항해
GDPR > 제7조. 동의의 조건
다운로드 PDF

제7조 GDPR. 동의의 조건

Article 7 GDPR. Conditions for consent

1. 처리가 동의를 기반으로 이루어지는 경우, 컨트롤러는 정보주체가 본인의 개인정보 처리에 동의하였음을 입증할 수 있어야 한다.

1. Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data.

관련 교과서

2. 정보주체의 동의가 기타의 사안과도 관련된 서면의 진술서로 제공되는 경우, 동의 요청은 그 기타의 사안과 분명히 구별되는 방식으로, 이해하기 쉽고 입수가 용이한 형태로, 명확하고 평이한 문구를 사용한 방식으로 제시되어야 한다. 진술서의 어느 부분이라도 본 규정을 위반하는 경우 그 구속력이 인정되지 않는다.

2. If the data subject’s consent is given in the context of a written declaration which also concerns other matters, the request for consent shall be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language. Any part of such a declaration which constitutes an infringement of this Regulation shall not be binding.

전문 (Recitals)

(42) 처리가 정보주체의 동의에 근거하는 경우, 컨트롤러는 정보주체가 처리 방식에 대해 동의를 제공하였음을 입증할 수 있어야 한다. 특히 처리되는 사안이 아닌 다른 사안에 대해 서면 진술로 동의하는 경우, 안전장치를 통해 정보주체가 동의가 제공되었다는 사실과 어느 범위까지 동의가 제공되는지에 대해 인지하도록 해야 한다. 유럽이사회 지침 93/13/EEC1에 따라 [10], 컨트롤러가 사전에 작성한 동의 진술서는 명확하고 평이한 언어를 사용하여 이해할 수 있고 열람이 용이하여야 하며 불공정한 용어를 포함해서는 안 된다. 동의 내용을 인지한 동의가 되기 위해 정보주체는 최소한 컨트롤러의 신원과 예정된 개인정보 처리 목적에 대해 인지하고 있어야 한다. 정보주체가 진정으로 또는 자유 선택으로 동의하지 않았거나, 불이익 없이 동의를 거절하거나 철회할 수 없는 경우에는 해당 동의는 자유롭게 제공된 것이라고 간주되지 않는다.

(42) Where processing is based on the data subject's consent, the controller should be able to demonstrate that the data subject has given consent to the processing operation. In particular in the context of a written declaration on another matter, safeguards should ensure that the data subject is aware of the fact that and the extent to which consent is given. In accordance with Council Directive 93/13/EEC [10] a declaration of consent pre-formulated by the controller should be provided in an intelligible and easily accessible form, using clear and plain language and it should not contain unfair terms. For consent to be informed, the data subject should be aware at least of the identity of the controller and the purposes of the processing for which the personal data are intended. Consent should not be regarded as freely given if the data subject has no genuine or free choice or is unable to refuse or withdraw consent without detriment.

[10] Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts (OJ L 95, 21.4.1993, p. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

[10] Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts (OJ L 95, 21.4.1993, p. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

관련 교과서

3. 정보주체는 언제든지 본인의 동의를 철회할 권리를 가진다. 동의의 철회는 철회 이전에 동의를 기반으로 한 처리의 적법성에 영향을 미치지 않는다. 정보주체는 동의를 제공하기 전에 이 사실에 대해 고지 받아야 한다. 동의의 철회는 동의의 제공만큼 용이해야 한다.

3. The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. Prior to giving consent, the data subject shall be informed thereof. It shall be as easy to withdraw as to give consent.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 7(3) GDPR:

7.3.4 Providing mechanism to modify or withdraw consent

Control

The organization should provide a mechanism for PII principals to modify or withdraw their consent.

Implementation guidance

The organization should inform PII principals of their rights related to withdrawing consent (which may vary by jurisdiction) at any time, and provide the mechanism to do so.


전체 텍스트에 액세스하려면

관련 교과서

4. 동의가 자유롭게 제공되는지 여부를 평가할 때, 무엇보다 서비스 제공 등의 계약의 이행이 해당 계약의 이행에 필요하지 않은 개인정보의 처리에 대한 동의를 조건으로 하는지 여부를 최대한 고려해야 한다.

4. When assessing whether consent is freely given, utmost account shall be taken of whether, inter alia, the performance of a contract, including the provision of a service, is conditional on consent to the processing of personal data that is not necessary for the performance of that contract.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 7(4) GDPR:

8.2.3 Marketing and advertising use

Control

The organization should not use PII processed under a contract for the purposes of marketing and advertising without establishing that prior consent was obtained from the appropriate PII principal.


전체 텍스트에 액세스하려면

전문 (Recitals)

(43) 동의가 자유롭게 제공되도록 하기 위해서는, 정보주체와 컨트롤러 간의 명백한 불균형이 존재하는 특정 상황과 같은 경우에는 동의가 유효한 법적 근거가 되지 않으며, 특히 컨트롤러가 공공기관임으로 인해 그 특정 상황의 모든 정황에서 동의가 자유롭게 제공되었을 것이라 예상되지 않는 경우에는 더욱 그러하다. 서로 다른 개인정보 처리 작업에 개별 동의를 제공하는 것이 개별 사례에서 적절함에도 불구하고 그렇게 할 수 없는 경우 또는 서비스 제공 등의 계약의 이행이 동의 없이 이루어질 수 있음에도 불구하고 동의에 근거하여 진행되는 경우 동의는 자유롭게 제공된 것이 아니라고 간주된다.

(43) In order to ensure that consent is freely given, consent should not provide a valid legal ground for the processing of personal data in a specific case where there is a clear imbalance between the data subject and the controller, in particular where the controller is a public authority and it is therefore unlikely that consent was freely given in all the circumstances of that specific situation. Consent is presumed not to be freely given if it does not allow separate consent to be given to different personal data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service, is dependent on the consent despite such consent not being necessary for such performance.

관련 교과서
전문가 해설 ISO 27701 전문 (Recitals) 지침 및 사례 법률 코멘트를 남겨주세요
전문가 해설

(EN) A controller relying on consent as a legal basis to collect, store or use data should respect the basic principles stated in article 4 (11), which provides a legal definition of the notion, and always make sure that it meets the additional conditions listed in article 7. A person must supply a “freely given” consent, distinct from other related matters, and s/he should be offered a “genuine choice” between accepting or refusing to provide it without having to suffer any negative consequences (Guidelines on Consent and recital 42). It is also essential to offer a person full control over her/his consent, including the possibility to withdraw it at any time, and to keep adequate records of consents.


전체 텍스트에 액세스하려면

Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert

(EN)

Data Subject Request Letter Sample

Concern: Withdrawal of consent to process my personal data

Dear Madam, Dear Sir,

You are currently processing my personal data based on my consent…


전체 텍스트에 액세스하려면

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to articles 7(1) and 7(2) GDPR:

7.2.4 Obtain and record consent

Control

The organization should obtain and record consent from PII principals according to the documented processes.

Implementation guidance

The organization should obtain and record consent from PII principals in such a way that it can provide on request details of the consent provided (for example the time that consent was provided, the identification of the PII principal, and the consent statement).


전체 텍스트에 액세스하려면

전문 (Recitals)

(32) 동의는 전자적 방식 등 서면 진술 또는 구두 진술 등으로, 정보주체가 본인과 관련한 개인정보의 처리에 대해 자발적이고 구체적이며 동의 내용에 대해 인지하는 분명한 합의를 나타내는 명확하고 적극적인 행위로써 제공되어야 한다. 인터넷 웹사이트의 개인정보 처리동의란 체크, 정보사회서비스에 대한 기술적 설정 선택 또는 본인의 개인정보 처리 수락을 의미하는 정보주체의 행동이나 기타 진술이 이에 포함된다. 따라서 침묵, 사전 자동 체크된 개인정보처리 동의나 부작위는 동의에 해당되지 않는다. 동의는 단일 또는 복수의 동일한 목적을 위한 모든 처리 활동에 유효하다. 복수의 목적으로 개인정보를 처리하는 경우, 각 목적에 대한 동의를 받아야 한다. 만약 정보주체의 동의를 전자방식의 요청에 따라 제공하는 경우, 그 요청은 명확하고 간결하게 제공되어야 하며, 관련 서비스 이용을 불필요하게 방해해서는 안 된다.

(32) Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject's agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement. This could include ticking a box when visiting an internet website, choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of his or her personal data. Silence, pre-ticked boxes or inactivity should not therefore constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes, consent should be given for all of them. If the data subject's consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.

(33) 과학적 연구 목적의 경우, 개인정보 수집 당시에 개인정보 처리 목적을 충분히 확인하기가 불가능할 때가 많다. 따라서 정보주체는 과학적 연구의 공인 윤리 기준에 부합된 경우, 특정 연구 분야에 한해 동의를 제공할 수 있다. 정보주체는 의도한 처리 목적이 허용하는 선에서 특정 연구 분야 혹은 연구 일부분에 한해 본인의 동의를 제공할 수 있어야 한다.

(33) It is often not possible to fully identify the purpose of personal data processing for scientific research purposes at the time of data collection. Therefore, data subjects should be allowed to give their consent to certain areas of scientific research when in keeping with recognised ethical standards for scientific research. Data subjects should have the opportunity to give their consent only to certain areas of research or parts of research projects to the extent allowed by the intended purpose.

(42) 처리가 정보주체의 동의에 근거하는 경우, 컨트롤러는 정보주체가 처리 방식에 대해 동의를 제공하였음을 입증할 수 있어야 한다. 특히 처리되는 사안이 아닌 다른 사안에 대해 서면 진술로 동의하는 경우, 안전장치를 통해 정보주체가 동의가 제공되었다는 사실과 어느 범위까지 동의가 제공되는지에 대해 인지하도록 해야 한다. 유럽이사회 지침 93/13/EEC1에 따라 [10], 컨트롤러가 사전에 작성한 동의 진술서는 명확하고 평이한 언어를 사용하여 이해할 수 있고 열람이 용이하여야 하며 불공정한 용어를 포함해서는 안 된다. 동의 내용을 인지한 동의가 되기 위해 정보주체는 최소한 컨트롤러의 신원과 예정된 개인정보 처리 목적에 대해 인지하고 있어야 한다. 정보주체가 진정으로 또는 자유 선택으로 동의하지 않았거나, 불이익 없이 동의를 거절하거나 철회할 수 없는 경우에는 해당 동의는 자유롭게 제공된 것이라고 간주되지 않는다.

(42) Where processing is based on the data subject's consent, the controller should be able to demonstrate that the data subject has given consent to the processing operation. In particular in the context of a written declaration on another matter, safeguards should ensure that the data subject is aware of the fact that and the extent to which consent is given. In accordance with Council Directive 93/13/EEC [10] a declaration of consent pre-formulated by the controller should be provided in an intelligible and easily accessible form, using clear and plain language and it should not contain unfair terms. For consent to be informed, the data subject should be aware at least of the identity of the controller and the purposes of the processing for which the personal data are intended. Consent should not be regarded as freely given if the data subject has no genuine or free choice or is unable to refuse or withdraw consent without detriment.

[10] Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts (OJ L 95, 21.4.1993, p. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

[10] Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts (OJ L 95, 21.4.1993, p. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

(43) 동의가 자유롭게 제공되도록 하기 위해서는, 정보주체와 컨트롤러 간의 명백한 불균형이 존재하는 특정 상황과 같은 경우에는 동의가 유효한 법적 근거가 되지 않으며, 특히 컨트롤러가 공공기관임으로 인해 그 특정 상황의 모든 정황에서 동의가 자유롭게 제공되었을 것이라 예상되지 않는 경우에는 더욱 그러하다. 서로 다른 개인정보 처리 작업에 개별 동의를 제공하는 것이 개별 사례에서 적절함에도 불구하고 그렇게 할 수 없는 경우 또는 서비스 제공 등의 계약의 이행이 동의 없이 이루어질 수 있음에도 불구하고 동의에 근거하여 진행되는 경우 동의는 자유롭게 제공된 것이 아니라고 간주된다.

(43) In order to ensure that consent is freely given, consent should not provide a valid legal ground for the processing of personal data in a specific case where there is a clear imbalance between the data subject and the controller, in particular where the controller is a public authority and it is therefore unlikely that consent was freely given in all the circumstances of that specific situation. Consent is presumed not to be freely given if it does not allow separate consent to be given to different personal data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service, is dependent on the consent despite such consent not being necessary for such performance.

지침 및 사례 법률 코멘트를 남겨주세요