Ekspertkommentar
ISO 27701
Fortalepunkter
(61) 정보주체에 관한 개인정보의 처리와 관련한 정보는 정보주체로부터 수집 당시 또는 제3의 출처로부터 정보가 수집된 경우 적절한 기간 내에, 해당 경우의 상황에 따라, 정보주체에 제공되어야 한다. 개인정보가 합법적으로 제3의 수령인에게 제공될 수 있는 경우, 해당 정보주체는 정보가 최초로 해당 수령인에게 제공될 시 이를 통지받아야 한다. 컨트롤러가 당초 수집 목적 외로 개인정보를 처리하려는 경우, 컨트롤러는 추가 처리에 앞서 정보주체에게 추가 목적에 대한 정보 및 기타 필요한 정보를 제공해야 한다. 다양한 출처의 활용으로 인해 정보주체에게 개인정보의 출처를 제공할 수 없는 경우, 일반적인 정보가 제공되어야 한다.
(62) 그러나 정보주체가 이미 해당 정보를 보유하고 있는 경우, 법률이 해당 개인정보의 기록 또는 제공을 명백히 규정한 경우, 또는 정보주체에 해당 정보를 제공하는 것이 불가능하다고 입증되거나 비례하지 않는 노력을 요하는 경우에는 정보 제공의 의무를 부과할 필요가 없다. 후자는 특히 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적, 또는 통계 목적으로 처리가 실시되는 경우가 해당될 수 있다. 이와 관련해 정보주체의 수, 해당 개인정보의 생성시점 및 채택된 모든 적절한 안전장치가 고려되어야 한다.
(63) 정보주체는 처리의 적법성을 인지하고 검증하기 위해 본인에 관해 수집된 개인정보를 열람하고 그 권리를 용이하게, 그리고 적절한 시간 간격으로 행사할 권리를 가진다. 권리를 가진다. 정보주체가 진단, 검사 결과, 의료진의 평가, 제공된 치료나 조치 등의 정보가 포함된 의료 기록상의 데이터 등 본인의 권강에 관한 데이터를 열람할 권리도 이에 포함된다. 따라서 모든 정보주체는 특히 개인정보가 처리되는 목적, 가능한 경우 처리기간, 개인정보의 수령인, 개인정보 자동 처리에 수반되는 논리, 처리가 프로파일링을 근거로 할 시 최소한 그 처리 결과에 대해 알고 전달(통지)받을 권리를 가진다. 가능한 경우, 컨트롤러는 보안시스템에 대한 원격 접속을 가능하게 하여 정보주체가 본인의 개인정보를 직접 열람하게 할 수 있다. 그 권리가 거래 기밀이나 지적재산권, 그리고 특히 소프트웨어 보호 저작권 등 타인의 권리와 자유에 악영향을 끼쳐서는 안 된다. 그러나 상기 사항을 고려함으로 인해 정보주체에게 일체의 정보를 제공하는 것이 거부되어서는 안 된다. 컨트롤러가 정보주체에 관한 대량의 정보를 처리하는 경우, 컨트롤러는 그 정보를 전달하기 전에 정보주체가 해당 요청에 관련된 정보 또는 처리 활동을 명시하도록 요구할 수 있다.
Retningslinjer og rettspraksis
(EN)
Document
Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2018)
EDPB, Guidelines 3/2020 on the Processing of Data Concerning Health for the Purpose of Scientific Research in the Context of the Covid-19 Outbreak (2020).
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
European Commission, Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection Brussels (2020).
EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).
Case Law
CJEU, College van burgemeester en wethouders van Rotterdam/Rijkeboer, C-553/07 (2009).
CJEU, YS/Minister voor Immigratie, Integratie en Asiel, C-141/12 and C-372/12 (2014).
CJEU, ClientEarth/European Food Safety Authority, C‑615/13 P (2015).
CJEU, Nowak/Data Protection Commissioner, C-434/16 (2017).
ECHR, López Ribalda v. Spain, nos 1874/13 and 8567/13 (2019).
Belgian DPA Fines Belgian Telecommunications Provider for Several Data Protection Infringements (2020). Brief description in English.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 13(2)(a) GDPR:
7.4.7 Retention
Control
The organization should not retain PII for longer than is necessary for the purposes for which the PII is processed.
Implementation guidance
The organization should develop and maintain retention schedules for information it retains, taking into account the requirement to retain PII for no longer than is necessary.
…
Logg inn
for å få tilgang til hele teksten