모바일메뉴닫기
서브비쥬얼 서브비쥬얼

HOMEGDPR 소개정보주체의 권리

정보주체의 권리

기업의 GDPR 적용대상 여부

GDPR신설 또는 강화된 조항

  • ① 정보를 제공받을 권리 [제12~14조]
  • ② 정보주체의 열람권 [제12,15조]
  • ③ 정정권 [제12,16,19조]
  • 신설④ 삭제권(잊힐권리) [제12,17,19조]
  • 신설⑤ 처리 제한권 [제12,18,19조]
  • 신설⑥ 개인정보 이동권 [제12,20조]
  • ⑦ 반대권 [제12,21조]
  • 신설⑧ 프로파일링을 포함한 자동화된 의사결정
    [제12,22조]

개인정보보호법

  • 제20조(정보주체 이외로 부터 수집한 개인정보의 수집 출처 등 고지)
  • 제35조(개인정보의 열람)
  • 제36조(개인정보의 정정삭제)
  • 제37조(개인정보의 처리 정지)
  • 제38조(권리 행사의 방법 및 절차)
1정보를 제공받을 권리 [제12~14조]

컨트롤러는 공정하고 투명한 처리 원칙을 보장하기 위해 정보주체에게 본인의 개인정보를 어떻게 처리하고 있는지에 관한 정보를 명확하고 쉬운 언어로, 무상으로 알려주어야 함

제공정보 정보주체로부터 직접 수집하는 경우 정보주체로부터 직접 수집하지 않은 경우
컨트롤러 및 컨트롤러의 대리인과 DPO의 신원 및 연락처 O O
해당 개인정보의 처리 목적 및 처리의 법적 근거 O O
(해당되는 경우) 컨트롤러 또는 제3자의 정당한 이익 O O
처리하는 개인정보의 유형 - O
개인정보 수령인(recipient) 또는 수령인의 유형 O O
제3국으로 이전 관련 상세 내용 및 보호 방법 O O
보유기간 또는 보유기간 결정을 위해 적용한 기준 O O
정보주체의 각 권리의 존재 O O
(해당되는 경우) 동의를 철회할 수 있는 권리 O O
감독기구에 민원을 제기할 수 있는 권리 O O
개인정보의 출처 및 공개적으로 접근이 허용된 출처인지 여부 - O
개인정보의 제공이 법률이나 계약상의 요건이나 의무인지 여부 및 개인정보 제공을 하지 않을 경우 생길 수 있는 영향 O -
프로파일링 등 자동화된 결정의 존재 및 어떻게 결정되는지에 대한 정보와 그 중요성 및 영향 O O

정보 제공 시기

정보주체로부터 직접 수집하는 경우 : 정보를 취득한 때

정보주체로부터 직접 수집하지 않는 경우

  • 정보 취득 후 합리적인 기간 내에(최대 1개월)

  • 개인정보가 정보주체와의 연락 목적으로 이용되는 경우 : 늦어도 해당 정보주체에게 최초로 연락한 시점
  • 다른 수령인에게 공개될 것이 예상되는 경우 : 늦어도 최초로 공개되는 시점
2정보주체의 열람권 [제12,15조]

컨트롤러는 정보주체가 개인정보 처리 내용과 그 적법성을 확인할 수 있도록 정보주체의 요구가 있을 경우 자신의 개인정보 및 다음의 모든 정보에 대해 열람할 수 있도록 조치하여야 함

열람 내용
① 처리 목적
② 관련된 개인정보의 유형
③ 개인정보를 제공받았거나 제공받을 수령인 또는 수령인의 범주
④ (가능하다면) 개인정보의 예상 보유 기간 또는 (가능하지 않다면) 해당 기간을 결정하기 위한 기준
⑤ 본인의 개인정보에 대한 수정, 삭제 또는 처리 제한이나 처리에 대한 반대를 요구할 수 있는 권리의 유무
⑥ 감독기구에 민원을 제기할 수 있는 권리
⑦ 개인정보가 정보주체로부터 수집되지 않은 경우 그 출처에 대한 모든 가용한 정보
⑧ 프로파일링 등 자동화된 결정의 유무 및 이에 따른 유의미한 정보와 이러한 처리의 유의성과 예상되는 결과

사본은 무상으로 제공, 정보주체의 요구가 전자적인 형태의 경우에는 일반적으로 이용 가능한 전자적 형태로 제공

요구를 받은 때로부터 1개월 이내 관련 정보 제공

다만 요구가 복잡하거나 여러 개일 때에는 이행 기간을 2개월 추가 연장 가능
(이 경우 해당 요구를 접수한 날로 부터 1개월 이내 연장이 필요한 이유를 통지해야 함)

3정정권 [제12,16,19조]

정보주체는 개인정보가 부정확하거나 불완전하다면 이에 대한 정정을 요구할 권리가 있음

컨트롤러는 정보주체의 정정권리를 보장할 수 있도록 필요한 조치를 하여야 함

정정 요구 시 조치 사항

  • 정정 요구를 받은 시점으로부터 1개월 이내 이행해야 하나, 정정 요구가 복잡한 경우 2개월 추가 연장 가능
  • 정정 요구에 따른 조치를 취하지 않은 경우, 정보주체에게 그 이유 및 감독기구에 민원을 제기할 권리와 사법적 구제를 청구할 권리가 있음을 고지
  • 개인정보를 (정보)수령인에게 공개·제공한 경우, 가능한 한 그 수령인에게 정보주체의 개인정보가 정정된 사실에 대해 알려 주어야 하며, 적절한 경우 정보주체에게 그 정보가 제공된 수령인에 관해서도 알려야함
4삭제권(잊힐권리) [제12,17,19조] 신설

삭제권(잊힐권리) (Right to erasure 또는 ‘Right to be forgotten’) [17조]

정보주체는 본인에 관한 개인정보의 삭제를 컨트롤러에게 요구할 권리를 가지며 컨트롤러는 개인정보 처리목적의 달성, 정보주체의 동의 철회 등의 경우에 개인정보를 삭제하여야 함

‘14.05 유럽사법재판소가 결정한 잊힐권리 개념 도입(GDPR상 삭제권은 온전한 잊힐 권리는 아님)

삭제권이 보장되는 경우

  • 개인정보가 원래의 수집·처리 목적에 더 이상 필요하지 않은 경우
  • 정보주체가 동의를 철회한 경우(단, 해당처리에 대한 법적인 사유가 없는 경우)
  • 정보주체가 처리에 반대하는 경우로서 처리의 계속을 위한 더 중요한 사유가 없는 경우
  • 개인정보가 불법적으로 처리된 경우(GDPR 위반 등)
  • 법적 의무 준수를 위하여 삭제가 필요한 경우
  • 아동에게 제공할 정보사회서비스와 관련하여 개인정보를 처리한 경우

표현 및 정보의 자유에 관한 권리 행사, 공익 목적 등의 경우에는 삭제권 행사가 거부 될 수 있음

개인정보 제3자 공개 시, 불가능하거나 과도한 노력을 해야 하지 않는 한 그 제3자에게 개인정보 삭제를 알려야 함

개인정보를 일반에게 공개하는 온라인 환경에 종사하는 조직들은 다른 조직들이 해당 개인정보의 링크 및 사본 또는 복제본을 삭제하도록 통지하여야 함

5처리 제한권 [제12,18,19조] 신설

처리 제한권 (Right to restriction of processing) [18조]

정보주체는 자신에 관한 개인정보의 처리를 차단하거나 제한할 권리를 가지며, 개인정보 처리가 제한되면 컨트롤러는 그 정보를 보관하는 것만 가능

처리 제한을 해제하는 경우 그 사실을 정보주체에게 고지

정보주체의 개인정보 처리 제한 요구를 이행해야 하는 경우

  • 정보주체가 개인정보의 정확성에 이의를 제기한 경우(개인정보의 정확성을 입증할 때까지 처리를 제한)
  • 처리가 불법적이고, 정보주체가 삭제를 반대하고 대신 개인정보의 처리 제한을 요구하는 경우
  • 더 이상 개인정보가 필요하지 않지만 정보주체가 법적 청구권의 행사나 방어를 위해 그 정보를 요구한 경우
  • 컨트롤러가 정당한 이익을 위해 하는 개인정보처리가 정보주체의 정당한 이익보다 우선하는지 확인중인 경우

개인정보의 처리가 제한된 경우에도 ① 정보주체의 동의가 있거나, ② 법적 청구권의 입증이나 행사를 위한 경우, ③ 제3자의 권리 보호를 위한 경우,
④ EU 또는 회원국의 중요한 공익상의 이유가 있는 경우에는 처리 가능

개인정보 처리 제한 방법의 예시(전문 제 67항)

선택된 정보를 임시적으로 다른 처리 시스템으로 이전

정보주체가 선택된 정보를 열람하지 못하도록 하거나 공개된 개인정보를 웹사이트에 임시로 제거

6개인정보 이동권 [제12,20조] 신설

정보주체나 다른 컨트롤러에게 자신의 데이터를 제공할 것을 요구 할 수 있는 권리

1.정보주체에 관한 개인정보? 2.자동화된 수단에 의한 처리? 3.동의 또는 계약 이행에 근거? 4.정보주체가 제공? 5.이동으로 타인의 자유와 권리에 불리한 영향?

(목적)

① 정보주체의 권리 강화

② 기업간의 공정한 경쟁 유도

③ 데이터 활용 활성화(PDS(Personal Data Store), 정보은행)

(제공 방법)

기계 판독이 가능한 형태 (CSV, JSON, XML 등)

(이행 시기)

1개월 이내 (정보주체에게 사유를 설명하고 2개월 추가 연장 가능)
7반대권 [제12,21조]

정보주체는 프로파일링 등 본인과 관련한 개인정보의 처리에 대해 언제든지 반대할 권리를 지님

컨트롤러는 정보주체에게 최초 고지하는 시점에 반대권에 대한 내용을 알려주어야 하며, 이러한 사항은 다른 정보와 분리하여 분명하게 제시해야 함

반대권 요구 시 조치 사항

  • 직접 마케팅 목적의 처리 시, 정보주체의 반대권 행사 즉시 개인정보 처리 중단 및 이후 동일 목적의 처리 금지
  • 컨트롤러의 정당한 이익 또는 공적 임무 수행 및 직무권한 행사에 근거한 처리 시 정보주체는 자신의 특수한 상황을 근거로 반대권을 행사할 수 있으며, 정보주체의 이익이나 권리 및 자유보다 더 중요하고 강력한 정당한 근거를 입증할 수 있거나 법적 청구권의 입증이나 행사를 위한 경우를 제외하고는 해당 개인정보 처리를 중단
  • 과학적 또는 역사적 연구 목적 또는 통계적 목적으로 처리 시 정보주체는 자신의 특수한 상황을 근거로 반대권을 행사할 수 있으며, 다만 해당 처리가 공익을 위한 업무수행을 위하여 필요한 경우에는 예외로 함

컨트롤러는 개인정보 처리 행위가 반대권을 행사할 수 있는 유형에 속하고 온라인으로 이루어진다면 온라인으로 반대 요청을 처리할 수 있는 방법을 제시하여야 함

8프로파일링을 포함한 자동화된 의사결정 [제12,22조] 신설

법적 효력을 초래하거나 이와 유사한 중대한 효과를 미치는 사항에 대하여 프로파일링*을 포함한 자동화된 처리에만 근거한 인적개입없는 결정의 적용을 받지 않을 권리
* 프로파일링 : 개인의 사적인 측면(직장내 업무수행, 경제 상황, 건강, 개인적 취향 등)을 분석, 예측하기 위한 자동화된 처리

1.정보주체에 관한 개인정보? 2.자동화된 수단에 의한 처리? 3.동의 또는 계약 이행에 근거? 4.정보주체가 제공? 5.이동으로 타인의 자유와 권리에 불리한 영향?

(원칙) 정보주체는 자동화된 처리에만 의존하는 의사결정의 적용을 받지 않음

(예외) 계약의 이행, 명시적인 동의, 법률이 허용하는(예: 사기, 탈세 방지 목적) 경우

(정보주체 권리) 인적 개입을 요구할 권리, 정보주체가 자신의 관점을 표현할 권리, 그 결정에 대한 설명을 요구할 권리 및 그에 반대할 권리 등

GDPR 문의 : 061-820-1805