전문39조
Recital 39
(39) 모든 개인정보의 처리는 합법적이고 공정해야 한다.
본인과 관련된 개인정보가 수집, 이용, 참조되거나 기타 방식으로 처리된다는 사실, 그리고 그 개인정보가 처리되거나 처리될 범위를 해당 개인에게 투명하게 알려야 한다.
이러한 투명성 원칙은 개인정보 처리와 관련하여 행하는 정보 제공(information) 및 의사소통(communication) 일체가 용이하고 이해하기 쉬우며 명확하고 평이한 언어로 행해지도록 요구한다.
투명성 원칙은 정보주체에게 제공되는 컨트롤러의 신원과 처리 목적에 대한 정보 및 해당 개인에 대한 공정하고 투명한 처리를 보장하기 위한 추가 정보, 그리고 본인에 관해 처리 중인 개인정보를 확인하고 전달받을 수 있는 개인의 권리에 관련된다.
개인은 개인정보 처리와 관련한 위험성, 규칙, 안전징치와 권리 및 그 권리를 행사하는 방식에 대해서 인지할 수 있어야 한다.
특히 개인정보가 처리되는 특정한 목적은 명백하고 적법하여야 하고, 해당 개인정보의 수집 당시에 결정되어야 한다.
개인정보는 처리 목적에 적합하고, 관련되며 그에 필요한 정도로 제한되어야 한다.
이는 특히 개인정보의 보관기관이 최소한으로 제한되도록 요구한다.
개인정보는 처리 목적이 여타 수단에 의해서는 합리적으로 성취될 수 없는 경우에 한하여 처리 될 수 있다.
컨트롤러는 개인정보가 필요 이상으로 보관되지 않도록 기간을 정해 삭제 또는 주기적 검토가 이루어지도록 해야 한다.
모든 적정 조치를 취해 부정확한 개인정보가 수정 또는 삭제되도록 해야 한다.
개인정보는 개인정보 및 그 처리에 사용되는 장비에 무단으로 접근하거나 사용하는 것을 방지하는 등 적절한 안정과 기밀성을 보장하는 방식으로 처리되어야 한다.
(39) Any processing of personal data should be lawful and fair.
It should be transparent to natural persons that personal data concerning them are collected, used, consulted or otherwise processed and to what extent the personal data are or will be processed.
The principle of transparency requires that any information and communication relating to the processing of those personal data be easily accessible and easy to understand, and that clear and plain language be used.
That principle concerns, in particular, information to the data subjects on the identity of the controller and the purposes of the processing and further information to ensure fair and transparent processing in respect of the natural persons concerned and their right to obtain confirmation and communication of personal data concerning them which are being processed.
Natural persons should be made aware of risks, rules, safeguards and rights in relation to the processing of personal data and how to exercise their rights in relation to such processing.
In particular, the specific purposes for which personal data are processed should be explicit and legitimate and determined at the time of the collection of the personal data.
The personal data should be adequate, relevant and limited to what is necessary for the purposes for which they are processed.
This requires, in particular, ensuring that the period for which the personal data are stored is limited to a strict minimum.
Personal data should be processed only if the purpose of the processing could not reasonably be fulfilled by other means.
In order to ensure that the personal data are not kept longer than necessary, time limits should be established by the controller for erasure or for a periodic review.
Every reasonable step should be taken to ensure that personal data which are inaccurate are rectified or deleted.
Personal data should be processed in a manner that ensures appropriate security and confidentiality of the personal data, including for preventing unauthorised access to or use of personal data and the equipment used for the processing.
Source: http://www.pipc.go.kr/cmt/not/ntc/selectBoardArticle.do?nttId=5969&bbsId=BBSMSTR_000000000121&bbsTyCode=BBST03&bbsAttrbCode=BBSA03&authFlag=Y&pageIndex=6
The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.