항해
GDPR > 제9조. 특별 범주의 개인정보의 처리
다운로드 PDF

제9조 GDPR. 특별 범주의 개인정보의 처리

Article 9 GDPR. Processing of special categories of personal data

1. 인종 또는 민족, 정치적 견해, 종교적 또는 철학적 신념, 노동조합의 가입여부를 나타내는 개인정보의 처리와 유전자 정보, 자연인을 고유하게 식별할 목적의 생체정보, 건강정보, 성생활 또는 성적 취향에 관한 정보의 처리는 금지된다.

1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.

지침 및 사례 법률 전문 (Recitals)

(51) 본질적으로 기본권과 자유와 관련해 특히 민감한 개인정보는 그 처리가 기본권 및 자유에 중대한 위험을 초래할 수 있기 때문에 특정한 보호를 받아야 한다. 이러한 정보에는 인종 또는 민족출신을 드러나는 개인정보도 포함되어야 하나, 본 규정에서 ‘인종출신’이라는 용어를 사용한다고 하여 유럽연합이 서로 다른 인종이 존재한다고 단정 지으려는 이론을 용인한다는 의미는 아니다. 사진의 처리는 개인을 고유하게 식별하거나 인증할 수 있는 특정 기술 수단을 통해 처리될 시에만 생체정보의 정의에 해당되기 때문에, 체계적으로는 특별 범주의 개인정보 처리로 분류되지 않는다. 그 개인정보는 회원국의 법률이 공익을 위하거나 컨트롤러에 부여된 공적 권한 행사에 따른 직무 수행 또는 법적 의무의 준수를 위해 본 규정의 규칙 적용을 변경하고자 데이터 보호에 관한 특정 조문을 규정할 수 있다는 사실을 고려하여 본 규정에 명시된 특정 상황에서 허용되지 않는다면 처리되어서는 안 된다. 그 처리에 대한 특정 요건과 더불어, 본 규정의 통칙 및 기타 규칙은 특히 적법한 처리를 위한 조건과 관련하여 적용되어야 한다. 그 같은 특별 범주의 개인정보 처리를 일반적으로 금지하는 것에 대한 적용제외는 명시적으로 제공되어야 하고, 특히 정보주체가 명백한 동의를 제공한 경우나 특히 기본적 자유 행사를 허용할 목적으로 특정 재단 또는 협회가 행하는 정당한 활동 중에 처리가 이루어지는 경우의 특정 요구조건과 관련하여 더욱 그러하다.

(51) Personal data which are, by their nature, particularly sensitive in relation to fundamental rights and freedoms merit specific protection as the context of their processing could create significant risks to the fundamental rights and freedoms. Those personal data should include personal data revealing racial or ethnic origin, whereby the use of the term ‘racial origin’ in this Regulation does not imply an acceptance by the Union of theories which attempt to determine the existence of separate human races. The processing of photographs should not systematically be considered to be processing of special categories of personal data as they are covered by the definition of biometric data only when processed through a specific technical means allowing the unique identification or authentication of a natural person. Such personal data should not be processed, unless processing is allowed in specific cases set out in this Regulation, taking into account that Member States law may lay down specific provisions on data protection in order to adapt the application of the rules of this Regulation for compliance with a legal obligation or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. In addition to the specific requirements for such processing, the general principles and other rules of this Regulation should apply, in particular as regards the conditions for lawful processing. Derogations from the general prohibition for processing such special categories of personal data should be explicitly provided, inter alia, where the data subject gives his or her explicit consent or in respect of specific needs in particular where the processing is carried out in the course of legitimate activities by certain associations or foundations the purpose of which is to permit the exercise of fundamental freedoms.

2. 다음 각 호의 하나에 해당하는 경우 제1항은 적용되지 않는다.

2. Paragraph 1 shall not apply if one of the following applies:

전문 (Recitals)

(52) 특별 범주의 개인정보 처리를 금지하는 것에 대한 적용제외는 유럽연합 또는 회원국 법률에 규정이 되어있고 적절한 안전장치에 따를 경우 개인정보 및 기타 기본권 보호를 위해 허용되어 한다. 특히 공익을 위한 경우로서, 고용법, 연금 및 의료보장 등의 사회적 보호 법률, 감시 및 경계 목적, 전염병 및 기타 건강에 대한 중대한 위협을 예방하거나 통제하려는 경우의 개인정보 처리에 대해서 특히 적용제외가 허용이 되어야 한다. 그 같은 적용제외는 공중보건, 의료 서비스 관리 등의 보건 목적을 위해 허용될 수 있으며, 특히 건강보험 제도상 수당 및 서비스 청구에 사용되는 절차의 품질 및 비용의 효율성을 보장하기 위해서나 공익적 기록보존 목적, 과학적 및 역사적 연구 목적 또는 통계 목적을 위해 허용될 수 있다. 적용제외는 또한 법적 청구권(legal claims)의 입증, 행사 또는 방어 시 필요한 경우 ‘법정 소송절차, 행정절차 또는 법원 외 절차인지 여부에 관계없이’ 그러한 특별 범주의 개인정보 처리를 허용하여야 한다.

(52) Derogating from the prohibition on processing special categories of personal data should also be allowed when provided for in Union or Member State law and subject to suitable safeguards, so as to protect personal data and other fundamental rights, where it is in the public interest to do so, in particular processing personal data in the field of employment law, social protection law including pensions and for health security, monitoring and alert purposes, the prevention or control of communicable diseases and other serious threats to health. Such a derogation may be made for health purposes, including public health and the management of health-care services, especially in order to ensure the quality and cost-effectiveness of the procedures used for settling claims for benefits and services in the health insurance system, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. A derogation should also allow the processing of such personal data where necessary for the establishment, exercise or defence of legal claims, whether in court proceedings or in an administrative or out-of-court procedure.

(53) 더 높은 수준의 보호를 받아야 하는 특별 범주의 개인정보는 개인 및 사회 전반의 이익을 위한 목적 달성에 필요한 건강 관련 목적으로만 처리되어야 하며, 특히 품질관리, 관리정보, 의료서비스 및 사회보장 제도에 대한 국가와 지역차원의 감독 목적, 의료서비스나 사회보장의 지속성 및 국가간 의료서비스나 의료보장 달성의 목적, 모니터링 및 경계 목적이나 공익적 목표를 달성해야 하는 유럽연합 또는 회원국 법률에 근거한 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적이나 통계 목적을 위해, 그리고 공중보건 부문의 공익을 위한 연구를 위해 경영진 및 중앙 보건당국이 그 같은 데이터를 처리하는 등 의료서비스 또는 사회보장서비스·제도를 관리하는 경우에서 개인과 사회 전체의 이익을 위해 그 목적 달성이 필요한 경우가 그러하다. 따라서 본 규정은 특히 직무상의 법적 기밀유지 의무가 보장되는 상황에서 개인이 특정의 건강 관련 목적으로 건강에 관한 특별 범주의 개인정보를 처리하는 경우, 특정 니즈(needs)를 고려하여, 그 같은 처리에 대한 조화로운 여건을 제공하여야 한다. 유럽연합 또는 회원국 법률은 개인의 기본권 및 개인정보를 보호하기 위한 구체적이고 적절한 조치를 규정하여야 한다. 회원국은 유전 정보, 생체 정보 또는 건강에 관한 데이터의 처리와 관련하여 제한 등 추가적 조건을 유지하거나 도입할 수 있어야 한다. 그러나 회원국 간에 이루어지는 그 같은 처리에 상기 조건이 적용될 시 유럽연합 역내의 자유로운 개인정보 이동이 방해를 받아서는 안 된다.

(53) Special categories of personal data which merit higher protection should be processed for health-related purposes only where necessary to achieve those purposes for the benefit of natural persons and society as a whole, in particular in the context of the management of health or social care services and systems, including processing by the management and central national health authorities of such data for the purpose of quality control, management information and the general national and local supervision of the health or social care system, and ensuring continuity of health or social care and cross-border healthcare or health security, monitoring and alert purposes, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, based on Union or Member State law which has to meet an objective of public interest, as well as for studies conducted in the public interest in the area of public health. Therefore, this Regulation should provide for harmonised conditions for the processing of special categories of personal data concerning health, in respect of specific needs, in particular where the processing of such data is carried out for certain health-related purposes by persons subject to a legal obligation of professional secrecy. Union or Member State law should provide for specific and suitable measures so as to protect the fundamental rights and the personal data of natural persons. Member States should be allowed to maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health. However, this should not hamper the free flow of personal data within the Union when those conditions apply to cross-border processing of such data.

(54) 특별 범주의 개인정보 처리는 정보주체의 동의 없이 공중보건 분야에서 공익상의 이유로 필요할 수 있다. 그 처리는 개인의 권리와 자유를 보호하기 위해 적절하고 구체적인 조치를 적용받아야 한다. 그러한 맥락에서 ‘공중보건’은 유럽의회와 각료이사회의 규정(EC) No1338/2008에 정의된 대로 해석되어야 하며 [11], 이는 건강과 관련된 모든 요소로서 질병 상태나 장애 등의 건강상태, 그 건강상태에 영향을 미치는 결정적 요소, 의료서비스의 필요, 의료서비스에 할당된 자원, 의료서비스 지출 및 재정 조달을 비롯한 의료서비스 제공 및 보편적 이용, 그리고 사망 원인 등을 가리킨다. 공익적 사유의 그 같은 건강 관련 개인정보의 처리로 인해 고용인 또는 보험사, 그리고 금융사 등 제3자가 기타 목적으로 개인정보를 처리하는 결과가 초래되어서는 안 된다.

(54) The processing of special categories of personal data may be necessary for reasons of public interest in the areas of public health without consent of the data subject. Such processing should be subject to suitable and specific measures so as to protect the rights and freedoms of natural persons. In that context, ‘public health’ should be interpreted as defined in Regulation (EC) No 1338/2008 of the European Parliament and of the Council [11], namely all elements related to health, namely health status, including morbidity and disability, the determinants having an effect on that health status, health care needs, resources allocated to health care, the provision of, and universal access to, health care as well as health care expenditure and financing, and the causes of mortality. Such processing of data concerning health for reasons of public interest should not result in personal data being processed for other purposes by third parties such as employers or insurance and banking companies.

[11] Regulation (EC) No 1338/2008 of the European Parliament and of the Council of 16 December 2008 on Community statistics on public health and health and safety at work (OJ L 354, 31.12.2008, p. 70). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2008:354:TOC

[11] Regulation (EC) No 1338/2008 of the European Parliament and of the Council of 16 December 2008 on Community statistics on public health and health and safety at work (OJ L 354, 31.12.2008, p. 70). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2008:354:TOC

(55) 또한 헌법이나 국제공법에 규정된 공인된 종교단체의 목표를 달성할 목적으로 공공당국이 실시하는 개인정보의 처리는 공익을 근거로 시행된다.

(55) Moreover, the processing of personal data by official authorities for the purpose of achieving the aims, laid down by constitutional law or by international public law, of officially recognised religious associations, is carried out on grounds of public interest.

(56) 선거활동 중 회원국 내 민주주의 제도의 작동을 위해 정당이 개인의 정견에 대한 개인정보를 축적하도록 요구되는 경우, 적절한 안전조치가 수립되는 한, 공익의 사유로 그 같은 데이터의 처리가 허용될 수 있다.

(56) Where in the course of electoral activities, the operation of the democratic system in a Member State requires that political parties compile personal data on people's political opinions, the processing of such data may be permitted for reasons of public interest, provided that appropriate safeguards are established.

(a) 정보주체가 단일 또는 복수의 특정한 목적으로 특별 범주의 개인정보를 처리하는 데 명백한 동의를 제공한 경우. 단, 유럽연합 또는 회원국 법률이 정보주체가 제1항의 금지조항을 무효화할 수 없다고 명시적으로 규정하는 경우는 제외된다.

(a) the data subject has given explicit consent to the processing of those personal data for one or more specified purposes, except where Union or Member State law provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject;

전문가 해설
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 9(2)(a) GDPR:

7.2.4 Obtain and record consent

Control

The organization should obtain and record consent from PII principals according to the documented processes.

Implementation guidance

The organization should obtain and record consent from PII principals in such a way that it can provide on request details of the consent provided (for example the time that consent was provided, the identification of the PII principal, and the consent statement).


전체 텍스트에 액세스하려면

관련 교과서

(b) 고용, 사회보장, 사회보호법 분야에서 컨트롤러나 정보주체의 의무를 이행하고 특정 권리를 행사하기 위한 목적으로 처리가 필요한 경우. 단, 그 처리는 유럽연합 또는 회원국 법률이나 정보주체의 기본적 권리 및 이익에 대한 적절한 안전조치를 규정하는 회원국 법률에 따라 체결된 단체협약에 의해 승인되어야 한다.

(b) processing is necessary for the purposes of carrying out the obligations and exercising specific rights of the controller or of the data subject in the field of employment and social security and social protection law in so far as it is authorised by Union or Member State law or a collective agreement pursuant to Member State law providing for appropriate safeguards for the fundamental rights and the interests of the data subject;

전문가 해설
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert

(c) 정보주체가 신체적으로 또는 법률적으로 동의를 제공할 수 없는 경우로서 정보주체 또는 제3자의 생명의 이익을 보호하는 데 처리가 필요한 경우

(c) processing is necessary to protect the vital interests of the data subject or of another natural person where the data subject is physically or legally incapable of giving consent;

전문가 해설
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert

(d) 정치적, 철학적, 종교적 또는 노동조합의 목적을 지닌 재단, 협회, 기타 비영리기관이 적절한 안전조치를 갖추어 수행하는 합법적인 활동의 과정에서 개인정보를 처리하는 경우로서, 해당 처리가 그 목적에 맞게 관련 기관의 회원 또는 이전 회원 또는 관련 기관과 정기적으로 접촉하는 자에 한하여 이루어지고, 정보주체의 동의 없이 이러한 개인정보를 기관 외부에 제공하지 않는다는 조건에 따라 수행되는 경우

(d) processing is carried out in the course of its legitimate activities with appropriate safeguards by a foundation, association or any other not-for-profit body with a political, philosophical, religious or trade union aim and on condition that the processing relates solely to the members or to former members of the body or to persons who have regular contact with it in connection with its purposes and that the personal data are not disclosed outside that body without the consent of the data subjects;

전문가 해설
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert

(e) 정보주체가 명백히 공개한 개인정보와 관련된 처리인 경우

(e) processing relates to personal data which are manifestly made public by the data subject;

전문가 해설

(EN) The European legislator introduced an exception – for special categories of personal data which are manifestly made public by a person – that seems completely logical at first glance. If a person willingly shares her/his data, it sounds reasonable to allow the processing of these data by third parties. On second thought, many questions come to mind. What does “manifestly” mean? When are data “public”? How to determine if a person intended to make her/his data public?

The exception does not concern all special categories of data publicly available. It applies strictly to data that an individual personally disclosed. It must be a publication that results from a clear and voluntary decision from an individual to disclose information about her/him. It should not be an accidental, inadvertent, involuntary or unintentional disclosure. It should be the result of a free and deliberate decision. The individual must be fully conscious that s/he made her/his data public. Thus, it excludes leaked data, data accessible after a security breach or data shared unintentionally or by inadvertence…


전체 텍스트에 액세스하려면

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
지침 및 사례 법률

(f) 법적 권리의 확립, 행사, 방어를 위하거나 법원이 사법권을 행사할 때마다 처리가 필요한 경우

(f) processing is necessary for the establishment, exercise or defence of legal claims or whenever courts are acting in their judicial capacity;

전문가 해설
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert

(g) 추구하는 목표에 비례하도록 유럽연합 또는 회원국 법률에 근거하여 상당한 공익상의 이유로 처리가 필요한 경우와 개인정보 보호권의 본질을 존중하고 정보주체의 기본적 권리 및 이익을 보호하기 위해 적절하고 구체적인 조치를 제공하는 경우

(g) processing is necessary for reasons of substantial public interest, on the basis of Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject;

전문가 해설
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert

(h) 예방의학 또는 직업의학의 목적으로 처리가 필요한 경우 및 피고용인의 업무능력 평가, 의학적 진단, 의료서비스 또는 사회복지 또는 치료의 제공, 또는 유럽연합 또는 회원국 법률에 근거하거나 의료전문가와의 계약에 의거하고 제3항의 조건 및 안전조치에 따라 의료 또는 사회복지 제도나 서비스의 관리를 위해 처리가 필요한 경우

(h) processing is necessary for the purposes of preventive or occupational medicine, for the assessment of the working capacity of the employee, medical diagnosis, the provision of health or social care or treatment or the management of health or social care systems and services on the basis of Union or Member State law or pursuant to contract with a health professional and subject to the conditions and safeguards referred to in paragraph 3;

전문가 해설
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
지침 및 사례 법률

(i) 회원국 간의 중대한 건강 위협으로부터 보호하거나 의료서비스•의약품•의료장비의 높은 품질과 안정성을 보장하는 등 공중보건 분야에서 공익상의 이유로, 특히 직무상의 기밀 등 정보주체의 권리와 자유를 보호하기 위해 적절하고 구체적인 조치를 규정하는 유럽연합 또는 회원국 법률에 근거하여 처리가 필요한 경우

(i) processing is necessary for reasons of public interest in the area of public health, such as protecting against serious cross-border threats to health or ensuring high standards of quality and safety of health care and of medicinal products or medical devices, on the basis of Union or Member State law which provides for suitable and specific measures to safeguard the rights and freedoms of the data subject, in particular professional secrecy;

전문가 해설
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
지침 및 사례 법률

(j) 추구하는 목적에 비례하고, 개인정보 보호권의 본질을 존중하며, 정보주체의 기본적 권리 및 이익을 보호하기 위해 적절하고 구체적인 조치를 제공하는 유럽연합 또는 회원국 법률에 근거하여, 제89조(1)에 따라 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적, 또는 통계적 목적을 위해 처리가 필요한 경우.

(j) processing is necessary for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) based on Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject.

전문가 해설
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
지침 및 사례 법률 관련 교과서

3. 제1항의 개인정보는 제2항 (h)호의 목적을 위해 처리될 수 있는데, 유럽연합 또는 회원국 법률이나 관련 국가기관이 제정한 규정에 따라 직무상 기밀 유지의 의무가 있는 전문가의 책임에 의하거나 책임 하에서 해당 개인정보가 처리되는 경우나, 유럽연합 또는 회원국 법률이나 관련 국가기관이 수립한 규정에 따라 기밀 유지의 의무가 있는 제3자에 의해 해당 개인정보가 처리되는 경우와 같은 때이다.

3. Personal data referred to in paragraph 1 may be processed for the purposes referred to in point (h) of paragraph 2 when those data are processed by or under the responsibility of a professional subject to the obligation of professional secrecy under Union or Member State law or rules established by national competent bodies or by another person also subject to an obligation of secrecy under Union or Member State law or rules established by national competent bodies.

4. 회원국은 유전정보, 생체정보 또는 건강에 관한 정보에 대하여 제한 등의 추가 조건을 유지하거나 도입할 수 있다.

4. Member States may maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health.

전문가 해설 ISO 27701 전문 (Recitals) 지침 및 사례 법률 코멘트를 남겨주세요
전문가 해설

(EN) Some personal data, because of their sensitive nature, belong to special categories in the General Data Protection Regulation. Processing data mentioned in one of these eight (8) categories poses indeed “significant risks to the fundamental rights and freedoms” of an individual (recital 51). Risks vary depending on the type of data involved. Paragraph one of article 9 enumerates all types of data covered, but they are not readily intelligible. A visual list, broken down into eight points, helps to clarify the scope of the provision and what data are considered “special” by the European regulation:

  1. data disclosing racial or ethnic origin;
  2. data divulging political opinions;
  3. data revealing religious or philosophical beliefs;
  4. data about trade union membership;
  5. genetic data;
  6. biometric data used to identify a person;
  7. data concerning health; and
  8. data relating to a person’s sex life or sexual orientation.

The list must be considered exhaustive as exceptions must be interpreted strictly, so it means that no other exception can be admitted by the Court of Justice of the European Union or by Member States’ legislation. Personal data relating to criminal convictions and offences are not mentioned in this list because they fall under a different legal regime (article 10).

The “special categories of personal data” are treated distinctively mainly to protect individuals from discrimination (recital 71). Their processing might also lead to physical, material or non-material damage, including identity theft, fraud, harm to one’s reputation or breach of professional secrecy (recital 75).

Racial or ethnic origin related data include names, places of birth, native languages, and even extend to the names of an individual’s parents. They are considered sensitive because they may reveal a person’s origin or her/his ethnicity.

Political opinions can be inferred from activities revealing an individual’s political inclination, like membership in a political party, petitions s/he signed or events, meetings or protests s/he attempted. They include information reflecting ideas s/he supports as well as the ones s/he rejects or opposes to.

Data revealing an individual’s practice of a religion or interest in it – like attempting church, buying religious books, participating in religious-related events or demonstrations – may give a glue to a person’s religious affiliation or her/his absence of religious conviction. It is more difficult to determine what philosophical beliefs are. An example taken from an English case law indicates that it is essentially a genuinely held belief that concerns a substantial aspect of human life and behaviour and it is worthy of respect in a democratic society (Grainger Plc v. Nicholson).

The special protection granted to trade union membership information is based on the logic of fundamental rights in the labor environment. It protects individuals from discrimination at work, as a potential consequence of their union activities, and preserves their collective bargaining power among other rights.

Analysis of biological samples provides information about a person’s “inherited or acquired genetic characteristics” [recital 34 and article 4 (13)]. The resulting genetic data may give information about a person’s origin, ethnicity, physiology or health, as some health problems find their cause in abnormalities in the human genome.

Biometric data are information obtained from different measurements of a person’s “physical, physiological or behavioural characteristics” [article 4 (14)]. They serve to uniquely identify an individual, like fingerprints, iris patterns, facial attributes or voice modulation. A photograph is not always classified as biometric data, it is only considered so when its processing reveals characteristics allowing a person to be uniquely identified (recital 51).


전체 텍스트에 액세스하려면

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 9 GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.


전체 텍스트에 액세스하려면

전문 (Recitals)

(51) 본질적으로 기본권과 자유와 관련해 특히 민감한 개인정보는 그 처리가 기본권 및 자유에 중대한 위험을 초래할 수 있기 때문에 특정한 보호를 받아야 한다. 이러한 정보에는 인종 또는 민족출신을 드러나는 개인정보도 포함되어야 하나, 본 규정에서 ‘인종출신’이라는 용어를 사용한다고 하여 유럽연합이 서로 다른 인종이 존재한다고 단정 지으려는 이론을 용인한다는 의미는 아니다. 사진의 처리는 개인을 고유하게 식별하거나 인증할 수 있는 특정 기술 수단을 통해 처리될 시에만 생체정보의 정의에 해당되기 때문에, 체계적으로는 특별 범주의 개인정보 처리로 분류되지 않는다. 그 개인정보는 회원국의 법률이 공익을 위하거나 컨트롤러에 부여된 공적 권한 행사에 따른 직무 수행 또는 법적 의무의 준수를 위해 본 규정의 규칙 적용을 변경하고자 데이터 보호에 관한 특정 조문을 규정할 수 있다는 사실을 고려하여 본 규정에 명시된 특정 상황에서 허용되지 않는다면 처리되어서는 안 된다. 그 처리에 대한 특정 요건과 더불어, 본 규정의 통칙 및 기타 규칙은 특히 적법한 처리를 위한 조건과 관련하여 적용되어야 한다. 그 같은 특별 범주의 개인정보 처리를 일반적으로 금지하는 것에 대한 적용제외는 명시적으로 제공되어야 하고, 특히 정보주체가 명백한 동의를 제공한 경우나 특히 기본적 자유 행사를 허용할 목적으로 특정 재단 또는 협회가 행하는 정당한 활동 중에 처리가 이루어지는 경우의 특정 요구조건과 관련하여 더욱 그러하다.

(51) Personal data which are, by their nature, particularly sensitive in relation to fundamental rights and freedoms merit specific protection as the context of their processing could create significant risks to the fundamental rights and freedoms. Those personal data should include personal data revealing racial or ethnic origin, whereby the use of the term ‘racial origin’ in this Regulation does not imply an acceptance by the Union of theories which attempt to determine the existence of separate human races. The processing of photographs should not systematically be considered to be processing of special categories of personal data as they are covered by the definition of biometric data only when processed through a specific technical means allowing the unique identification or authentication of a natural person. Such personal data should not be processed, unless processing is allowed in specific cases set out in this Regulation, taking into account that Member States law may lay down specific provisions on data protection in order to adapt the application of the rules of this Regulation for compliance with a legal obligation or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. In addition to the specific requirements for such processing, the general principles and other rules of this Regulation should apply, in particular as regards the conditions for lawful processing. Derogations from the general prohibition for processing such special categories of personal data should be explicitly provided, inter alia, where the data subject gives his or her explicit consent or in respect of specific needs in particular where the processing is carried out in the course of legitimate activities by certain associations or foundations the purpose of which is to permit the exercise of fundamental freedoms.

(52) 특별 범주의 개인정보 처리를 금지하는 것에 대한 적용제외는 유럽연합 또는 회원국 법률에 규정이 되어있고 적절한 안전장치에 따를 경우 개인정보 및 기타 기본권 보호를 위해 허용되어 한다. 특히 공익을 위한 경우로서, 고용법, 연금 및 의료보장 등의 사회적 보호 법률, 감시 및 경계 목적, 전염병 및 기타 건강에 대한 중대한 위협을 예방하거나 통제하려는 경우의 개인정보 처리에 대해서 특히 적용제외가 허용이 되어야 한다. 그 같은 적용제외는 공중보건, 의료 서비스 관리 등의 보건 목적을 위해 허용될 수 있으며, 특히 건강보험 제도상 수당 및 서비스 청구에 사용되는 절차의 품질 및 비용의 효율성을 보장하기 위해서나 공익적 기록보존 목적, 과학적 및 역사적 연구 목적 또는 통계 목적을 위해 허용될 수 있다. 적용제외는 또한 법적 청구권(legal claims)의 입증, 행사 또는 방어 시 필요한 경우 ‘법정 소송절차, 행정절차 또는 법원 외 절차인지 여부에 관계없이’ 그러한 특별 범주의 개인정보 처리를 허용하여야 한다.

(52) Derogating from the prohibition on processing special categories of personal data should also be allowed when provided for in Union or Member State law and subject to suitable safeguards, so as to protect personal data and other fundamental rights, where it is in the public interest to do so, in particular processing personal data in the field of employment law, social protection law including pensions and for health security, monitoring and alert purposes, the prevention or control of communicable diseases and other serious threats to health. Such a derogation may be made for health purposes, including public health and the management of health-care services, especially in order to ensure the quality and cost-effectiveness of the procedures used for settling claims for benefits and services in the health insurance system, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. A derogation should also allow the processing of such personal data where necessary for the establishment, exercise or defence of legal claims, whether in court proceedings or in an administrative or out-of-court procedure.

(53) 더 높은 수준의 보호를 받아야 하는 특별 범주의 개인정보는 개인 및 사회 전반의 이익을 위한 목적 달성에 필요한 건강 관련 목적으로만 처리되어야 하며, 특히 품질관리, 관리정보, 의료서비스 및 사회보장 제도에 대한 국가와 지역차원의 감독 목적, 의료서비스나 사회보장의 지속성 및 국가간 의료서비스나 의료보장 달성의 목적, 모니터링 및 경계 목적이나 공익적 목표를 달성해야 하는 유럽연합 또는 회원국 법률에 근거한 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적이나 통계 목적을 위해, 그리고 공중보건 부문의 공익을 위한 연구를 위해 경영진 및 중앙 보건당국이 그 같은 데이터를 처리하는 등 의료서비스 또는 사회보장서비스·제도를 관리하는 경우에서 개인과 사회 전체의 이익을 위해 그 목적 달성이 필요한 경우가 그러하다. 따라서 본 규정은 특히 직무상의 법적 기밀유지 의무가 보장되는 상황에서 개인이 특정의 건강 관련 목적으로 건강에 관한 특별 범주의 개인정보를 처리하는 경우, 특정 니즈(needs)를 고려하여, 그 같은 처리에 대한 조화로운 여건을 제공하여야 한다. 유럽연합 또는 회원국 법률은 개인의 기본권 및 개인정보를 보호하기 위한 구체적이고 적절한 조치를 규정하여야 한다. 회원국은 유전 정보, 생체 정보 또는 건강에 관한 데이터의 처리와 관련하여 제한 등 추가적 조건을 유지하거나 도입할 수 있어야 한다. 그러나 회원국 간에 이루어지는 그 같은 처리에 상기 조건이 적용될 시 유럽연합 역내의 자유로운 개인정보 이동이 방해를 받아서는 안 된다.

(53) Special categories of personal data which merit higher protection should be processed for health-related purposes only where necessary to achieve those purposes for the benefit of natural persons and society as a whole, in particular in the context of the management of health or social care services and systems, including processing by the management and central national health authorities of such data for the purpose of quality control, management information and the general national and local supervision of the health or social care system, and ensuring continuity of health or social care and cross-border healthcare or health security, monitoring and alert purposes, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, based on Union or Member State law which has to meet an objective of public interest, as well as for studies conducted in the public interest in the area of public health. Therefore, this Regulation should provide for harmonised conditions for the processing of special categories of personal data concerning health, in respect of specific needs, in particular where the processing of such data is carried out for certain health-related purposes by persons subject to a legal obligation of professional secrecy. Union or Member State law should provide for specific and suitable measures so as to protect the fundamental rights and the personal data of natural persons. Member States should be allowed to maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health. However, this should not hamper the free flow of personal data within the Union when those conditions apply to cross-border processing of such data.

(54) 특별 범주의 개인정보 처리는 정보주체의 동의 없이 공중보건 분야에서 공익상의 이유로 필요할 수 있다. 그 처리는 개인의 권리와 자유를 보호하기 위해 적절하고 구체적인 조치를 적용받아야 한다. 그러한 맥락에서 ‘공중보건’은 유럽의회와 각료이사회의 규정(EC) No1338/2008에 정의된 대로 해석되어야 하며 [11], 이는 건강과 관련된 모든 요소로서 질병 상태나 장애 등의 건강상태, 그 건강상태에 영향을 미치는 결정적 요소, 의료서비스의 필요, 의료서비스에 할당된 자원, 의료서비스 지출 및 재정 조달을 비롯한 의료서비스 제공 및 보편적 이용, 그리고 사망 원인 등을 가리킨다. 공익적 사유의 그 같은 건강 관련 개인정보의 처리로 인해 고용인 또는 보험사, 그리고 금융사 등 제3자가 기타 목적으로 개인정보를 처리하는 결과가 초래되어서는 안 된다.

(54) The processing of special categories of personal data may be necessary for reasons of public interest in the areas of public health without consent of the data subject. Such processing should be subject to suitable and specific measures so as to protect the rights and freedoms of natural persons. In that context, ‘public health’ should be interpreted as defined in Regulation (EC) No 1338/2008 of the European Parliament and of the Council [11], namely all elements related to health, namely health status, including morbidity and disability, the determinants having an effect on that health status, health care needs, resources allocated to health care, the provision of, and universal access to, health care as well as health care expenditure and financing, and the causes of mortality. Such processing of data concerning health for reasons of public interest should not result in personal data being processed for other purposes by third parties such as employers or insurance and banking companies.

[11] Regulation (EC) No 1338/2008 of the European Parliament and of the Council of 16 December 2008 on Community statistics on public health and health and safety at work (OJ L 354, 31.12.2008, p. 70). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2008:354:TOC

[11] Regulation (EC) No 1338/2008 of the European Parliament and of the Council of 16 December 2008 on Community statistics on public health and health and safety at work (OJ L 354, 31.12.2008, p. 70). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2008:354:TOC

(55) 또한 헌법이나 국제공법에 규정된 공인된 종교단체의 목표를 달성할 목적으로 공공당국이 실시하는 개인정보의 처리는 공익을 근거로 시행된다.

(55) Moreover, the processing of personal data by official authorities for the purpose of achieving the aims, laid down by constitutional law or by international public law, of officially recognised religious associations, is carried out on grounds of public interest.

(56) 선거활동 중 회원국 내 민주주의 제도의 작동을 위해 정당이 개인의 정견에 대한 개인정보를 축적하도록 요구되는 경우, 적절한 안전조치가 수립되는 한, 공익의 사유로 그 같은 데이터의 처리가 허용될 수 있다.

(56) Where in the course of electoral activities, the operation of the democratic system in a Member State requires that political parties compile personal data on people's political opinions, the processing of such data may be permitted for reasons of public interest, provided that appropriate safeguards are established.

지침 및 사례 법률 코멘트를 남겨주세요
[js-disqus]