Navigation
GDPR > 제25조. 설계 및 기본설정에 의한 개인정보 보호
Download PDF

제25조 GDPR. 설계 및 기본설정에 의한 개인정보 보호

1. 컨트롤러는 개인정보의 처리가 자연인의 권리 및 자유에 미치는 위험의 다양한 가능성 및 정도와 함께 최신 기술, 실행 비용, 그리고 처리의 성격, 범위, 상황 및 목적을 고려하여, 가명처리 등의 기술 및 관리적 조치를 개인정보의 처리 방법을 결정한 시점 및 그 처리가 이루어지는 해당 시점에 이행해야 한다. 그러한 기술적 및 관리적 조치는 본 규정의 요건을 충족시키고 정보주체의 권리를 보호하기 위해 데이터 최소화 등 개인정보 보호원칙을 효율적으로 이행하고 필요한 안전조치를 개인정보 처리에 통합할 수 있도록 설계되어야 한다.

ISO 27701

ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 14.2.1.

Here is the relevant paragraphs to article 25(1) GDPR:

6.11.2.1 Secure development policy

Implementation guidance

Policies for system development and design should include guidance for the organization’s processing of PII needs, based on obligations to PII principals and/or any applicable legislation and/or regulation and the types of processing performed by the organization. Clauses 7 and 8 provide control considerations for processing of PII, which can be useful in developing policies for privacy in systems design.

[…]


to read the full text

Related

2. 컨트롤러는 기본설정을 통해 각 특정 처리 목적에 필요한 개인정보만 처리되도록 적절한 기술적 및 관리적 조치를 이행해야 한다. 그 의무는 수집되는 개인정보의 양, 그 처리 정도, 보관기관 및 이용가능성에 적용된다. 특히, 그러한 조치는 기본설정을 통해 개인정보가 관련 개인의 개입 없이 불특정 다수에게 열람되지 않도록 한다.

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 25(2) GDPR:

7.4.2 Limit processing

Control

The organization should limit the processing of PII to that which is adequate, relevant and necessary for the identified purposes.

[…]


to read the full text

Guidelines & Case Law Related

3. 제42조에 의거한 승인된 인증 메커니즘은 본 조 제1항 및 제2항에 규정된 요건의 준수를 입증하는 요소로 사용될 수 있다.

ISO 27701

ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 25(3) GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

[…]


to read the full text

Related
Expert commentary Recitals Guidelines & Case Law Leave a comment
Expert commentary
Recitals

(78) 개인정보 처리에 관련된 개인의 권리와 자유를 보호하기 위해서는, 이 규정의 요건을 충족하기 위해 적절한 기술적·관리적 조치가 시행될 것이 요구된다. 이 법을 준수하고 있음을 입증하기 위해, 컨트롤러는 데이터보호설계 및 기본설정의 원칙을 만족하는 내부 정책과 조치를 채택하고 시행해야 한다. 이러한 조치에는 개인정보처리의 최소화, 가능한 빠른 시일 내의 개인정보 가명처리, 개인정보의 기능 및 처리의 투명성 제고, 개인정보 처리에 대한 정보주체의 감시 허용과 컨트롤러의 보안 대책의 수립 및 개선이 포함될 수 있다. 개인정보 처리에 근거하거나 관련 업무를 위해 개인정보를 처리하는 어플리케이션·서비스·제품을 개발, 디자인·선택·이용할 때, 해당 제품·서비스·어플리케이션의 제작자는 관련 제품·서비스·어플리케이션을 개발하고 디자인할 때, 개인정보보호권을 고려하고, 컨트롤러와 프로세서는 개인정보보호 의무를 준수할 수 있도록 보장하도록 권장된다. 데이터 보호 설계 및 기본설정의 원칙은 대중이 선호하는 관점(in the context of public tenders)에서 생각했을 때에도 고려되어야 한다.

Guidelines & Case Law Leave a comment
[js-disqus]