated to a central body may have a legitimate interest in transmitting personal data within the group of undertakings for internal administrative purposes, including the processing of clients' or employees' personal data. The general principles for the transfer of personal data, within a group of undertakings, to an undertaking located in a third country remain unaffected.

(49) 오로지 네트워크 및 정보보안을 담보할 목적에 대하여 필요하고 비례하는 범위 내에서 이루어지는 개인정보의 처리는 관련 컨트롤러의 정당한 이익이 된다. 네트워크 및 정보보안이란 주어진 신뢰수준에서 네트워크나 정보시스템이 저장되거나 전송된 개인정보의 가용성, 진위성, 무결성, 기밀성을 해치는 우발적 사건이나 불법적 또는 악의적 행위에 저항하는 능력, 그리고 해당 네트워크와 시스템이 제공하거나 이를 통해 공공기관, 컴퓨터 비상 대응팀, 컴퓨터 보안사고 대응팀, 전자통신 네트워크·서비스 공급자, 보안기술·서비스 공급자가 제공받는 관련 서비스의 보안을 가리킨다. 여기에는 전자통신 네트워크에의 무단접근 및 악성코드 배포를 방지하고 ‘서비스 거절’ 공격 및 컴퓨터·전자통신시스템의 손상을 중지시키는 것이 포함될 수 있다.

(49) The processing of personal data to the extent strictly necessary and proportionate for the purposes of ensuring network and information security, i.e. the ability of a network or an information system to resist, at a given level of confidence, accidental events or unlawful or malicious actions that compromise the availability, authenticity, integrity and confidentiality of stored or transmitted personal data, and the security of the related services offered by, or accessible via, those networks and systems, by public authorities, by computer emergency response teams (CERTs), computer security incident response teams (CSIRTs), by providers of electronic communications networks and services and by providers of security technologies and services, constitutes a legitimate interest of the data controller concerned. This could, for example, include preventing unauthorised access to electronic communications networks and malicious code distribution and stopping ‘denial of service’ attacks and damage to computer and electronic communication systems.

(50) 원래 수집 목적 이외의 개인정보 처리는 해당 개인정보의 처리가 원래의 수집 목적과 양립되는 경우에 한해서만 허용되어야 한다. 목적이 양립하는 경우, 당초 개인정보 수집을 허용한 법적 근거 이외의 별도의 법적 근거는 불필요하다. 공익을 추구하거나 컨트롤러에게 내재된 공적 권한의 행사에 따른 직무 수행에 처리가 필요한 경우, 유럽연합 또는 회원국 법률은 추가 처리가 양립 가능하고 적법하다고 간주되는 직무 및 목적을 결정하여 명시할 수 있다. 공익상의 기록보존 목적, 과학적 또는 역사적 연구 목적, 또는 통계 목적의 추가 처리는 양립 가능하고 적법한 처리 작업으로 간주되어야 한다. 유럽연합 또는 회원국 법률이 규정하는 개인정보 처리의 법적 근거는 추가 처리의 법적 근거도 될 수가 있다. 추가 처리의 목적이 당초 개인정보의 수집 목적과 양립되는지 여부를 확인하기 위해 컨트롤러는 당초 처리의 적법성에 관한 모든 요건을 충족시킨 후 무엇보다 당초 수집목적과 추가 처리 목적 간의 연관성, 해당 개인정보가 수집될 때의 상황, 특히 정보주체가 컨트롤러와의 관계를 토대로 추가 사용에 대해 합리적으로 예상할 수 있는 바, 해당 개인정보의 성격, 예정된 추가 처리가 정보주체에게 미치는 결과, 당초 처리 작업 및 추가 처리 작업에 대한 적절한 안전장치의 유무를 고려하여야 한다.

(50) The processing of personal data for purposes other than those for which the personal data were initially collected should be allowed only where the processing is compatible with the purposes for which the personal data were initially collected. In such a case, no legal basis separate from that which allowed the collection of the personal data is required. If the processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, Union or Member State law may determine and specify the tasks and purposes for which the further processing should be regarded as compatible and lawful. Further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes should be considered to be compatible lawful processing operations. The legal basis provided by Union or Member State law for the processing of personal data may also provide a legal basis for further processing. In order to ascertain whether a purpose of further processing is compatible with the purpose for which the personal data are initially collected, the controller, after having met all the requirements for the lawfulness of the original processing, should take into account, inter alia: any link between those purposes and the purposes of the intended further processing; the context in which the personal data have been collected, in particular the reasonable expectations of data subjects based on their relationship with the controller as to their further use; the nature of the personal data; the consequences of the intended further processing for data subjects; and the existence of appropriate safeguards in both the original and intended further processing operations.

컨트롤러가 목적의 양립가능 여부와 상관없이 해당 개인정보를 추가적으로 처리할 수 있는 경우가 있는데, 첫째, 정보주체가 동의하였거나, 둘째, 민주사회에서의 일반적 공익의 중요한 목표를 보호하는데 필수적이고 비례적인 조치를 구성하는 유럽연합 또는 회원국 법률에 근거하여 처리가 이루어지는 경우이다. 어떤 경우에서도 본 규정이 정한 원칙을 준수하여야 하며, 추가 처리 목적과 더불어 (처리) 반대권 등 정보주체의 권리를 정보주체에게 통보하여야 한다. 컨트롤러가 발생 가능한 범죄행위나 공안의 위협을 입증하고 동일한 범죄행위나 위협에 관한 개별 또는 복수의 사례에서 관련 개인정보를 관계 당국에 전송하는 것은 컨트롤러가 추구하는 정당한 이익으로 간주되어야 한다. 그러나 해당 정보처리가 법적, 직무상 또는 기타 구속력 있는 기밀유지의 의무와 양립하지 않는 경우, 컨트롤러의 정당한 이익을 위한 정보의 전송 및 추가 처리는 금지되어야 한다.

Where the data subject has given consent or the processing is based on Union or Member State law which constitutes a necessary and proportionate measure in a democratic society to safeguard, in particular, important objectives of general public interest, the controller should be allowed to further process the personal data irrespective of the compatibility of the purposes. In any case, the application of the principles set out in this Regulation and in particular the information of the data subject on those other purposes and on his or her rights including the right to object, should be ensured. Indicating possible criminal acts or threats to public security by the controller and transmitting the relevant personal data in individual cases or in several cases relating to the same criminal act or threats to public security to a competent authority should be regarded as being in the legitimate interest pursued by the controller. However, such transmission in the legitimate interest of the controller or further processing of personal data should be prohibited if the processing is not compatible with a legal, professional or other binding obligation of secrecy.

(155) 회원국 법률 또는 ‘업무 협정서’ 등 단체 협약은 고용 환경에서 피고용인의 개인정보의 처리에 대해 특정 규정을 규정할 수 있고, 특히 고용 환경에서 개인정보가 피고용인의 동의, 고용 목적, 법률이나 단체 협약이 규정한 채무이행 등 고용 계약의 이행, 업무의 관리·계획·조직, 직장 내의 평등·다양성, 업무상의 건강·안전을 근거로 처리되고, 개별 또는 단체적 차원에서 고용과 관련한 권리 및 혜택을 행사하기 위한 목적으로 처리되며, 고용 관계의 종결을 목적으로 처리되는 조건을 규정할 수 있다.

(155) Member State law or collective agreements, including ‘works agreements’, may provide for specific rules on the processing of employees' personal data in the employment context, in particular for the conditions under which personal data in the employment context may be processed on the basis of the consent of the employee, the purposes of the recruitment, the performance of the contract of employment, including discharge of obligations laid down by law or by collective agreements, management, planning and organisation of work, equality and diversity in the workplace, health and safety at work, and for the purposes of the exercise and enjoyment, on an individual or collective basis, of rights and benefits related to employment, and for the purpose of the termination of the employment relationship.

지침 및 사례 법률 관련 교과서 코멘트를 남겨주세요
[js-disqus]