(75) 개인의 권리와 자유에 초래되는 위험은, 다양한 발생가능성과 심각성으로 나타나는데 이는, 개인정보 처리로 인해 발생할 수 있으며, 이는 신체적(physical), 물질적(material) 혹은 비-물질적(non-material) 손해를 초래할 수 있다. 특히, 처리로 인해 차별, 신용도용 및 사기, 재정적 손실, 명예훼손, 직무상의 기밀로 보호되던 개인정보의 기밀성 상실, 가명정보에 대한 무단 재식별 처리, 또는 기타의 심각한 경제적 또는 사회적 불이익이 초래될 수 있는 경우 그러하다. 또한, 정보주체가 본인의 권리와 자유를 빼앗길 수 있는 경우나, 본인의 개인정보에 대한 자기결정권(right to control) 행사하지 못하게 되는 경우, 혹은 개인정보가 인종 및 민족의 출신, 정견, 종교 및 철학적 신념, 노동조합의 가입여부와 유전자정보, 건강정보 또는 성생활 관련 정보나 범죄 기소 및 범죄관련 개인정보에 대한 처리 또는 관련한 보안 조치를 드러내는 방식으로 처리되는 경우. 또는 개인적인 측면에 평가되는 경우로 특히 업무능력, 경제적 상황, 건강상태, 개인의 성향 및 관심사, 신뢰성이나 행동, 위치 및 이동경로와 관련된 측면을 개인프로필 생성 및 이용을 위해 분석하거나 예측하는 경우. 혹은 아동 등 취약한 개인의 개인정보가 처리되는 경우나 처리가 방대한 양의 개인정보와 관련 있거나, 수많은 정보주체에게 영향을 미치는 경우가 그러하다.
(75) The risk to the rights and freedoms of natural persons, of varying likelihood and severity, may result from personal data processing which could lead to physical, material or non-material damage, in particular: where the processing may give rise to discrimination, identity theft or fraud, financial loss, damage to the reputation, loss of confidentiality of personal data protected by professional secrecy, unauthorised reversal of pseudonymisation, or any other significant economic or social disadvantage; where data subjects might be deprived of their rights and freedoms or prevented from exercising control over their personal data; where personal data are processed which reveal racial or ethnic origin, political opinions, religion or philosophical beliefs, trade union membership, and the processing of genetic data, data concerning health or data concerning sex life or criminal convictions and offences or related security measures; where personal aspects are evaluated, in particular analysing or predicting aspects concerning performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, in order to create or use personal profiles; where personal data of vulnerable natural persons, in particular of children, are processed; or where processing involves a large amount of personal data and affects a large number of data subjects.
(84) 처리 방법이 개인의 권리와 자유에 관해 높은 수준의 위험을 초래할 가능성이 있는 경우 이 규정을 보다 더 잘 준수하기 위해서, 컨트롤러는 특히 관련 위험의 출처, 성격, 특성 그리고 심각성을 평가하는 개인정보보호 영향평가(DPIA)를 수행할 책임이 있다. 평가결과는, 이 규정에 따라 개인정보가 처리되었음을 입증하기 위해 적절한 조치를 결정할 때, 고려되어야 한다. 개인정보보호 영향평가 결과를 통해, 컨트롤러가 이용할 수 있는 기술과 기술시행 비용을 고려했을 때, 적절한 조치로 고위험을 완화할 수 없는 처리 작업임이 판단되는 경우, 처리 이전에 감독기관에 자문을 구해야 한다.
(84) In order to enhance compliance with this Regulation where processing operations are likely to result in a high risk to the rights and freedoms of natural persons, the controller should be responsible for the carrying-out of a data protection impact assessment to evaluate, in particular, the origin, nature, particularity and severity of that risk. The outcome of the assessment should be taken into account when determining the appropriate measures to be taken in order to demonstrate that the processing of personal data complies with this Regulation. Where a data-protection impact assessment indicates that processing operations involve a high risk which the controller cannot mitigate by appropriate measures in terms of available technology and costs of implementation, a consultation of the supervisory authority should take place prior to the processing.
(89) 지침 95/46/EC에서는 감독기관에 개인정보처리를 통지하라는 일반적인 의무조건을 규정하고 있었다. 이러한 의무는 행정적, 재정적 부담을 주는 반면, 항상 개인정보보호 개선에 도움이 된 것은 아니었다. 따라서 이러한 무차별적인 일반적인 통지의 의무는 철폐되어야 하며, 대신 처리 작업의 성격·범위·상황·목적에 따라 개인의 권리와 자유에 고위험을 초래할 가능성이 있는 처리작업 유형을 중점적으로 통지하는, 효과적인 절차와 메커니즘으로 대체되어야 한다. 여기에 해당되는 처리작업의 유형은 신기술을 사용하는 경우나 새로운 종류의 처리인 경우, 컨트롤러가 이전에 개인정보 영향평가를 시행한 적이 없는 경우나 혹은 최초의 처리 이후 시간이 흘러 개인정보 영향평가가 필요하게 된 경우가 포함된다.
(89) Directive 95/46/EC provided for a general obligation to notify the processing of personal data to the supervisory authorities. While that obligation produces administrative and financial burdens, it did not in all cases contribute to improving the protection of personal data. Such indiscriminate general notification obligations should therefore be abolished, and replaced by effective procedures and mechanisms which focus instead on those types of processing operations which are likely to result in a high risk to the rights and freedoms of natural persons by virtue of their nature, scope, context and purposes. Such types of processing operations may be those which in, particular, involve using new technologies, or are of a new kind and where no data protection impact assessment has been carried out before by the controller, or where they become necessary in the light of the time that has elapsed since the initial processing.
(90) 이러한 경우, 고위험의 가능성 및 강도를 평가하기 위해 처리의 성격·범위·상황·목적 그리고 위험요소의 출처를 고려하여, 처리 이전에 개인정보보호 영향평가가 컨트롤러에 의해 수행될 수 있어야 한다. 이러한 개인정보보호영향평가는 해당 위험을 완화하고 개인정보를 보호하며, 본 규정의 준수여부를 입증하기 위한 조치, 안전장치 및 메커니즘을 특히 포함해야 한다.
(90) In such cases, a data protection impact assessment should be carried out by the controller prior to the processing in order to assess the particular likelihood and severity of the high risk, taking into account the nature, scope, context and purposes of the processing and the sources of the risk. That impact assessment should include, in particular, the measures, safeguards and mechanisms envisaged for mitigating that risk, ensuring the protection of personal data and demonstrating compliance with this Regulation.
(91) 이는 특히 상당한 양의 개인정보를 지역적, 국가적, 초국가적 차원에서 처리하고자 하는 대규모의 처리작업과 수많은 정보주체에게 영향을 미칠 수 있는 처리작업, 그리고 현재의 기술적 지식 수준에서 신기술을 대규모 처리에 사용하는 경우 등, 그 민감성 때문에 고위험을 초래할 수 있는 처리작업뿐 아니라 정보주체가 권리를 행사하기 어려운 상황 등, 정보주체의 권리와 자유에 고위험을 초래할 수 있는 기타 처리 방식에 적용되어야 한다. 또한, 관련 개인정보의 프로파일링에 근거하여 개인의 개인적인 측면에 대한 체계적이고 광범위한 일체의 평가를 따라 특정 개인에 대한 결정을 내리기 위해 개인정보를 처리하는 경우, 혹은 특별범주의 개인정보, 생체정보 또는 형사기소 및 범죄나 관련보안조치에 대한 정보처리에 따라 특정 개인에 대한 결정을 내리기 위해 개인정보를 처리하는 경우, 개인정보보호 영향평가가 이루어져야 한다. 특히 시각적 전자기기를 사용하여 공공장소를 대규모로 감시할 때나, 관할 감독기관이 판단하기에 해당 처리가 특히 정보주체가 권리를 행사하지 못하게 하거나 서비스 혹은 계약을 이용하지 못하게 하거나, 체계적으로 대규모로 수행되어 정보주체의 권리와 자유에 고위험을 초래할 가능성이 있다고 간주되는 처리작업에 모두 개인정보보호 영향평가는 동일하게 필요하다. 해당 개인정보 처리가 개인 내과 의사나 기타 의료전문인 또는 변호사의 환자나 고객으로부터의 개인정보가 관련된 처리인 경우, 대규모의 처리라고 간주되어서는 안 된다. 이 경우, 개인정보보호 영향평가는 의무여서는 안된다.
(91) This should in particular apply to large-scale processing operations which aim to process a considerable amount of personal data at regional, national or supranational level and which could affect a large number of data subjects and which are likely to result in a high risk, for example, on account of their sensitivity, where in accordance with the achieved state of technological knowledge a new technology is used on a large scale as well as to other processing operations which result in a high risk to the rights and freedoms of data subjects, in particular where those operations render it more difficult for data subjects to exercise their rights. A data protection impact assessment should also be made where personal data are processed for taking decisions regarding specific natural persons following any systematic and extensive evaluation of personal aspects relating to natural persons based on profiling those data or following the processing of special categories of personal data, biometric data, or data on criminal convictions and offences or related security measures. A data protection impact assessment is equally required for monitoring publicly accessible areas on a large scale, especially when using optic-electronic devices or for any other operations where the competent supervisory authority considers that the processing is likely to result in a high risk to the rights and freedoms of data subjects, in particular because they prevent data subjects from exercising a right or using a service or a contract, or because they are carried out systematically on a large scale. The processing of personal data should not be considered to be on a large scale if the processing concerns personal data from patients or clients by an individual physician, other health care professional or lawyer. In such cases, a data protection impact assessment should not be mandatory.
(92) 개인정보보호 영향평가가 단일 프로젝트보다 광범위하게 적용되어야, 합리적이고 경제적이라고 생각되는 상황이 있다. 예를 들어, 공공기관이나 공공기구가 동일한 적용 플랫폼이나 처리 플랫폼을 수립할 계획인 경우, 또는 여러 명의 컨트롤러가 산업분야나 부문 전반이나 비슷한 수준의 활동(horizontal activity)에 광범위하게 사용되는 동일한 적용환경이나 처리환경을 도입하려는 경우가 있다.
(92) There are circumstances under which it may be reasonable and economical for the subject of a data protection impact assessment to be broader than a single project, for example where public authorities or bodies intend to establish a common application or processing platform or where several controllers plan to introduce a common application or processing environment across an industry sector or segment or for a widely used horizontal activity.
(93) 공공기관이나 공공기구의 업무수행 규정하는 회원국 법률 혹은 구체적인 처리작업이나 일련의 처리작업을 규제하는 회원국 법률을 채택할 때, 회원국은 처리활동을 하기 전에 이러한 평가의 수행이 필요하다고 생각할 수 있다.
(93) In the context of the adoption of the Member State law on which the performance of the tasks of the public authority or public body is based and which regulates the specific processing operation or set of operations in question, Member States may deem it necessary to carry out such assessment prior to the processing activities.
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 35 GDPR:
8.2.1 Клиентское соглашение
Средство управления
Организация должна обеспечить, при необходимости, чтобы в договоре на обработку ПИИ учитывалась роль организации в предоставлении помощи по обязательствам клиента (принимая во внимание характер обработки и информацию, доступную для организации).
Руководство по внедрению
Контракт между организацией и клиентом должен включать, где это уместно, следующее и в зависимости от роли клиента (контроллер ПИИ или обработчик ПИИ) (этот список не является ни окончательным, ни исчерпывающим):
…
Войти
для доступа к полному тексту