항해
GDPR > 전문85조
다운로드 PDF

전문85조

Recital 85

(85) 개인정보 유출사고가 적절하고 시의 적절하게 해결되지 않을 경우, 개인은 본인의 개인정보에 대한 자기결정권 상실이나 권리 제한, 차별, 신원도용 및 신용사기, 재정적 손실, 가명처리의 무단 재식별, 명예훼손, 직무상 비밀로 지켜지던 개인정보의 기밀성 상실과 기타 경제적 또는 사회적 불이익 등과 같은 신체적, 물질적 그리고 비(非) 물질적 피해를 입을 수 있다.

따라서 컨트롤러는 개인정보 유출을 알게 되는 즉시 지체 없이 가능한 72시간 이내에 관련 감독기관에 이 사실을 신고해야 한다.

그러나 컨트롤러가, 책임성의 원칙에 따라, 해당 개인정보의 유출이 개인의 권리와 자유에 관해 위험요소를 초래할 가능성이 낮다고 입증할 수 있는 경우는 예외로 한다.

해당 유출사고의 통지가 72시간 이내에 이루어지지 않을 경우, 지체된 이유는 통지내용과 함께 제공되고 관련 정보는 부당한 지체 없이 단계별로 제공될 수 있다.

(85) A personal data breach may, if not addressed in an appropriate and timely manner, result in physical, material or non-material damage to natural persons such as loss of control over their personal data or limitation of their rights, discrimination, identity theft or fraud, financial loss, unauthorised reversal of pseudonymisation, damage to reputation, loss of confidentiality of personal data protected by professional secrecy or any other significant economic or social disadvantage to the natural person concerned.

Therefore, as soon as the controller becomes aware that a personal data breach has occurred, the controller should notify the personal data breach to the supervisory authority without undue delay and, where feasible, not later than 72 hours after having become aware of it, unless the controller is able to demonstrate, in accordance with the accountability principle, that the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons.

Where such notification cannot be achieved within 72 hours, the reasons for the delay should accompany the notification and information may be provided in phases without undue further delay.