(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 5(1)(a) GDPR:
7.2.2 Identify lawful basis
Control
The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.
Implementation guidance
Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.
(EN) […]
(EN) Sign in
to read the full text
(EN) EDPB, Guidelines 8/2020 on the targeting of social media users (2020).
(39) 모든 개인정보의 처리는 합법적이고 공정해야 한다. 본인과 관련된 개인정보가 수집, 이용, 참조되거나 기타 방식으로 처리된다는 사실, 그리고 그 개인정보가 처리되거나 처리될 범위를 해당 개인에게 투명하게 알려야 한다. 이러한 투명성 원칙은 개인정보 처리와 관련하여 행하는 정보 제공(information) 및 의사소통(communication) 일체가 용이하고 이해하기 쉬우며 명확하고 평이한 언어로 행해지도록 요구한다. 투명성 원칙은 정보주체에게 제공되는 컨트롤러의 신원과 처리 목적에 대한 정보 및 해당 개인에 대한 공정하고 투명한 처리를 보장하기 위한 추가 정보, 그리고 본인에 관해 처리 중인 개인정보를 확인하고 전달받을 수 있는 개인의 권리에 관련된다. 개인은 개인정보 처리와 관련한 위험성, 규칙, 안전징치와 권리 및 그 권리를 행사하는 방식에 대해서 인지할 수 있어야 한다. 특히 개인정보가 처리되는 특정한 목적은 명백하고 적법하여야 하고, 해당 개인정보의 수집 당시에 결정되어야 한다. 개인정보는 처리 목적에 적합하고, 관련되며 그에 필요한 정도로 제한되어야 한다. 이는 특히 개인정보의 보관기관이 최소한으로 제한되도록 요구한다. 개인정보는 처리 목적이 여타 수단에 의해서는 합리적으로 성취될 수 없는 경우에 한하여 처리 될 수 있다. 컨트롤러는 개인정보가 필요 이상으로 보관되지 않도록 기간을 정해 삭제 또는 주기적 검토가 이루어지도록 해야 한다. 모든 적정 조치를 취해 부정확한 개인정보가 수정 또는 삭제되도록 해야 한다. 개인정보는 개인정보 및 그 처리에 사용되는 장비에 무단으로 접근하거나 사용하는 것을 방지하는 등 적절한 안정과 기밀성을 보장하는 방식으로 처리되어야 한다.
(EN) Example of lawful processing:
Source: EDPB, Guidelines 4/2019 on Article 25 – Data Protection by Design and by Default (Version for public consultation) (2019).
(EN) Example of transparency measures:
Source: EDPB, Guidelines 4/2019 on Article 25 – Data Protection by Design and by Default (Version for public consultation) (2019).
(EN) Examples of fairness considerations:
Example 1
Source: EDPB, Guidelines 4/2019 on Article 25 – Data Protection by Design and by Default (Version for public consultation) (2019).