Navigation
GDPR > 제17조. 삭제권(‘잊힐 권리’)
Download PDF

제17조 GDPR. 삭제권(‘잊힐 권리’)

1. 정보주체는 본인에 관한 개인정보를 부당한 지체 없이 삭제하도록 컨트롤러에게 요청할 권리를 가지며, 컨트롤러는 다음 각 호가 적용되는 경우, 부당한 지체 없이 개인정보를 삭제할 의무를 가진다.

Expert commentary
Author
Siarhei Varankevich
Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

(a) 개인정보가 수집된, 그렇지 않으면 처리된 목적에 더 이상 필요하지 않은 경우

(b) 정보주체가 제6조(1)의 (a)호 또는 제9조(2)의 (a)호에 따라 처리의 기반이 되는 동의를 철회하고, 해당 처리에 대한 기타의 법적 근거가 없는 경우

Related

(c) 정보주체가 제21조(1)에 따라 처리에 반대하고 관련 처리에 대해 우선하는 정당한 근거가 없거나, 정보주체가 제21조(2)에 따라 처리에 반대하는 경우

Related

(d) 개인정보가 불법적으로 처리된 경우

(e) 컨트롤러에 적용되는 유럽연합 또는 회원국 법률의 법적 의무를 준수하기 위해 개인정보가 삭제되어야 하는 경우

(f) 제8조(1)에 규정된 정보사회서비스의 제공과 관련하여 개인정보가 수집된 경우

Related

2. 컨트롤러가 개인정보를 공개하고 제1항에 따라 해당 개인정보를 삭제할 의무가 있는 경우, 컨트롤러는 가용 기술과 시행 비용을 참작하여 개인정보를 처리하는 컨트롤러에게 정보주체가 그 같은 컨트롤러들에게 해당 개인정보에 대한 링크, 사본 또는 복제본의 삭제를 요청하였음을 고지하기 위한 기술적 조치 등, 적절한 조치를 취해야 한다.

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 17(2) GDPR:

8.3.1 Obligations to PII principals

Control

The organization should provide the customer with the means to comply with its obligations related to PII principals.

Implementation guidance

A PII controller’s obligations can be defined by legislation, by regulation and/or by contract.

[…]


to read the full text

3. 제1항 및 제2항은 다음 각 호를 위해 개인정보의 처리가 필요한 경우에는 적용되지 않는다.

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 17(3) GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.

[…]


to read the full text

(a) 표현과 정보의 자유에 대한 권리의 행사

(b) 컨트롤러에 적용되는 유럽연합 또는 회원국 법률의 법적 의무를 준수하는데 처리가 요구되는 경우 또는, 공익을 위해서 또는 컨트롤러에게 부여된 공적 권한을 행사하여 업무를 수행하는 경우

(c) 제9조(3)뿐만 아니라 제9조(2)의 (h)호 및 (i)호에 따른 공중보건 분야의 공익상의 이유인 경우

Related

(d) 제89조(1)에 따른 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적, 또는 통계적 목적에 해당하는 경우로서, 제1항의 권리가 그 처리의 목적 달성을 불가능하게 하거나 중대하게 손상시킬 것으로 예상되는 경우

Related

(e) 법적 권리의 확립, 행사 또는 방어를 위한 경우

Expert commentary ISO 27701 Recitals Guidelines & Case Law Leave a comment
Expert commentary

The so-called “right to be forgotten” was hailed as a breakthrough with the adoption of the General Data Protection Regulation, even though it existed in a limited form before. Article 17 provides for a broader “right to erasure”, to take into account the exact wording of the provision. European Union residents have a right to ask for the deletion of their personal data, and the organization that holds the data has a corresponding obligation to erase them “without undue delay” under a certain number of circumstances.

[…]


to read the full text

Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert

Data Subject Request Letter Sample

Concern: Request to erase my personal data

Dear Madam, Dear Sir,

You have data concerning me that I am asking you to delete…

[…]


to read the full text

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 17 GDPR:

7.3.6 Access, correction and/or erasure

Control

The organization should implement policies, procedures and/or mechanisms to meet their obligations to PII principals to access, correct and/or erase their PII.

Implementation guidance

The organization should implement policies, procedures and/or mechanisms for enabling PII principals to obtain access to, correct and erase of their PII, if requested and without undue delay.

[…]


to read the full text

Recitals

(65) 정보주체는 본인에 관한 개인정보를 보관하는 것이 본 규정이나 컨트롤러에 적용되는 유럽연합 또는 회원국 법률을 침해하는 경우, 그 정보를 정정할 권리 및 ‘잊힐 권리’를 가진다. 특히 정보주체는 본인의 개인정보가 수집되거나 달리 처리되는 목적과 관련하여 더 이상 필요하지 않은 경우, 정보주체가 본인에 관한 개인정보의 처리에 대한 동의를 철회하였거나 반대하는 경우, 본인의 개인정보에 대한 처리가 기존과는 달리 본 규정을 준수하지 않는 경우 그 정보를 삭제할 권리와 그 정보가 더 이상 처리되지 않도록 할 권리를 가진다. 그 권리는 특히 정보주체가 아동으로서 본인의 동의를 제공하였고. 처리에 관여된 위험을 완전히 인지하지 못하다가 이후 특히 인터넷상에서 그 개인정보를 삭제하기를 희망하는 경우와 관련 있다. 그 정보주체가 더 이상 아동이 아닐지라도 이 권리를 행사할 수 있어야 한다. 그러나 개인정보의 추가 보관은 필요한 경우 적법하며, 표현 및 정보의 자유권 행사, 법적 의무 준수, 공익을 위하거나 컨트롤러에 부여된 공적 권한 행사에 따른 직무 수행, 공중보건 분야의 공익적 근거, 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적이나 통계 목적, 또는 법적 청구권의 입증, 행사, 방어를 위한 경우가 이에 해당한다.

(66) 온라인 환경에서의 잊힐 권리 강화를 위해서는 개인정보를 공개한 컨트롤러가 그 개인정보를 처리 중인 컨트롤러에게 해당 개인정보에 대한 링크, 사본, 복제물을 삭제하도록 통지할 의무를 지니는 방식으로 삭제권을 확대하여야 한다. 그렇게 함에 있어 컨트롤러는 해당 개인정보를 처리 중인 컨트롤러에게 정보주체의 요청을 통지하기 위한 기술 조치 등 컨트롤러가 가용할 수 있는 기술 및 방법을 고려하여 적절한 조치를 취해야 한다.

Guidelines & Case Law Leave a comment
[js-disqus]