Navigation
GDPR > 제9조. 특별 범주의 개인정보의 처리
Download PDF

제9조 GDPR. 특별 범주의 개인정보의 처리

1. 인종 또는 민족, 정치적 견해, 종교적 또는 철학적 신념, 노동조합의 가입여부를 나타내는 개인정보의 처리와 유전자 정보, 자연인을 고유하게 식별할 목적의 생체정보, 건강정보, 성생활 또는 성적 취향에 관한 정보의 처리는 금지된다.

Guidelines & Case Law Recitals

(51) 본질적으로 기본권과 자유와 관련해 특히 민감한 개인정보는 그 처리가 기본권 및 자유에 중대한 위험을 초래할 수 있기 때문에 특정한 보호를 받아야 한다. 이러한 정보에는 인종 또는 민족출신을 드러나는 개인정보도 포함되어야 하나, 본 규정에서 ‘인종출신’이라는 용어를 사용한다고 하여 유럽연합이 서로 다른 인종이 존재한다고 단정 지으려는 이론을 용인한다는 의미는 아니다. 사진의 처리는 개인을 고유하게 식별하거나 인증할 수 있는 특정 기술 수단을 통해 처리될 시에만 생체정보의 정의에 해당되기 때문에, 체계적으로는 특별 범주의 개인정보 처리로 분류되지 않는다. 그 개인정보는 회원국의 법률이 공익을 위하거나 컨트롤러에 부여된 공적 권한 행사에 따른 직무 수행 또는 법적 의무의 준수를 위해 본 규정의 규칙 적용을 변경하고자 데이터 보호에 관한 특정 조문을 규정할 수 있다는 사실을 고려하여 본 규정에 명시된 특정 상황에서 허용되지 않는다면 처리되어서는 안 된다. 그 처리에 대한 특정 요건과 더불어, 본 규정의 통칙 및 기타 규칙은 특히 적법한 처리를 위한 조건과 관련하여 적용되어야 한다. 그 같은 특별 범주의 개인정보 처리를 일반적으로 금지하는 것에 대한 적용제외는 명시적으로 제공되어야 하고, 특히 정보주체가 명백한 동의를 제공한 경우나 특히 기본적 자유 행사를 허용할 목적으로 특정 재단 또는 협회가 행하는 정당한 활동 중에 처리가 이루어지는 경우의 특정 요구조건과 관련하여 더욱 그러하다.

2. 다음 각 호의 하나에 해당하는 경우 제1항은 적용되지 않는다.

Recitals

(52) 특별 범주의 개인정보 처리를 금지하는 것에 대한 적용제외는 유럽연합 또는 회원국 법률에 규정이 되어있고 적절한 안전장치에 따를 경우 개인정보 및 기타 기본권 보호를 위해 허용되어 한다. 특히 공익을 위한 경우로서, 고용법, 연금 및 의료보장 등의 사회적 보호 법률, 감시 및 경계 목적, 전염병 및 기타 건강에 대한 중대한 위협을 예방하거나 통제하려는 경우의 개인정보 처리에 대해서 특히 적용제외가 허용이 되어야 한다. 그 같은 적용제외는 공중보건, 의료 서비스 관리 등의 보건 목적을 위해 허용될 수 있으며, 특히 건강보험 제도상 수당 및 서비스 청구에 사용되는 절차의 품질 및 비용의 효율성을 보장하기 위해서나 공익적 기록보존 목적, 과학적 및 역사적 연구 목적 또는 통계 목적을 위해 허용될 수 있다. 적용제외는 또한 법적 청구권(legal claims)의 입증, 행사 또는 방어 시 필요한 경우 ‘법정 소송절차, 행정절차 또는 법원 외 절차인지 여부에 관계없이’ 그러한 특별 범주의 개인정보 처리를 허용하여야 한다.

(53) 더 높은 수준의 보호를 받아야 하는 특별 범주의 개인정보는 개인 및 사회 전반의 이익을 위한 목적 달성에 필요한 건강 관련 목적으로만 처리되어야 하며, 특히 품질관리, 관리정보, 의료서비스 및 사회보장 제도에 대한 국가와 지역차원의 감독 목적, 의료서비스나 사회보장의 지속성 및 국가간 의료서비스나 의료보장 달성의 목적, 모니터링 및 경계 목적이나 공익적 목표를 달성해야 하는 유럽연합 또는 회원국 법률에 근거한 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적이나 통계 목적을 위해, 그리고 공중보건 부문의 공익을 위한 연구를 위해 경영진 및 중앙 보건당국이 그 같은 데이터를 처리하는 등 의료서비스 또는 사회보장서비스·제도를 관리하는 경우에서 개인과 사회 전체의 이익을 위해 그 목적 달성이 필요한 경우가 그러하다. 따라서 본 규정은 특히 직무상의 법적 기밀유지 의무가 보장되는 상황에서 개인이 특정의 건강 관련 목적으로 건강에 관한 특별 범주의 개인정보를 처리하는 경우, 특정 니즈(needs)를 고려하여, 그 같은 처리에 대한 조화로운 여건을 제공하여야 한다. 유럽연합 또는 회원국 법률은 개인의 기본권 및 개인정보를 보호하기 위한 구체적이고 적절한 조치를 규정하여야 한다. 회원국은 유전 정보, 생체 정보 또는 건강에 관한 데이터의 처리와 관련하여 제한 등 추가적 조건을 유지하거나 도입할 수 있어야 한다. 그러나 회원국 간에 이루어지는 그 같은 처리에 상기 조건이 적용될 시 유럽연합 역내의 자유로운 개인정보 이동이 방해를 받아서는 안 된다.

(54) 특별 범주의 개인정보 처리는 정보주체의 동의 없이 공중보건 분야에서 공익상의 이유로 필요할 수 있다. 그 처리는 개인의 권리와 자유를 보호하기 위해 적절하고 구체적인 조치를 적용받아야 한다. 그러한 맥락에서 ‘공중보건’은 유럽의회와 각료이사회의 규정(EC) No1338/2008에 정의된 대로 해석되어야 하며 [11], 이는 건강과 관련된 모든 요소로서 질병 상태나 장애 등의 건강상태, 그 건강상태에 영향을 미치는 결정적 요소, 의료서비스의 필요, 의료서비스에 할당된 자원, 의료서비스 지출 및 재정 조달을 비롯한 의료서비스 제공 및 보편적 이용, 그리고 사망 원인 등을 가리킨다. 공익적 사유의 그 같은 건강 관련 개인정보의 처리로 인해 고용인 또는 보험사, 그리고 금융사 등 제3자가 기타 목적으로 개인정보를 처리하는 결과가 초래되어서는 안 된다.

[11] Regulation (EC) No 1338/2008 of the European Parliament and of the Council of 16 December 2008 on Community statistics on public health and health and safety at work (OJ L 354, 31.12.2008, p. 70). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2008:354:TOC

(55) 또한 헌법이나 국제공법에 규정된 공인된 종교단체의 목표를 달성할 목적으로 공공당국이 실시하는 개인정보의 처리는 공익을 근거로 시행된다.

(56) 선거활동 중 회원국 내 민주주의 제도의 작동을 위해 정당이 개인의 정견에 대한 개인정보를 축적하도록 요구되는 경우, 적절한 안전조치가 수립되는 한, 공익의 사유로 그 같은 데이터의 처리가 허용될 수 있다.

(a) 정보주체가 단일 또는 복수의 특정한 목적으로 특별 범주의 개인정보를 처리하는 데 명백한 동의를 제공한 경우. 단, 유럽연합 또는 회원국 법률이 정보주체가 제1항의 금지조항을 무효화할 수 없다고 명시적으로 규정하는 경우는 제외된다.

Expert commentary
Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert
ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 9(2)(a) GDPR:

7.2.4 Obtain and record consent

Control

The organization should obtain and record consent from PII principals according to the documented processes.

Implementation guidance

The organization should obtain and record consent from PII principals in such a way that it can provide on request details of the consent provided (for example the time that consent was provided, the identification of the PII principal, and the consent statement).

[…]


to read the full text

Related

(b) 고용, 사회보장, 사회보호법 분야에서 컨트롤러나 정보주체의 의무를 이행하고 특정 권리를 행사하기 위한 목적으로 처리가 필요한 경우. 단, 그 처리는 유럽연합 또는 회원국 법률이나 정보주체의 기본적 권리 및 이익에 대한 적절한 안전조치를 규정하는 회원국 법률에 따라 체결된 단체협약에 의해 승인되어야 한다.

Expert commentary
Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert

(c) 정보주체가 신체적으로 또는 법률적으로 동의를 제공할 수 없는 경우로서 정보주체 또는 제3자의 생명의 이익을 보호하는 데 처리가 필요한 경우

Expert commentary
Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert

(d) 정치적, 철학적, 종교적 또는 노동조합의 목적을 지닌 재단, 협회, 기타 비영리기관이 적절한 안전조치를 갖추어 수행하는 합법적인 활동의 과정에서 개인정보를 처리하는 경우로서, 해당 처리가 그 목적에 맞게 관련 기관의 회원 또는 이전 회원 또는 관련 기관과 정기적으로 접촉하는 자에 한하여 이루어지고, 정보주체의 동의 없이 이러한 개인정보를 기관 외부에 제공하지 않는다는 조건에 따라 수행되는 경우

Expert commentary
Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert

(e) 정보주체가 명백히 공개한 개인정보와 관련된 처리인 경우

Expert commentary

The European legislator introduced an exception – for special categories of personal data which are manifestly made public by a person – that seems completely logical at first glance. If a person willingly shares her/his data, it sounds reasonable to allow the processing of these data by third parties. On second thought, many questions come to mind. What does “manifestly” mean? When are data “public”? How to determine if a person intended to make her/his data public?

The exception does not concern all special categories of data publicly available. It applies strictly to data that an individual personally disclosed. It must be a publication that results from a clear and voluntary decision from an individual to disclose information about her/him. It should not be an accidental, inadvertent, involuntary or unintentional disclosure. It should be the result of a free and deliberate decision. The individual must be fully conscious that s/he made her/his data public. Thus, it excludes leaked data, data accessible after a security breach or data shared unintentionally or by inadvertence…

[…]


to read the full text

Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert
Guidelines & Case Law

(f) 법적 권리의 확립, 행사, 방어를 위하거나 법원이 사법권을 행사할 때마다 처리가 필요한 경우

Expert commentary
Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert

(g) 추구하는 목표에 비례하도록 유럽연합 또는 회원국 법률에 근거하여 상당한 공익상의 이유로 처리가 필요한 경우와 개인정보 보호권의 본질을 존중하고 정보주체의 기본적 권리 및 이익을 보호하기 위해 적절하고 구체적인 조치를 제공하는 경우

Expert commentary
Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert

(h) 예방의학 또는 직업의학의 목적으로 처리가 필요한 경우 및 피고용인의 업무능력 평가, 의학적 진단, 의료서비스 또는 사회복지 또는 치료의 제공, 또는 유럽연합 또는 회원국 법률에 근거하거나 의료전문가와의 계약에 의거하고 제3항의 조건 및 안전조치에 따라 의료 또는 사회복지 제도나 서비스의 관리를 위해 처리가 필요한 경우

Expert commentary
Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert
Guidelines & Case Law

(i) 회원국 간의 중대한 건강 위협으로부터 보호하거나 의료서비스•의약품•의료장비의 높은 품질과 안정성을 보장하는 등 공중보건 분야에서 공익상의 이유로, 특히 직무상의 기밀 등 정보주체의 권리와 자유를 보호하기 위해 적절하고 구체적인 조치를 규정하는 유럽연합 또는 회원국 법률에 근거하여 처리가 필요한 경우

Expert commentary
Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert
Guidelines & Case Law

(j) 추구하는 목적에 비례하고, 개인정보 보호권의 본질을 존중하며, 정보주체의 기본적 권리 및 이익을 보호하기 위해 적절하고 구체적인 조치를 제공하는 유럽연합 또는 회원국 법률에 근거하여, 제89조(1)에 따라 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적, 또는 통계적 목적을 위해 처리가 필요한 경우.

Expert commentary
Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert
Guidelines & Case Law Related

3. 제1항의 개인정보는 제2항 (h)호의 목적을 위해 처리될 수 있는데, 유럽연합 또는 회원국 법률이나 관련 국가기관이 제정한 규정에 따라 직무상 기밀 유지의 의무가 있는 전문가의 책임에 의하거나 책임 하에서 해당 개인정보가 처리되는 경우나, 유럽연합 또는 회원국 법률이나 관련 국가기관이 수립한 규정에 따라 기밀 유지의 의무가 있는 제3자에 의해 해당 개인정보가 처리되는 경우와 같은 때이다.

4. 회원국은 유전정보, 생체정보 또는 건강에 관한 정보에 대하여 제한 등의 추가 조건을 유지하거나 도입할 수 있다.

Expert commentary ISO 27701 Recitals Guidelines & Case Law Leave a comment
Expert commentary

Some personal data, because of their sensitive nature, belong to special categories in the General Data Protection Regulation. Processing data mentioned in one of these eight (8) categories poses indeed “significant risks to the fundamental rights and freedoms” of an individual (recital 51). Risks vary depending on the type of data involved. Paragraph one of article 9 enumerates all types of data covered, but they are not readily intelligible. A visual list, broken down into eight points, helps to clarify the scope of the provision and what data are considered “special” by the European regulation:

  1. data disclosing racial or ethnic origin;
  2. data divulging political opinions;
  3. data revealing religious or philosophical beliefs;
  4. data about trade union membership;
  5. genetic data;
  6. biometric data used to identify a person;
  7. data concerning health; and
  8. data relating to a person’s sex life or sexual orientation.

[…]


to read the full text

Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert
ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 9 GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.

[…]


to read the full text

Recitals

(51) 본질적으로 기본권과 자유와 관련해 특히 민감한 개인정보는 그 처리가 기본권 및 자유에 중대한 위험을 초래할 수 있기 때문에 특정한 보호를 받아야 한다. 이러한 정보에는 인종 또는 민족출신을 드러나는 개인정보도 포함되어야 하나, 본 규정에서 ‘인종출신’이라는 용어를 사용한다고 하여 유럽연합이 서로 다른 인종이 존재한다고 단정 지으려는 이론을 용인한다는 의미는 아니다. 사진의 처리는 개인을 고유하게 식별하거나 인증할 수 있는 특정 기술 수단을 통해 처리될 시에만 생체정보의 정의에 해당되기 때문에, 체계적으로는 특별 범주의 개인정보 처리로 분류되지 않는다. 그 개인정보는 회원국의 법률이 공익을 위하거나 컨트롤러에 부여된 공적 권한 행사에 따른 직무 수행 또는 법적 의무의 준수를 위해 본 규정의 규칙 적용을 변경하고자 데이터 보호에 관한 특정 조문을 규정할 수 있다는 사실을 고려하여 본 규정에 명시된 특정 상황에서 허용되지 않는다면 처리되어서는 안 된다. 그 처리에 대한 특정 요건과 더불어, 본 규정의 통칙 및 기타 규칙은 특히 적법한 처리를 위한 조건과 관련하여 적용되어야 한다. 그 같은 특별 범주의 개인정보 처리를 일반적으로 금지하는 것에 대한 적용제외는 명시적으로 제공되어야 하고, 특히 정보주체가 명백한 동의를 제공한 경우나 특히 기본적 자유 행사를 허용할 목적으로 특정 재단 또는 협회가 행하는 정당한 활동 중에 처리가 이루어지는 경우의 특정 요구조건과 관련하여 더욱 그러하다.

(52) 특별 범주의 개인정보 처리를 금지하는 것에 대한 적용제외는 유럽연합 또는 회원국 법률에 규정이 되어있고 적절한 안전장치에 따를 경우 개인정보 및 기타 기본권 보호를 위해 허용되어 한다. 특히 공익을 위한 경우로서, 고용법, 연금 및 의료보장 등의 사회적 보호 법률, 감시 및 경계 목적, 전염병 및 기타 건강에 대한 중대한 위협을 예방하거나 통제하려는 경우의 개인정보 처리에 대해서 특히 적용제외가 허용이 되어야 한다. 그 같은 적용제외는 공중보건, 의료 서비스 관리 등의 보건 목적을 위해 허용될 수 있으며, 특히 건강보험 제도상 수당 및 서비스 청구에 사용되는 절차의 품질 및 비용의 효율성을 보장하기 위해서나 공익적 기록보존 목적, 과학적 및 역사적 연구 목적 또는 통계 목적을 위해 허용될 수 있다. 적용제외는 또한 법적 청구권(legal claims)의 입증, 행사 또는 방어 시 필요한 경우 ‘법정 소송절차, 행정절차 또는 법원 외 절차인지 여부에 관계없이’ 그러한 특별 범주의 개인정보 처리를 허용하여야 한다.

(53) 더 높은 수준의 보호를 받아야 하는 특별 범주의 개인정보는 개인 및 사회 전반의 이익을 위한 목적 달성에 필요한 건강 관련 목적으로만 처리되어야 하며, 특히 품질관리, 관리정보, 의료서비스 및 사회보장 제도에 대한 국가와 지역차원의 감독 목적, 의료서비스나 사회보장의 지속성 및 국가간 의료서비스나 의료보장 달성의 목적, 모니터링 및 경계 목적이나 공익적 목표를 달성해야 하는 유럽연합 또는 회원국 법률에 근거한 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적이나 통계 목적을 위해, 그리고 공중보건 부문의 공익을 위한 연구를 위해 경영진 및 중앙 보건당국이 그 같은 데이터를 처리하는 등 의료서비스 또는 사회보장서비스·제도를 관리하는 경우에서 개인과 사회 전체의 이익을 위해 그 목적 달성이 필요한 경우가 그러하다. 따라서 본 규정은 특히 직무상의 법적 기밀유지 의무가 보장되는 상황에서 개인이 특정의 건강 관련 목적으로 건강에 관한 특별 범주의 개인정보를 처리하는 경우, 특정 니즈(needs)를 고려하여, 그 같은 처리에 대한 조화로운 여건을 제공하여야 한다. 유럽연합 또는 회원국 법률은 개인의 기본권 및 개인정보를 보호하기 위한 구체적이고 적절한 조치를 규정하여야 한다. 회원국은 유전 정보, 생체 정보 또는 건강에 관한 데이터의 처리와 관련하여 제한 등 추가적 조건을 유지하거나 도입할 수 있어야 한다. 그러나 회원국 간에 이루어지는 그 같은 처리에 상기 조건이 적용될 시 유럽연합 역내의 자유로운 개인정보 이동이 방해를 받아서는 안 된다.

(54) 특별 범주의 개인정보 처리는 정보주체의 동의 없이 공중보건 분야에서 공익상의 이유로 필요할 수 있다. 그 처리는 개인의 권리와 자유를 보호하기 위해 적절하고 구체적인 조치를 적용받아야 한다. 그러한 맥락에서 ‘공중보건’은 유럽의회와 각료이사회의 규정(EC) No1338/2008에 정의된 대로 해석되어야 하며 [11], 이는 건강과 관련된 모든 요소로서 질병 상태나 장애 등의 건강상태, 그 건강상태에 영향을 미치는 결정적 요소, 의료서비스의 필요, 의료서비스에 할당된 자원, 의료서비스 지출 및 재정 조달을 비롯한 의료서비스 제공 및 보편적 이용, 그리고 사망 원인 등을 가리킨다. 공익적 사유의 그 같은 건강 관련 개인정보의 처리로 인해 고용인 또는 보험사, 그리고 금융사 등 제3자가 기타 목적으로 개인정보를 처리하는 결과가 초래되어서는 안 된다.

[11] Regulation (EC) No 1338/2008 of the European Parliament and of the Council of 16 December 2008 on Community statistics on public health and health and safety at work (OJ L 354, 31.12.2008, p. 70). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2008:354:TOC

(55) 또한 헌법이나 국제공법에 규정된 공인된 종교단체의 목표를 달성할 목적으로 공공당국이 실시하는 개인정보의 처리는 공익을 근거로 시행된다.

(56) 선거활동 중 회원국 내 민주주의 제도의 작동을 위해 정당이 개인의 정견에 대한 개인정보를 축적하도록 요구되는 경우, 적절한 안전조치가 수립되는 한, 공익의 사유로 그 같은 데이터의 처리가 허용될 수 있다.

Guidelines & Case Law Leave a comment
[js-disqus]