Expert commentary
Recitals
(78) 개인정보 처리에 관련된 개인의 권리와 자유를 보호하기 위해서는, 이 규정의 요건을 충족하기 위해 적절한 기술적·관리적 조치가 시행될 것이 요구된다. 이 법을 준수하고 있음을 입증하기 위해, 컨트롤러는 데이터보호설계 및 기본설정의 원칙을 만족하는 내부 정책과 조치를 채택하고 시행해야 한다. 이러한 조치에는 개인정보처리의 최소화, 가능한 빠른 시일 내의 개인정보 가명처리, 개인정보의 기능 및 처리의 투명성 제고, 개인정보 처리에 대한 정보주체의 감시 허용과 컨트롤러의 보안 대책의 수립 및 개선이 포함될 수 있다. 개인정보 처리에 근거하거나 관련 업무를 위해 개인정보를 처리하는 어플리케이션·서비스·제품을 개발, 디자인·선택·이용할 때, 해당 제품·서비스·어플리케이션의 제작자는 관련 제품·서비스·어플리케이션을 개발하고 디자인할 때, 개인정보보호권을 고려하고, 컨트롤러와 프로세서는 개인정보보호 의무를 준수할 수 있도록 보장하도록 권장된다. 데이터 보호 설계 및 기본설정의 원칙은 대중이 선호하는 관점(in the context of public tenders)에서 생각했을 때에도 고려되어야 한다.
Guidelines & Case Law
Documents
WP29, Opinion 05/2014 on Anonymisation Techniques (2014).
WP29, Opinion on data processing at work (2017).
Spanish Data Protection Agency (AEPD), A Guide to Privacy by Design (2019).
EDPB, Guidelines 4/2019 on Article 25 – Data Protection by Design and by Default (2020):
Data protection by design must be implemented both at the time of determining the means of processing and at the time of processing itself. It is at the time of determining the means of processing that controllers shall implement measures and safeguards designed to effectively implement the data protection principles. To ensure effective data protection at the time of processing, the controller must regularly review the effectiveness of the chosen measures and safeguards. The EDPB encourages early consideration of data protection by design when planning a new processing operation.
EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
Spanish Data Protection Agency (AEPD), Guidelines for DataProtection by Default (2020).
Information Commissioner’s Office, Right of Access (2020).
EDPB, Guidelines 01/2021 on Examples regarding Data Breach Notification (2021).
EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).
Case Law
ICO, ICO fines Ticketmaster UK Limited £1.25million for failing to protect customers’ payment details (2020).
ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 14.2.1.
Here is the relevant paragraphs to article 25(1) GDPR:
6.11.2.1 Secure development policy
Implementation guidance
Policies for system development and design should include guidance for the organization’s processing of PII needs, based on obligations to PII principals and/or any applicable legislation and/or regulation and the types of processing performed by the organization. Clauses 7 and 8 provide control considerations for processing of PII, which can be useful in developing policies for privacy in systems design.
[…]
Sign in
to read the full text