Documents
Article 29 Working Party, Opinion 2/2010 on behavioural advertising (2010):
The obligation to provide the necessary information and obtain data subjects’ consent ultimately lies with the entity that sends and reads the cookie. In most cases, this is the ad network provider. When publishers are joint-controllers, for example in those cases where they transfer directly identifiable information to ad network providers, they are also bound by the obligation to provide information to data subjects about the data processing.
(58) 투명성의 원칙에 따라 대중 또는 정보주체에 제공되는 정보는 간결하고 이용이 용이하며 이해하기 쉬워야 하고, 명확하고 평이한 언어의 사용에 더해 적절한 경우 시각화 기법을 활용해야 한다. 그 같은 정보는 대중에게 제공될 시 웹사이트를 통해 전자 양식으로 제공될 수 있다. 이는 온라인 광고 등 활동주체(actors)의 확산 및 관행의 기술적 복잡성으로 인해 정보주체가 누가 무슨 목적으로 본인에 관한 개인정보를 수집하는지 여부를 파악하기 어려운 상황과 특히 관련이 있다. 아동에게 특정한 보호수단이 필요하다는 것을 고려할 때 아동을 대상으로 한 (데이터)처리 시 정보제공 및 통지 일체는 해당 아동이 쉽게 이해할 수 있는 명확하고 평이한 언어로 이루어져야 한다.
ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 12(2) GDPR:
7.3.1 Determining and fulfilling obligations to PII principals
Control
The organization should determine and document their legal, regulatory and business obligations to PII principals related to the processing of their PII and provide the means to meet these obligations.
[…]
Sign in
to read the full text