책임성(원칙)

* 컨트롤러는 개인정보 처리 원칙을 준수하도록 책임을 지며, 이에 대한 준수를 입증할 수 있어야 함

인정

인정기관

활동보고서

* 감독기관은 연차보고서(annual report)를 작성하여 의회, 정부, EU회원국 법이 정한 다른 감독기관에 보내고, 대중, EU집행위, EU개인정보보호이사회에 제공하여야 함

적정성 결정

* 개인정보 국외이전 시 이전대상국이나 국제기구의 개인정보 보호 수준이 국외이전을 허용할 만큼 적합한 수준인지 EU 집행위가 평가하는 제도 (결정에 대해 최소 4년마다 정기적인 검토)

과징금

* 동일하거나 관련된 처리가 GDPR 여러 규정 위반시, 가장 중한 침해에 해당하는 액수를 초과할 수 없음

총계 데이터

개정, 대체 또는 폐기된

익명처리

익명 정보

* 식별 가능한 데이터세트와 정보주체 간의 연계성을 제거하여 처리된 정보

적절한 안전장치(또는 적절한 보호장치)

* 적절한 안전장치가 있고, 집행가능한 정보주체의 권리와 효과 적인 법적구제가 가능한 경우 국외이전 가능

** 즉, 적절한 안전장치는 EU 정보를 국외이전하기 위해 필요한 조치 중의 하나로, ①소관감독기구의 허가를 요하지 않는 것 (㉠구속력 있는 기업규칙, ㉡표준개인정보보호조항, ㉢승인된 행동강령, 승인된 인증메카니즘 등 포함)과 ②소관감독기관의 허가를 요하는 것(㉠계약조항, ㉡공공기관간 행정약정)으로 구분됨

*** 공익적 기록보존 목적, 과학 및 역사 연구, 통계목적을 위한 처리는 정보주체의 권리와 자유를 위하여 적절한 안전장치가 필요하며, 이에 대해 EU 및 회원국은 예외규정을 만들 수 있음

승인된 인증메카니즘

기록보존 목적

* 공익적인 기록보존, 과학적 또는 역사적 연구목적 또는 통계 목적을 위하여 개인정보를 추가처리한 때는 원래의 목적과 양립된다고 봄

자동화된 의사결정 (프로파일링 포함)

* 자연인의 개인적인 특성을 평가하기 위하여 행해지는 모든 형태의 자동화된 개인정보 처리를 의미(특히, 해당 자연인의 근무성과, 경제적 상황, 건강, 개인적 선호, 관심, 신뢰성, 행태, 위치나 움직임 (이동) 등에 관한 측면을 분석‧예측하기 위한 경우)

** 정보주체는 자동처리에만 근거(excluding human intervention)하여 정보주체에게 법적효력 또는 이에 상응하는 중대한 영향을 미치는 결정에 적용받지 않을 권리를 보유(정보주체는 자동화된 결정에 대한 ①인적개입 요구, ②자신의 견해표명, ③설명요구 및 이의 제기를 할 수 있는 권리를 가짐) (적용제외 : (아동, 민감정보와 무관한 것으로) ①정보주체와 컨트롤러 간의 계약체결 및 이행, ②EU 또는 회원국 법이 허용, ③명시적동의)

자동화된 수단

진위성

가용성

의무적 기업규칙(또는 구속력 있는 기업규칙)

* 단일 또는 복수의 제3국에 위치한 컨트롤러나 프로세서에게 개인 정보를 이전하기 위해, 유럽연합 회원국 영토에 설립된 컨트롤러 또는 프로세서가 준수하는 개인정보 정책(내부 규칙)

** 기업이 내부적 규칙으로 BCRs을 설정하여 소관 감독기관의 승인을 얻으면, 개별적 승인 절차없이 개인정보 국외이전이 허용됨

(법적)구속력 있고 집행 가능한 약정

* 컨트롤러나 프로세서는 계약이나 다른 법적 구속력 있는 수단 으로 정보주체의 권리에 관한 것을 포함한 적절한 안전조치를 적용하겠다는 구속력 있고 집행 가능한 약정을 해야 함

바이오 정보(또는 생체정보)

* 안면 이미지나 지문정보와 같이 자연인의 신체적, 생리적, 행태적 특성과 관련된 정보를 특정 기술 처리로 얻어진 것을 의미하여, 자연인을 고유하게 식별할 수 있도록 해주거나 확인해주는데 사용될 수 있는 정보(ex. 지문, 얼굴, 홍채, 정맥, 음성, 필적 등) ☞ special categories of personal data 참조

EU 개인정보보호이사회 ☞ European Data Protection Board(EDPB) 참조

인증

* 회원국과 감독기관, EU개인정보보호이사회, EU집행위원회는 컨트롤러와 프로세서의 개인정보 처리활동이 GDPR 규정을 준수하고 있음을 입증하기 위한 목적으로 인증 메카니즘이나 인장 마크수립을 장려 (인증 유효기간 : 3년)

** 인증기관 : (소관 감독기관, 이사회 승인 기준을 토대로) 소관 감독 기관 또는 GDPR 제43조에 언급된 인증기관이 발급(인증으로 컨트롤러 등의 책임이 경감되지는 않으나, 과태로 경감요인은 됨)

*** approved certification mechanism(승인된 인증 메카니즘): 승인된 인증 메카니즘은 개인정보 국외이전 등 GDPR의 의무준수를 지원 ☞ European Data Protection Seal 참조

아동의 동의

* 16세 미만 아동은 부모의 동의 제공(또는 승인)이 있는 경우에 한하여 개인정보처리가 합법적인 것으로 인정됨 (단, EU 회원국은 회원국 법령에 아동의 연령을 별도로 규정가능하나, 13세미만으로 낮춰서는 안됨)

** GDPR은 정보사회서비스가 아동에게 제공되는 경우 부모의 동의를 요구(☞Information Society Service 참고)

기술적 문제(우회 또는 회피)

* 개인보호는 기술적으로 중립적이어야 하며, 사용되고 있는 기술에 의존해서는 안 됨

명확하고 적극적인 행동

* 동의는 진술 또는 명백하고 적극적인 의사표시에 의해 행해져야 함

행동강령(의 입안)

* 컨트롤러 또는 프로세서를 대표하는 단체 또는 기관들이 자율적으로 마련하는 일종의 가이드라인

** 행동강령 포함사항 : 공정하고 투명한 처리, 컨트롤러의 정당한 이익, 개인정보 수집 및 가명처리, 대중 및 정보주체 에게 제공되는 정보, 정보주체 권리행사, 아동의 보호 및 부모의 동의 획득 방식, 보안초지, 개인정보침해 신고와 통지, 국외 이전, 분쟁해결절차

*** approved codes of conduct(승인된 행동강령) : 관련 있는 감독기관에 의해 승인된 행동강령으로 개인정보 국외이전 등 GDPR의무 준수를 지원

**** 행동강령에 등록하는 경우, 감독기관에 의해 승인된 기구의 의무 모니터링 대상이 됨

EU 집행위원회

* 위임법률 채택, GDPR 등 EU 정보보호 법률에 대한 평가 및 검토

** Commission reports(EU 집행위원회 보고서) : EU 집행위는 GDPR 평가와 심사에 관한 보고서를 유럽의회와 EU 개인정보 보호이사회에 제출하여야 함

통지(또는 연락) ☞ right to obtain confirmation and communication 참조

* communication of a personal data breach to the data subject (정보주체에의 개인정보 침해 통지) : 고위험 초래가능 개인정보 침해시, 컨트롤러는 침해사실을 부당한 지체없이 정보주체에게 알려야 함. 단, 컨트롤러의 적정한 기술적‧관리적 조치 이행, 고위험 방지 후속 조치 실행, 통지에 과도한 노력(disproportionate effort) 수반 시는 예외 (감독기관은 ①통지명령, ②통지의무 예외사유 충족 여부 판정 가능)

지역사회 기관

* 지역사회 기관에 의해 처리되는 개인정보의 보호 및 자유로운 이동에 관한 법률(Regulation 45/2001/EC)’이 적용되는 활동은 GDPR 적용 예외 대상임

(당초 목적과의) 양립 가능성

* 당초 목적과 양립 가능한(compatible) 경우 추가처리(further processing) 허용

** 공익적 기록보존, 과학적 또는 역사적 연구 목적, 통계목적을 위한 개인 정보 추가처리는 당초목적과 양립된다고 봄

배상 ☞ right to compensation and liability 참조

관할(권) ☞ competent supervisory authorities 참조

관할 감독기관

* 관할 감독기관이 범죄 및 이와 관련한 사안의 예방, 수사, 탐지, 기소 등의 목적으로 수행하는 활동은 GDPR 적용 예외 대상임

민원

* right to lodge a complaint with a supervisory authority(감독 기관에 민원을 제기할 권리) : 모든 정보주체는 자신에 관한 개인정보처리가 GDPR에 위배된다고 생각하는 경우, 감독기관에 민원을 제기할 권리를 가짐(민원접수 감독기관은 사법적 구제 책을 포함한 민원의 진행상황 및 결과를 민원인에게 알려야 함)

(개인정보보호 책임/의무) 준수

* compliance with a legal obligation by law (법률의무준수) : GDPR의 6가지 ‘처리적법성 요건’ 중의 하나

기밀성

* 개인정보는 적절한 보안을 보장하는 방식으로 처리해야 함.

** 보장 방식은 적절한 기술적·관리적 조치를 이용하여, 개인정보가 무단으로 또는 불법적으로 처리된다거나 사고로 인해 멸실, 파기, 손상되었을 경우에 대한 보호조치 등을 포함 ☞ principles of personal data processing 참조

컨트롤러 ☞ data controller 참조

(정보주체의) 동의

* 개인정보처리의 적법성 요건 중 하나로, 진술이나 명백한 긍정적 행위에 의하여(by a statement or by a clear affirmative action) 정보주체가 자신과 관련된 정보처리에 합의한다는 희망을 자유롭게(freely given), 구체적으로(specific), 필요한 정보가 사전에 공지되어(informed) 모호하지 않도록(unambiguous) 나타낸 모든 표시행위를 의미(동의의 입증책임: 컨트롤러가 부담)

** informed consent : 정보주체가 처리결과와 사전에 공지된 필요정보에 대해 충분히 인지한 후에 이루어진 동의(정보 주체가 최소한 컨트롤러의 신원과 의도된 개인정보처리목적을 인식해야함)

*** explicit consent(명시적 동의) : 처리에 대한 동의의사를 나타내기 위한 성명(statement) 또는 명확하고 적극적인 행동 (clear affirmative action)으로 확인할 수 있는 동의를 의미. 명시적 동의는 ①민감정보 처리, ②개인정보 국외이전, ③자동화된 의사결정 등의 경우에 있어 합법적 처리근거로 사용됨

**** withdrawal of consent(동의철회) : 정보주체는 언제든지 본인의 동의를 철회할 권리를 가짐.(또한 동의 철회는 동의만큼 쉬워야 함)

일관성 (메카니즘)

* EU 전역에서의 GDPR의 일관적 적용을 위한 메카니즘 (일관성 메카니즘 구현을 위한 의견통합기구 : EU 개인정보보호이사회 존재 (견해가 상충되는 경우 구속력있는 결정 채택))

** 일관성 메카니즘 사유 : ①DPIA의 요구에 적용되는 처리작업 목록채택, ②행동강령 초안, 행동강령 개정 또는 연장의 GDPR 준수여부, ③인증기관의 인가기준 승인, ④표준개인정보 보호조항 결정, ⑤(국외이전을 위한 적절한 안전장치 일환으로서의) 표준 계약조항 허가, ⑥구속력 있는 기업규칙 승인, ⑦기타 둘 이상의 회원국에서 적용되거나 효과가 발생하는 모든 사안

*** 관련 감독기관이 적절하고 이유있는 반대(relevant and reasoned objection)를 한 경우, 주 감독기관이 수용하지 않으면 일관성 메카니즘으로 넘어감

**** urgency procedure(긴급절차) : 정보주체의 권리와 자유보호를 위하여 긴급히 행동할 필요가 있는 예외적 상황에서는 관련 감독기관은 일관성 메카니즘과 협력절차 적용없이 3개월을 초과하지 않는 유효기간을 특정하여 자국 영토에서 법적효력을 발생하는 잠정적 조치를 즉시 채택할 수 있음

협력

* cooperation between the lead supervisory authority and the other supervisory authorities concerned(주 감독기관과 다른 관련 감독기관간 협력) : ①(정보공유) 주 감독기관은 관련 감독기관과 협력하고 정보를 공유하여야 함 ②(지원 요청 및 공동작업)주 감독기관은 언제든지 관련 감독기관에 지원 요청하거나 공동작업을 할 수 있음, ③(일관성 메카니즘 적용) 관련 감독기관이 적절하고 이유있는 반대(relevant and reasonable objection)를 한 경우, 주 감독기관이 수용하지 않으면 일관성 메카니즘으로 넘어감, ④(상호지원) 감독기관들 관련정보와 상호지원을 제공하고, 효과적 협조를 위한 조치를 취하여야 함 ☞ mutual assistance 참조, ⑤(공동작업) 감독 기관들은 적절한 경우, 다른 회원국 감독기관들의 구성원이나 직원이 관여하는 공동조사‧공동집행 조치 등의 공동 작업을 수행해야 함

(감독기관 간) 협력과 일관성

* 주 감독기관의 존재는 필연적으로 다른 감독기관들 과의 협력 (cooperation)과 GDPR 해석과 적용에 있어서 회원국 간 일관성 (consistency) 확보 필요성을 야기 ☞ cooperation 및 consistency 참조

감독기관과의 협력

* 컨트롤러와 프로세스, (해당하는 경우) 대리인은 그 임무수행에 있어서 감독기관과 협력하여야 함

핵심활동

* 컨트롤러나 프로세서의 목적을 추구함에 있어 불가결한 요소 (inextricable part)에 해당하는 활동

EU 이사회

유럽평의회

범죄경력 및 범죄(행위)

* 범죄사실 관련 정보는 공권력 통제하에서, 또는 적절한 안전 장치를 규정하는 EU 또는 회원국 법률에 의해서만 처리 가능

** 범죄경력 및 범죄행위 관련 개인정보의 취급은 ①개인정보 처리작업의 기록, ②개인정보영향평가 수행, ③DPO 지정(대규모 처리시)대상임

국경을 넘는 (개인정보)처리 (또는 국경간 개인정보처리)

* ① 컨트롤러나 프로세서가 복수의 EU 회원국에 설립되어 있고, 복수의 EU 회원국의 컨트롤러나 프로세서의 사무소의 활동 맥락에서 개인정보 처리가 발생하는 경우, 또는 ② EU의 단일 컨트롤러 또는 프로세서의 단일 사무소의 활동 맥락에서 개인정보 처리가 발생하면서, 그러한 개인정보의 처리가 복수의 EU 회원국에 위치한 정보주체에게 상당한 영향을 미치거나 미칠 가능성이 있는 경우를 의미

** 국경 간 개인정보처리는 주 감독기관을 결정해야하는 전제가 됨

(개인정보의) 국외 이전

* GDPR은 적정성 결정이 있거나, 적절한 안전장치(appropriate safeguards)를 구비한 기업에 한하여 국외 이전을 허용 ☞ transfer of personal data 참조

개인정보 침해 ☞ personal data breach 참조

개인정보 침해 통지 ☞ personal data breach 참조

컨트롤러

* 개인정보의 처리 목적 및 수단을 단독 또는 공동으로 결정하는 자연인 또는 법인, 공공 기관, agency, 기타 단체

** 컨트롤러의 책임과 의무 : 개인정보보호 최적화 설계 및 기본 설정 등 개인정보 처리의 GDPR 준수를 보장하고, 이를 입증할 수 있는 적절한 기술적‧관리적 조치 이행(의무준수 입증 요소 : 승인된 행동 강령 또는 승인된 인증체계 준수)

*** joint controller(공동컨트롤러) : 둘 이상의 컨트롤러가 공동으로 개인정보 처리 목적과 수단을 결정하는 경우로, 공동컨트롤러는 당사자간 합의를 통해 GDPR에 따른 책임준수와 연관된 각자의 책임을 투명하게 결정해야함 (합의의 핵심내용은 정보주체에게 제공되어야하고, 합의 내용과 관계없이 정보주체는 개별 컨트 롤러에 대해 자신의 권리행사 가능하나, 외부적으로는 연대 책임 부담)

건강관련 정보

* 의료 서비스의 제공 등 자연인의 신체적, 정신적 건강과 연관된 개인정보로서, 정보주체의 건강 상태를 나타내주는 정보(민감정보에 해당) ☞ special categories of personal data 참조

개인정보 최소화(원칙)

* 개인정보는 처리목적과 관련하여 필요 최소한으로 제한되어야 하며, 적절하고 연관성이 있어야 함 ☞ principles of personal data processing 참조

(개인정보) 이동성 ☞ right to data portability 참조

프로세서

* 컨트롤러를 대신하여 개인정보를 처리하는 자연인 또는 법인, 공공기관, agency, 기타 단체(GDPR은 Directive와 달리 프로 세서에게도 직접 적용) ※ ‘대신하여(on behalf of)’의 의미 : ‘①컨트롤러의 이익을 위한, ②컨트롤러의 위탁에 근거한’ 처리라는 의미

** 프로세서가 개인정보 처리 목적과 수단을 결정하여 GDPR규정을 침해한 경우, 프로세서는 해당 개인정보처리와 관련하여 컨트롤러로 간주됨

감독기구 (혹은 감독기관)

개인정보보호 최적화(또는 중심) 설계 및 기본설정

* data protection by design (개인정보보호 최적화 설계) : 서비스 기획 단계부터 처리에 이르는 전 생애주기에 걸쳐 이용자의 프라이버시와 데이터를 보호하는 기술 및 정책을 적용하게 하는 것

** data protection by default (개인정보보호 기본설정) : 컨트 롤러는 기본설정을 통해 처리목적에 필요한 범위에 한하여 개인정보가 처리될 수 있도록 보장하기 위한 적절한 기술적· 관리적 조치를 이행하여야 함

개인정보보호 인장 및 마크

* 역내 컨트롤러의 GDPR 준수와 역외 컨트롤러의 적정한 안전 조치 존재 입증 목적으로 수립

개인정보 영향평가

* (특히, 새로운 기술을 사용하는) 개인정보처리가 정보주체의 권리와 자유에 고위험(high risk)을 수반할 가능성이 높은 경우, 컨트롤러가 해당 개인정보를 처리하기 이전에 처리의 위험성을 사전에 예측하기 위하여 실시 (오직 컨트롤러만 DPIA의무 부담)

** DPIA 수행이 반드시 요구되는 경우, ①자동화된 개인정보처리 (프로파일링)에 기반 한 체계적‧광범위한 평가와 그로인한 결정이 법적효과 또는 중대한 영향을 정보주체에게 미치는 경우 ② 민감 정보 또는 유죄판결 및 범죄에 대한 대규모 처리, ③(일반인이 접근가능한 장소의)대규모의 체계적 모니터링, ④신기술이 대규모로 사용될 때

*** DPIA 포함사항 : ① 예상되는 처리작업(컨트롤러의 정당한 이익 포함)과 처리목적의 체계적 기술, ② 처리목적과 관련한 처리의 필요성 및 비례성 평가. ③정보주체의 권리와 자유에 대한 위험 평가, ④(안전장치, 보안조치 및 메카니즘 포함) 위험을 해결할 것으로 예상되는 조치( + 승인된 행동강령의 준수 여부도 고려)

개인정보보호책임자(또는 개인정보보호담당관)
* GDPR은 개인정보보호책임자(DPO) 지정을 통해 컨트롤러 및 프로세서의 의무 이행 및 GDPR 준수를 지원(DPO는 직원 이거나 아웃소싱 가능)

** ①공공기관이거나 ②컨트롤러나 프로세서의 핵심활동이 (㉮정보주체에 대한 제3자의 정기적‧체계적인 모니터링에 해당 하거나, ㉯ 민감 정보, 범죄경력 및 범죄행위에 대한 대규모 처 리인 경우) DPO를 의무적으로 지정해야 함

*** 컨트롤러 등은 DPO를 공개하고 감독기구에 통지해야 함

**** DPO 직무 : 관련자들에 대한 조언의무, 정책 준수 감시의무, 요청에 따른 성과감시 의무, 감독기관과의 협력 및 통지 의무 등

***** 공동 DPO 제도 : 사업체 집단(group of undertakings)은 공동으로 1명의 DPO 지정 가능 ☞ group of undertakings 참조
※ 국내 개인정보보호법 상의 개인정보 보호책임자와는 지위, 책임, 역할 등이 상이함

개인정보보호 규정

정보주체

* 식별되었거나 식별가능한 살아있는 자연인으로서, 개인정보 처리 및 보호의 대상

위임 법률

* 위임법률을 채택할 권한(위임입법권)은 EU 집행위원회에 있음 (유럽집행위원회가 위임법률을 채택할때는 유럽의회와 이사 회에 동시에 통보해야 함)

** implementing acts(이행입법) : 위임법률에 따라 EU회원국에서 만들어지는 법률 규정 ☞ national derogations 참조

적용특례(특히, 개인정보 국외 이전 제한의 적용 특례)

* 명시적 동의, 계약이행, 중대한 공익, 법적권리행사, 정보주체 및 제3자의 중대한 이익(동의 곤란 시), EU 또는 회원국법에 따라 의도되고 공개된 등록부로부터 일부가 이전되는 경우 등이 국외이전 제한 적용특례에 해당 (단, 위 조건을 만족하지 않더라도 ①반복적 이전이 아니고, ②정보주체수가 제한적이며, ③컨트롤러의 정당한 이익을 위해 필요하고, ④적절한 보호조치에 따른 이전인 경우 이전 가능 (위 모든 조건 충족 시만 가능)) ☞ national derogations(회원국 적용특례 또는 회원국 법령에 위임한 사항) 참조:

손해(물리적, 금전적 등), 손상(인격 등)

EU 개인정보보호 지침

* 개인정보처리 및 자유로운 이전을 위한 EU 개인정보보호 일반 원칙을 정한 지침으로 회원국 내 법적 구속력 부재(GDPR시행시 대체)

* 정보 제공시 컨트롤러는 명확하고 평이한 언어로, 간결하고 투명 하게, 이해할 수 있고 쉽게 접근할 수 있는 형식으로 제공하여야 함

** 원칙적으로 서면이나 전자수단으로, 예외적으로 구두로 제공(전자적 수단으로 요청한 경우, 가능한 경우 전자적 수단으로 제공)

*** 요청받은 날로부터 1달 안에 제공(필요시 2개월 연장 가능)

**** 정보는 표준화된 아이콘과 함께 제공되어야 함(EU위원회는 아이콘에 관하여 위임입법 채택가능)

(EU 개인 정보보호이사회에 의한) 분쟁해결 ☞ European Data Protection Board 참조

(개인정보) 공개

전자적 수단

EU 개인정보보호이사회

* 각 회원국 감독기관의 장과 EDPS의 수장(또는 그들 각자의 대리인)으로 구성된 독립 기구로 GDPR의 일관된 적용을 위하여 가이드라인‧권고‧의견 등을 개진하고, 모범 사례를 발행하는 업무 등을 수행함(GDPR시행시, Directive에 의해 설립된 Article29 WP 대체)

** 일관성 메카니즘(consistency mechanism) 구현과정에서 견해가 상충되는 경우 구속력 있는 결정 채택 가능 ☞ consistency mechanism 참조

(개인정보) 암호화 ☞ pseudonymisation 참고

기업

* 법적형태와 상관없이, 경제활동에 종사하는 자연인 또는 법인 (정기적으로 경제활동에 종사하는 파트너쉽 또는 협회 포함)

** GDPR은 기업의 유형을 영세(micro-sized), 소규모(small), 중 규모(medium-sized)기업으로 구분 ☞ group of undertakings 참조

집행

유럽 개인정보보호감독관

* 유럽정보보호이사회에 부과된 업무를 수행하며 직원들은 유럽 정보보호이사회 의장의 지시에 따라 업무를 수행하고 의장에게 보고

유럽의회

유럽개인정보보호인장

* 감독기관과 인증기관에 의해 발행된 인증이 EU개인정보보호이사회에 의해 승인되는 경우, 이는 공용인증(common certification)인 유럽정보보호 인장이 될 수 있음 ☞ certification 참조

유럽단일연구공간

* EU 역내 과학적 자원을 통합하는 과학연구 프로그램

삭제 또는 파기 ☞ right to erasure 참조

사업장 (또는 사무소)

* 개인정보 보호의 관점에서 특정 기업이 어느 EU 회원국의 사법권의 영향에 놓이게 되는지를 결정하는 개념으로, ① GDPR에 따른 정보 주체의 권리를 어느 국가에서 행사하는지, ② 법 집행 활동에 있어 어느 감독 당국이 관여하는지, ③ 사법 절차가 어느 국가에서 진행 되는지 등에 영향을 미침. ☞ main establishment 참조

교회와 종교단체의 현존하는 개인정보보호 규정

* 회원국의 교회와 종교단체나 공동체의 지위는 존중되어야 하므로, GDPR은 이러한 지위를 원칙적으로 침해하지 못함

** GDPR 시행 이전의 개인정보 처리에 관한 포괄적 규정이 GDPR에 부합한다면 그대로 적용할 수 있음

공정성

* 개인정보는 정보주체와 관련하여 공정하게 처리되어야 함

** GDPR은 개인정보처리 원칙 중의 하나로 ‘적법성, 공정성, 투명성의 원칙’을 제시 ☞ principles of personal data processing 참조

파일링시스템

* 특정한 기준에 따라 접근할 수 있는 구조화된 개인정보의 집합체

표현 및 정보의 자유

* 회원국은 회원국 법에 의해 GDPR상의 개인정보보호에 대한 권리를 표현 및 정보의 자유에 대한 권리와 조화시켜야 함 (회원국은 관련 법이 제정‧개정되면 EU집행위원회에 통지해야 함) ☞ processing 참조

자유로운 개인정보의 이동

자유롭게 부여된

추가 처리

* GDPR은 당초 목적과 양립가능성(compatability)이 있는 경우 추가 처리를 허용

** 가명처리 등 적절한 안전장치가 구비된 경우 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적 또는 통계 목적 등을 위한 개인정보를 추가 처리한 때에는 원래의 목적과 양립될 수 있다고 봄

EU 일반 개인정보보호법

* EU 역내 개인정보의 안전한 이전과 활용을 위한 강제 규정 ('18.5월 발효)

유전정보

* 개인의 선천적 또는 후천적 유전자 특성으로 개인의 생리 (physiology) 또는 건강에 대한 고유한 정보를 제공하는 개인정보 로서, 특히 해당 개인의 생물학적 샘플 분석을 통하여 얻어진 것

** 특수한 범주의 정보(민감정보)로 분류되어 ①원칙적 수집금지, ②명시적 동의 필요 ☞ special categories of personal data 참조

세밀성

사업체 집단

* 공동 경제활동(joint economic activity)에 종사하는 사업 또는 기업체 집단(group of enterprise)으로, 사업체들을 관리하는 사업체(관리사업체, controlling undertakings)와 관리를 받는 사업체(피관리사업체, controlled undertakings) 모두를 포괄하는 개념

** GDPR은 사업체그룹의 매출을 기반으로 과징금을 부과

*** 사업체 집단은 DPO를 공동으로 1명 지정 가능(공동 DPO 제도) ☞ data protection officer 참조

친권 보유자

(정보주체에 대한) 고위험

* 명확한 정의는 없으나, 개인정보처리가 정보주체의 권리행사를 못하도록 하거나 서비스나 계약 이용을 못하도록 하는 경우, 또는 개인정보침해가 대규모로 체계적으로 수행되는 경우의 개인정보처리로, 개인정보처리가 고위험에 해당하는 경우 ①정보주체는 이에 대해 동의를 받아야 하며, ②고위험 야기 가능한 개인정보 처리는 DPIA 수행, 사전자문(prior consultation), 정보주체에의 개인정보 침해 통지의무 등이 부과됨

** 고위험의 판단은 컨트롤러가 하나, 권한 있는 감독기구가 변경 가능

인적 개입

이행입법 ☞ delegated acts 및 national derogations 참조

독립성

* 각 감독기관은 GDPR에 따른 직무를 수행하고 권한을 행사하는 과정에서 완전한 독립성을 가지고 활동해야함

독립적 감독기관

* 회원국은 GDPR 목적 달성을 위하여 하나 이상의 감독기관이 있어야 하며, 각 감독기관은 완전한 독립성이 보장되어야 함

** 적정성 평가(adequacy decision)시 하나 이상의 독립적 감독 기관의 유무 및 해당 기관의 효과적인 작동 여부가 주요 고려 사항임 ☞ supervisory authority 참조

정보사회 서비스

* 서비스를 제공받는 사람의 개별적 요청으로 원격으로 전자적 수단을 통하여 제공하는 영리(remuneration)서비스(전자상거래 서비스는 물론, 온라인 미디어, 검색엔진 등 상업적 목적으로 운영되는 모든 웹사이트가 해당. 한국 정보통신망법상 정보 통신서비스에 해당)

** GDPR은 정보사회서비스가 아동에게 제공되는 경우 부모의 동의를 요구

사전 정보가 제공된 동의

무결성 및 기밀성(의 원칙)

중개서비스 제공자

국제기구

* 국제 공법(public international law)의 규율 받는 기관 및 하위 구성기구 또는 2개 이상의 국가간 협약에 의해 설립된 단체

** 개인정보 국외전송 및 그에 관한 정보주체의 권리행사와 관련 하여 GDPR에서 다루어짐(GDPR은 국외전송과 관련하여 국제 기구를 EU회원국이 아닌 국가와 동일하게 취급하며, 따라서 개인정보 국외이전에 관한 제5장이 적용됨)

당초 목적

* 당초 목적과 양립 가능한 경우에 한하여 추가처리가 가능 (가명처리 등 적절한 안전장치가 구비된 경우 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적 또는 통계 목적을 위하여 개인정보를 추가 처리한 때에는 원래의 목적과 양립될 수 있다고 봄)

공동 컨트롤러 ☞ data controller 참조

(감독기관간) 공동작업 ☞ cooperation 참조

사법적 구제

* 자연인 또는 법인은 다른 행정적 또는 비사법적 구제(administrative or non-judicial remedy)를 침해하지 않으면서, 관련 감독기관의 법적 구속력 있는 결정에 대해 실효적 사법적 구제권을 가져야 함.

** 개인정보가 GDPR을 준수하지 않는 방식으로 처리되어 그로 인해 자신의 권리가 침해되었다고 생각하는 경우로, 민원 제기후 관할 감독 기관이 민원을 처리하지 않거나, 제기된 민원의 진행상황이나 결과를 3개월 이내에 정보주체에게 알리지 않은 경우 사법적 구제권을 가짐 (컨트롤러는 민원제기 및 사법적 구제를 받을 수 있음을 정보주체에게 고지하여야 함)

*** Directive 하에서는 사법적 구제를 컨트롤러에 대해서만 할 수 있었 으나, GDPR하에서는 프로세서에 대해서도 가능

재판관할권

대규모의 개인정보처리

* 지역적, 국가적 또는 초국가적 수준에서 상당한 양의 개인정보를 처리하고, 큰 숫자의 정보주체에게 영향을 미치는 것을 의미

** ①대규모의 민감 정보 처리시 DPO 지정, ②EU 역외 기업의 대규모 민감 정보처리시 대리인 지정, ③대규모 민감 정보 처리시 DPIA 수행 등 GDPR상의 의무를 촉발

(처리의) 적법성

* 개인정보는 정보주체에 대해 적법하게 처리되어야 함

** 개인정보의 처리는 개인정보처리 6대 원칙을 모두 준수하고, 이에 더하여 GDPR의 6가지 적법성 요건(①정보주체의 동의, ②계약의 이행 ,③법적의무 준수, ④중대한 이익 보호, ⑤공익 내지 공권력 행사, ⑥ 정당한 이익) 가운데 최소 1개 이상을 충족 해야 적법한 것으로 인정받을 수 있음(③,⑤는 회원국 법률로 상세히 규율할 수 있음)

*** 적법성(lawfulness), 공정성(fairness), and 투명성(transparancy) 원칙 : ☞ principles of personal data processing 참조

주 감독기관(또는 선임감독기관)

* one stop shop 메카니즘에 의거, 컨트롤러의 “주 사업장 (main establishment)”에 기반을 둔 국가의 감독기관으로 국외 개인정보처리 활동을 다루는 1차적 책임을 지닌 기관 (다만 예외적으로 각 감독기관에 제기된 민원 또는 GDPR 위반이 각 감독기관의 회원국에 있는 사업장에만 관계되거나 그 회원국에만 있는 정보주체에게 실질적 영향력을 미치는 경우에는 각 감독기관이 관할) ☞ one stop shop 참고 (ex. 프랑스에 주된 사업장을 둔 컨트롤러가 포루투갈 국민만을 위한 전자상거래 사이트 운영시, 주 감독기관은 프랑스 감독 기관이 되며, 포르투갈은 관련 감독기관의 지위)

** 국경 간 개인정보처리 : 주 감독기관이 필요한 전제 ☞ cross-border processing 참조

법적구제 ☞ judicial remedy 참조

정당한 이익

* 컨트롤러 또는 제3자의 정당한 이익은 정보주체의 이익이나 기본권 및 자유가 열위인(not overriden) 경우에 한하여 개인 정보 처리의 법적 근거로 인정

** 단, 공공기관이 자신의 책무를 수행하는 과정에 필요한 개인 정보처리는 ‘정당한 이익’을 적법한 근거로 사용할 수 없음

책임 ☞ right to compensation and liability 참조

연계

위치정보 ☞ personal data 참조

주 사업장 (또는 주사무소)

* 하나이상의 사업장이 있는 경우, 주 감독기관을 결정하는 판단 기준이 되는 사업장 : ① 하나 이상의 유럽 연합 회원국에 사업장을 운영하는 컨트 롤러의 경우, 유럽연합에서 주요행정사무를 처리하는 장소 (중앙지점) ② 유럽연합 역내의 또 다른 사업장에서 개인정보의 처리 목적 및 처리방식을 결정하거나, 또 다른 사업장에서 개인정보의 처리목적 및 처리방식을 결정하게 할 집행권을 보유하고 있는 경우에는 또 다른 사업장 ③ 하나 이상의 유럽연합 회원국에 사업장을 운영하는 프로세 서의 경우, 유럽연합 역내에서 주요 행정사무를 처리하는 장소 (프로세서가 유럽연합 역내에 중앙지점을 가지고 있지 않은 경우에는, 프로세서가 주요처리 활동을 수행하는 사업장) ☞ lead supervisory authority 참조

EU 회원국 법(률)

영세 및 중소기업

상호지원

* 감독기관들은 일관성있게 GDPR을 적용하기 위해 서로 관련 정보와 상호지원을 제공하여야 함. 상호지원은 특히 정보요청과 감독조치(사전승인‧협의 및 조사‧수사 등의 수행을 위한 요청 등)를 포함하여야 함.

** 감독기관들은 공동조사 및 법 집행 활동을 수행할 수 있음 ☞ cooperation 참조

사법공조조약

* transfer or disclosures not authorised by Union law(EU법으로 허가되지 않는 이전 또는 공개) : 컨트롤러 또는 프로세서에게 개인정보 국외이전이나 공개를 요구하는 제3국의 법원, 법정 판결, 행정당국 결정은 GDPR 국외이전의 다른 근거에 저촉 하지 않고, 요청하는 제3국과 EU 및 회원국간 유효한 사법공조 조약 등 국제협정에 근거하는 경우에만 가능

국민식별번호

* 회원국은 국민식별번호나 일반적으로 적용되는 기타 식별자의 처리에 대해 구체적인 조건을 추가로 결정할 수 있음 (이 경우에도 GDPR에 따른 정보주체의 권리와 자유에 대한 적절한 안전장치에 의거하여 이용되어야 함) ☞ provisions relating to specific situations 참조

회원국 적용특례(또는 회원국 법령에 위임한 사항)

* GDPR의 특정 조항에 대해 회원국 법령으로 달리 규정할 수 있 도록 한 것 ‧(e.g. ① 주요 위임규정 i)아동(children) : 온라인에서의 유효한 동의를 제공할 수 있는 아동 연령을 16세에서 13세까지 낮출 수 있음, ii)개인정보 보호책임자(DPOs) : 회원국은 DPO 지정 의무화 가능, iii)고용 (employment) : 임직원 개인정보의 처리에 대한 추가 제한(further restrictions)을 도입가능, iv)국가안보(national security) : 국가 안보, 범죄 및 사법절차 영역에 있어 GDPR에 규정된 권리를 제한하는 법 통과 가능 v)정보의 자유(freedom of informaion) : 정보의 자유와 개인정보 보호 양립, 직무상 기밀 대상 정보 보호, 국가 식별 번호 처리를 제한을 위한 GDPR 개정가능 ② 국가별 처리활동의 규정 i) 개인정보 처리 조건(processing conditions) : 개인정보 처리 정당화 사유 가운데 하나는 유럽연합 또는 회원국 법에 따른 의무를 준수해야 할 필요가 있는 경우임, ii) 범죄 경력 (criminal offences) : 범죄경력에 대한 정보의 처리는 유럽연합 또는 회원국 법에 의해 승인된 경우에만 허용 (또는, 공공 기관의 통제 하에서 가능), iii) 잊힐 권리(right to be forgotten) : 유럽연합 또는 회원국 법에 따른 법적 의무 준 수에 개인정보의 처리가 필요한 경우 적용, iv) 국제 전송 (international transfer) : 회원국 법률에 따라 인정되는 공공 이익이 유럽연합 역외로의 개인정보 전송 가능 근거를 제공 할 수 있음. 또한, 개인정보 전송에 대한 추가적인 제한 도입 가능

필요하고도 비례적인 조치

통지/고지

* 공정하고 투명한 정보처리의 원칙에 따라 정보주체는 정보처리 방식의 존재와 그 목적에 대해 통지 받아야함.

** notification of a personal data breach(개인정보 침해통지) ☞ personal data breach 참조

*** privacy notices : 프라이버시 고지 (또는 개인정보처리방침 고지)

비밀유지 의무

* 회원국은 직업상 비밀유지 의무 또는 다른 상응하는 비밀유지 의무 적용을 받는 컨트롤러나 프로세서와 관련하여 특별한 규정을 채택할 수 있음(회원국은 이의 제정‧개정 사항을 EU집행위에 통보해야 함) ☞ provisions relating to specific processing situations 참조

EU 관보

원스톱 숍 (메카니즘)

* EU 역내 여러 국가에서 활동 중인 기업들의 경우, 주 사업장 (main establishment)이 소재한 감독기관(one stop shop), 즉 주 감독기관(lead supervisory authority) 감독만 받으면 됨 ☞ lead supervisory authority 참조

온라인 식별자

* 개인이 사용하는 기기, 애플리케이션, 툴, 프로토콜을 통해 제공 되는 인터넷 프로토콜 주소(IP address), 쿠키 식별자(cookie identifiers) 또는 전파식별태그(RFID tags) 등의 기타 식별자로서 개인과 연계될 수 있는 것(ex. IP, MAC, IEME, 안드로이드 ID 등)

제3자 이전(또는 재이전)

* 개인정보가 해당 제3국이나 국제기구로부터 기타의 제3국이나 국제기구로 전송되는 경우(onward transfer)에도 컨트롤러와 프로세서는 GDPR 국외이전 규정 조건을 준수하는 경우에만 이전가능

벌칙

* 회원국은 과징금 대상이 아닌 GDPR 위반사항에 대해 벌칙 내용을 규정해야 함(2018.5.25.까지 채택하여 EU집행위원회에 통지해야 함)

계약의 이행

* GDPR의 6가지 ‘처리의 적법성 요건’ 중 하나

개인정보

* 식별되거나 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보. 기존 directive에 언급되지 않았던 위치정보(location data), 온라인 식별자(online identifier), 유전정보(genetic data)가 개인정보 예시로 제시됨

개인정보 침해

* 이전, 저장 또는 기타 방식으로 처리된 개인정보가 사고로 또는 불법적으로 파기‧손실‧정정‧무단제공‧무단열람을 초래하게 되는 보안 위반

** notification of a personal data breach (개인정보침해통지) : 컨트롤러는 개인정보의 침해발생시 ①관할 감독기관에 부당한 지체없이 그 사실을 안 때로부터 72시간 내에 통지하여야함 (개인의 권리와 자유에 관해 고위험을 초래할 가능성이 있는 경우) ②프로세서가 개인정보 침해 사실을 알게 된 때는 부당한 지체없이 컨트롤러에게 이를 통보해야 함

*** communication of a personal data breach(개인정보침해의 정보주체에의 통지) ☞ communication 참조

아동의 개인정보

* 아동은 개인정보 처리에 따른 위험성, 결과, 이에 필요한 안전 장치 및 본인의 권리를 잘 인지하지 못하고 있기 때문에 본인의 개인정보와 관련하여 구체적이고 특정한 보호 필요

범죄경력(전과) 및 범죄행위 관련 정보

개인정보처리 원칙

* 개인정보는 반드시 개인정보처리 6대 원칙에 따라 처리되어야 하고, 여기에 더하여 컨트롤러는 이를 준수함을 증명할 수(책임성의 원칙, accountability) 있어야 함(즉, 6원칙 + 책임성) • (6대 원칙 : 적법성·공정성·투명성의 원칙(lawfulness, fairness and transparency), 목적 제한의 원칙(purpose limitation), 개인정보 최소화의 원칙(data minimisation), 정확성의 원칙(accuracy), 보관기간 제한의 원칙(storage limitation), 무결성‧기밀성의 원칙 (integrity and confidentiality))

사전협의

* 개인정보 영향평가에서 해당 처리의 위험감소에 필요한 컨트롤러의 조치가 없으면 해당 처리가 고위험을 초래할 수 있는 경우, 컨트롤러는 처리 이전에 감독기관과 협의하여야 함 (감독기관은 협의요청을 받은 날로부터 최대 8주안에 서면으로 조언)

** 회원국은 컨트롤러가 공익을 위해 수행하는 직무의 실행을 위한 처리와 관련, 사전협의 및 사전허가 규정을 도입할 수 있음

☞ data protection by design and by default 참조

프로세서 ☞ data processor 참조

(개인정보)처리

* 개인정보에 행해지는 단일 또는 일련의 작업으로 수집, 기록, organisation, structuring, 저장, 편집, 복구, 참조(consultation), 사용, 제공, 공개, 결합, 제한, 삭제 또는 파기 등을 포함(다른 사람이 처리하고 있는 개인정보를 단순히 전달, 통과만 시켜 주는 행위는 처리에 해당하지 않음)

** processing and freedom of expression and information (처리와 표현 및 정보의 자유) ☞ freedom of expression and information 참조

*** processing of the national identification number(국민식별 번호의 처리) ☞ national identification number 참조

**** processing and public access to official documents(처리와 공문서 열람) ☞ public access to official documents 참조

(개인정보의) 목적 외 처리

* 목적 외 처리의 적법요건 : ①정보주체의 동의, ②법령의 근거, ③다음을 고려하여 당초목적과 일치한다고 판단한 경우 (㉠당초목적과 추가처리 목적 간 연관성, ㉡(정보주체와 컨트롤러의 관계상) 개인정보가 수집된 맥락, ㉢개인정보의 성격, ㉣추가처리가 정보주체에 초래할 수 있는 결과, ㉤ 암호화(encryption) 및 가명처리(pseudonymisation)를 포함한 적절한 보호조치의 존재)

공익적 기록보존 목적의 처리

* 공익적 가치를 지닌 기록물을 보유하고 있는 공공기관 또는 공공‧민간기관이 수행하는 기록물의 획득, 보존, 평가, 편찬, 기술, 교환, 홍보, 배포, 제공

** 가명처리 등 적절한 안전장치가 구비된 경우 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적 또는 통계 목적을 위하여 개인정보를 추가 처리한 때에는 원래의 목적과 양립될 수 있다고 봄

과학·역사연구 목적의 처리

* 과학적 연구 목적은 폭넓게 해석하되, 기술발전과 실현, 기초‧ 응용연구, 민간투자연구, 공공보건 분야 시행 공익성 연구를 포함

** 역사적 연구에는 계보학 연구 포함

*** 가명처리 등 적절한 안전장치가 구비된 경우 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적 또는 통계 목적을 위하여 개인정보를 추가 처리한 때에는 원래의 목적과 양립될 수 있다고 봄 (또한, 보관기간 제한의 원칙 예외사유로, 보관기관 연장 가능)

통계 목적의 처리

* 통계조사 및 통계결과를 위해 필요한 개인정보 수집 및 처리 작업 일체를 의미

** 가명처리 등 적절한 안전장치가 구비된 경우 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적 또는 통계 목적을 위하여 개인정보를 추가 처리한 때에는 원래의 목적과 양립될 수 있다고 봄

고용맥락에서의 처리

* 회원국은 고용맥락에서 피고용인의 개인정보처리에 있어서 권리와 자유의 보호를 보장하기 위하여, 보다 구체적인 규정을 정할 수 있음(각 회원국은 관련법이 제정‧개정되면 EU집행위에 통지해야 함) ☞ provisions relating to specific processing situations

프로파일링 ☞ automated decision making 참조

특수한 처리사항에 관련된 규정

* GDPR은 회원국들에 통일적이고 일관된 규율을 적용함을 목적 으로 하지만, EU통합의 불완전성으로 인해 다음과 같은 특정 상황에 대해서는 개별 회원국 법률규정에 맡김 ①처리와 표현‧정보의 자유, ②처리와 공문서 열람, ③국민식별 번호의 처리, ④고용맥락에서의 처리, ⑤공익적인 기록보존, 과학 및 역사연구, 통계목적을 위한 처리와 관련되는 안전 장치와 적용 예외, ⑥비밀유지의무, ⑦교회와 종교단체의 현존 하는 개인정보보호 규정

가명처리

* 추가적 정보 사용 없이는 더 이상 특정 정보주체를 알아볼 수 없도록 개인정보를 처리하는 것 (단, ‘추가적 정보’는 원래의 개인 정보와 분리하여 보관되어야 하며, 기술적‧관리적 조치 필요)

** 공익, 과학‧역사 연구, 통계목적의 개인정보 처리시 가명처리를 통해 적절한 안전조치를 확보할 수 있음

*** pseudonymised data (가명처리된 개인정보) : 가명처리된 개인 정보는 일정한 범위 내에서 목적 외 이용이 인정되고, 컨트롤러의 data protection by design and by default 의무를 충족한 것으로 본다.

**** unauthorised reversal of pseudonymisation : (가명처리한 개인 정보의) 무단 재식별(처리)

***** pseudonymisation and encription of personal data(개인정보 가명처리 및 암호화) : 컨트롤러와 프로세서는 가명처리 및 암호화를 통해 적정한 보안수준을 유지할 수 있음

공문서 열람

* 공공기관, 공공기구, 공익수행 민간기관이 보유한 공문서의 개인정보는 GDPR의 개인정보보호와 조화시키기 위하여 EU 또는 회원국 법에 따라 공개할 수 있음 ☞ provisions relating to specific processing situations 참조

공공기관

* 국가가 채택하는 조치에 따라 국가의 통제하에 공공 서비스를 제공하는 책임을 부여 받은 기관

** 공공기관은 GDPR에 따라 몇 가지 특별한 규정을 적용 받는데, 대표적으로 DPO의 의무 지정과 ‘정당한 이익’에 기반한 개인 정보처리 불가 등이 있음

공중 보건

* 유럽의회와 각료이사회의 규정(EC) No1338/2008의 정의에 따라 해석되어야 함. 즉, 건강과 관련된 모든 요소로 질병 상황이나 장애 등의 건강상태, 이 같은 건강상태에 영향을 미치는 결정적 요소, 의료보호서비스의 필요성, 의료보호서비스에 할당된 자원, 이에 대한 지출과 재정, 의료보호서비스 제공 및 보편적 이용, 그리고 사망 사유 등을 의미함

** social protection and public health : 사회적 보호 및 공중보건

공익

* 공익목적의 임무수행 또는 컨트롤러에 부여된 공적권한 행사를 위해 필요한 처리는 적법성 있는 처리로 봄

** reasons of important public interest(중대한 공익상의 이유) : EU 또는 회원국의 중대한 공익상 이유는 처리제한권 예외 사유에 해당

순수한 개인 또는 가사 활동

* 자연인이 수행하는 “순수한 개인 또는 가사 활동”은 GDPR 적용 제외(derogation) 대상임 ※ 이외에도, EU 법의 적용을 벗어나는 활동, 회원국이 수행하는 외교‧안보 활동, 회원국 범죄예방, 수사, 탐지나 소추, 형사 처벌의 집행, 지역 사회기관에 의해 처리되는 개인정보 규칙이 적용되는 활동 등도 적용제외

목적 제한(의 원칙)

* 개인정보는 명시적이고 적법한 특정목적을 위해 수집되어야 하고, 해당 목적과 양립(compatible)하지 않는 방식으로 추가 처리(further processing) 되어서는 안 됨

** 단, 공익적인 기록보존, 과학 및 역사연구 또는 통계 목적을 위 하여 개인정보를 추가처리한 때는 당초 목적과 양립된다고 봄 (이 경우, GDPR에 부합하는 적절한 보호조치를 준수해야함) ☞ principles of personal data processing 및 intended purpose 참조

합리적 의심

* 정보주체의 권리요청을 하는 자연인의 신원에 대해 컨트롤러가 합리적인 의심을 갖는 경우, 컨트롤러는 정보주체의 신원을 확인하는데 필요한 추가정보의 제공을 요청할 수 있음

중대한 공익상의 이유 ☞ public interest 참조

수령인

* 제3자를 포함하여 개인정보의 제공‧공개 대상이 되는 (즉, 컨트 롤러, 프로세서가 보유한 정보에 접근할 권한이 있는) 자연인 또는 법인, 공공 기관, agency, 기타 단체를 의미

** 정보주체가 아닌 자로부터 개인정보 수집시 컨트롤러는 정보 주체에게 수령자 정보를 알려야 함

*** 개인정보를 정정‧삭제‧처리제한 한 경우 컨트롤러는 수령자 에게 알려야함(정보주체는 수령자에게 열람권을 행사할 수 있음)

정정 ☞ right to rectification 참조

(GDPR) 전문(前文)

* 법률의 배경, 의도, 목적을 설명하는 텍스트로서 법적구속력은 없으나 법률해석에 중요한 역할을 하며, 상설(詳說)이라고도함

개인정보 처리활동의 기록

* GDPR 준수 입증을 위해 컨트롤러 또는 프로세서(적용가능한 경우, 컨트롤러나 프로세서의 대리인 포함)는 본인의 책임 하에 처리 활동 기록을 문서로(전자적 형태 포함) 유지해야 하고, 감독기관의 요청이 있는 경우 이를 제공해야 함

** 직원 250명 미만 기업이나 조직은 적용대상 아님(단, 개인정보 처리가 ① 정보주체의 권리‧자유 위험 초래가능성이 있거나, ②간헐적이지 않거나, ③민감정보 또는 범죄경력 및 범죄관련 개인정보를 포함하지 않는 경우에는 직원 수와 무관하게 적용)

(대규모의) (개인정보주체에 대한) 정기적이고 체계 적인 모니터링

* DPO 의무적 지정 요건 중 하나

규칙(EU 일반 개인정보보호 규칙) ☞ General Data Protection Regulation 참조

적절하고 이유있는 반대(또는 이의제기)

* GDPR 위반 여부나 컨트롤러 또는 프로세서에 관한 예상되는 주 감독기관의 조치가 GDPR에 준수하여 행해졌는지 여부에 대한 결정 초안(draft decision)에 대해, 관련 감독기관은 이의제기(반대)를 할 수 있음. (이 경우, 주 감독기관은 그 사안을 일관성 메카니즘에 따라 EU 개인정보보호이사회에 회부하여야 함) ☞ consistency mechanism참조

** ‘적절한 반대‘란 ’정보주체의 기본권과 자유에 관련된 반대 ‘를, ’이유있는반대‘란’결정초안‘에제기된위험의중요성을명확하게 제시하는 것을 의미 ☞ cooperation 참조

권리구제

* GDPR은 권리구제 수단으로 ①감독기관에 민원을 제기할 권리, ②감독기관에 대한 효과적인 사법구제를 받을 권리를 규정 ☞ right to lodge a complaint 및 right to an effective judicial remedy 참조

정보주체의 대리

* 회원국 법률이 규정하는 경우, 정보주체는 권리구제 관련 정보 주체의 권리행사 및 이에 따른 보상을 받을 권리행사를 위해 정보주체의 권리 및 자유보호 분야에서 활동하는 비영리기구, 기관, 협회 등에 대리권한을 부여할 수 있음

대리인

* GDPR 제27조에 따라 유럽연합 역내에 서면으로 컨트롤러 또는 프로세서가 지정한 자(자연인 또는 법인)로, GDPR에 따른 컨트 롤러, 프로세서의 의무과 관련하여 이들을 대리(대표)

** 대리인 지정의무 제외 : ①개인정보처리가 (㉠ 대규모가 아니며 간헐적(occasional), ㉡ 민감 정보 및 유죄 판결 및 범죄관련 개인정보의 처리 미해당하고, ㉢ 정보주체 권리와 자유에 대한 위험 존재 가능성이 낮은(unlikely)) 경우, ②공공기관 및 공적기구

*** 대리인의 사업장 : 정보주체 거주 국가 또는 정보주체의 개인 정보가 처리되거나 모니터링 되는 국가 중 하나에 설립

목적 변경사용(목적 외 사용)

* 하나 이상의 특정 목적으로 사용된 데이터 세트를 취해 완전히 다른 목적으로 사용하는 것 ☞ (the) processing for a purpose other than for which the personal data have been collected 참조

(정보주체의 권리)제한

* 정보주체 기본권 제한은 기본권과 자유의 본질을 존중하며, 다음의 사항을 보장하기 위한 필요하고도 비례적인 조치(necessary and proportionate measure)일 때 가능 : ①국가안보, 국방, 공공안전 등 중요한 공익 보호, ②사법적 독립성 및 사법적 절차보호, ③공권력행사 또는 규제, ④정보주체 또는 제3자의 권리와 자유보호, ④민사법적 청구의 집행 등)

처리의 제한

* 특정사유가 있을 때 (㉠개인정보의 정확성에 문제제기, ㉡불 법적 처리에 정보주체가 처리제한 요청, ㉢ 정보주체의 법적 청구권행사, ㉣컨트롤러의 정당한 사유(정보주체의 그것보다 큰 경우)) 향후 그 처리를 한정할 목적으로 저장된 개인정보에 표시하는 것

** 처리제한을 하면 원칙적으로 보관만 가능하고 이용은 제한

*** 처리제한의 예외 : ①정보주체의 동의, ②법적청구권 성립‧ 행사‧방어, ③다른 자연인, 법인의 권리보호, ④EU회원국의 중요한 공익을 위한 경우 등은 처리가 가능 ☞ right to restriction of processing 참조

(컨트롤러 및 프로세서의) 책임

보유

정보주체의 권리

* GDPR상의 정보주체 8대 권리 :① 정보를 제공받을 권리, ② 열람권, ③정정권, ④삭제권, ⑤처리제한권, ⑥정보이동권, ⑦ 반대권, ⑧자동화된 결정 및 프로파일링 관련 권리

(개인정보) 열람권(또는 접근권)

* 정보주체는 본인에 관련된 개인정보의 처리 여부와 관련해 컨트롤러로부터 확인을 획득할 권리를 가지며, 이 경우, 개인정보 등에 대한 열람권을 가짐(즉, 처리여부 확인권 + 본인 개인정보 및 그 처리사항 열람권)

표현 및 정보의 자유권

유효한 사법적 구제를 받을 권리

* 정보주체는 본인의 권리가 침해된다고 생각하거나 감독기관이 민원제기에 대해 적절한 조치를 취하지 않을 경우(민원이 처리되지 않거나 3개월 내 처리결과를 통보받지 못한 경우) 유효한 사법적 구제를 받을 권리를 가짐 (관할 :감독기관이 소재한 회원국의 법원)

** 각 정보주체는 컨트롤러 또는 프로세서에 대하여도 효과적인 사법구제를 받을 권리 보유. (관할 : 컨트롤러 등의 사업장 소재지 법원 또는 정보주체 거주지 소재법원)

*** suspension of proceedings(소송절차의 중지): 동일한 내용에 관한 소송절차가 여러 회원국 법원에 계류중인 경우, 나중에 접수된 소송절차는 중지할 수 있음 ☞ remedies 참조

잊힐 권리 ☞ right to erasure 참조

손해배상권 및 법적책임

* GDPR의 침해결과로 물질적‧비물질적 손해를 입은자는 컨트롤러나 프로세서로부터 배상받을 권리를 가지고, 개인정보 처리에 관여한 컨트롤러는 이러한 손해에 대하여 책임을 부담함 (프로세서는 GDPR 의무 미준수 또는 컨트롤러의 합법적 지시에 반한 경우에 한하여 책임)

** 다수의 컨트롤러‧프로세서가 있는 경우, 각자 전체 손해에 대해 책임지고, 내부적으로는 구상권을 행사할 수 있음

*** 관할 : 컨트롤러 등의 사업장 소재지 법원 또는 정보주체 거주지 소재법원

정보이동권(또는 정보이전권)

* 정보주체가 한 컨트롤러에게 제공한 자신의 개인정보를 체계적이고, 일반적으로 사용되며, 기계판독이 가능한(machine-readable) 형태로 제공받고, 해당 정보를 다른 컨트롤러에게 이전(요구) 할 수 있는 권리(이동 기한: 요청받은 때로부터 1개월 이내)

** 개인정보처리가 ①정보주체의 동의 또는 계약의 이행을 위한 것인 경우, ②처리가 자동화된 수단에 의해 이행되는 경우 행사가 가능

*** 이동권 제한 사유 : ①공익을 위한 직무수행, ②공적권한의 행사

삭제권(잊힐 권리)

* 정보주체가 컨트롤러에게 부당한 지체없이 자신에 관한 개인정보의 삭제를 받을 권리(‘곤잘레스 vs 구글 스페인 사건’)

** 컨트롤러의 삭제의무가 있는 경우, ①정보주체의 반대권 행사 및 처리정당화 근거 부재, ②수집‧처리목적에 비추어 더 이상 불필요시, ③정보주체의 동의 철회, ④개인정보의 불법적 처리, ⑤EU회원국 법령준수(법령에 삭제 법적의무), ⑥아동에게 제공할 정보사회서비스와 관련하여 개인정보를 처리한 경우

*** 삭제요청거부사유 : ① 표현 및 정보의 자유 관련 권리 행사, ②공익적 임무수행 및 법적 의무이행, ③공익적 보건 목적, ④공익적 기록보존, 과학 및 역사 연구, 통계목적, ⑤법적 청구권의 행사나 방어

감독기관에 민원을 제기할 권리 ☞ complaint 참조

(개인정보 처리) 반대권

* ①공익이나 공적 권한의 행사, 또는 ② 컨트롤러의 정당한 이익을 위한 정보 처리 시, 정보주체는 자신의 특수한 사정을 근거로 하여 그 처리에 반대할 권리를 가짐(다만, 컨트롤러가 더 중요한 정당한 근거를 입증하거나, 법적 청구권 행사 등을 위한 경우에는 처리 가능)

** 직접마케팅(프로파일링 포함)과 과학적 또는 역사적 연구, 통계 목적 개인정보 처리에 대해서도 반대권 행사 가능

처리되고 있는 정보에 대해 확인받고 통지(연락)받을 수 있는 정보주체의 권리

* 투명성 원칙은 컨트롤러의 신원과 처리 목적에 대한 고지, 개인에 대한 공정하고 투명한 정보처리를 보장하기 위한 추가적 통지와 처리되고 있는 정보에 대해 확인받고 연락 받을 수 있는 개인의 권리를 포함함

정정권

* 정보주체는 컨트롤러로부터 부당한 지체없이 (without undue delay)자신에 관한 부정확한 개인정보의 정정을 요구할 권리를 가짐(요청접수시, 1개월 이내에 응해야함. 단, 요청의 복잡도에 따라 최장 2개월 연장 가능)

** 개인정보를 제3자에게 제공한 경우, 수령자에게도 정정사실을 알려야 함(또한, 정보주체 요구 시, 수령자에 대한 정보를 알려줘야 함)

처리제한권

* 정보주체가 컨트롤러부터 본인의 개인정보 처리의 제한을 획득할 권리 ☞ restriction of processing 참조

동의 철회권

* 정보주체는 언제든지 본인의 동의를 철회할 권리를 가짐. 이는 철회 이전에 동의를 기반으로 하여 이미 처리된 사항의 적법성에 대하여는 영향을 미치지 않음.

위험

* risk assessment : 위험평가

** risk-based approach : 위험기반 접근방식

*** high risk (고위험) ☞ high risk 참조

안전장치 ☞ appropriate safeguards 참조

과학적‧역사적 연구 목적 ☞ processing for scientific and historical research purposes 참조

과학적 연구

(개인정보 처리의) 보안

* 컨트롤러와 프로세서는 위험에 비례한 적절한 보안수준(a level of security appropriate to the risk)을 확보하기 위한 적절한 기술적‧관리적 조치(가명처리 및 암호화, 기밀성‧무결성‧ 가용성‧복원력‧보장능력, 사고발생시 적시에 가용성 및 접근성을 복원할 능력, 조치의 효율성을 정기적으로 시험‧평가하는 과정 등)를 이행해야 함

** 적절한 보안수준 평가시 개인정보처리로 발생하는 위험요소로 인해 초래되는 위험을 고려해야 함

*** 승인된 행동강령, 승인된 인증매커니즘의 준수는 ‘개인정보 처리의 보안’ 요구사항 준수 입증요소로 사용할 수 있음

보안조치

사회 보장

사회적 보호 및 공중보건(과 관련한 처리)

특수한 범주의 개인정보 (민감정보)

* 인종·민족, 정치적 견해, 종교·철학적 신념, 노동조합의 가입 여부를 나타내는 개인정보의 처리와 유전 정보, 자연인을 고유하게 식별할 수 있는 바이오정보, 건강관련정보, 성생활· 성적 취향 등에 관한 정보

** 원칙적으로 처리가 금지되고, 명시적 동의 및 기타 합법적 근거(적법사유)에 따라 처리가 가능(회원국은 유전정보, 바이오 정보, 건강관련 정보와 관련하여 추가 조건 도입 가능)

*** 민감정보 처리의 적법사유 : ①정보주체의 명시적 동의, ②고용, 사회보장 및 사회보호법 영역에서 필요한 경우, ③ 정보주체 또는 제3자의 중대한 이익, ④비영리기관이 전‧ 현직 직원 또는 그 목적과 관련한 처리(외부 비공개 조건) ⑤명백하게 공개된 개인정보처리, ⑥법적 청구권 설정, 행사, 방어 또는 법원이 사법적 지위에서 행동하는데 필요한 경우, ⑦중대한 공익 실현, ⑧건강, 사회복지 시스템과 서비스 관리상 필요(예방의학, 직업병의학목적), ⑨공중보건영역에서의 공익, ⑩공익적 기록 보존, 과학 및 역사연구, 통계목적에 필요한 경우

표준 계약조항

* EU 집행위원회는 프로세서와 관련된 사안을 규정하기 위한 표준 계약조항을 규정할 수 있고, 감독기관은 이를 채택할 수 있음

표준 개인정보 보호 조항

* EU 시민의 정보를 국외이전하기 위해 필요한 적절한 안전조치 중 하나로, 표준조항을 이용하여 데이터 국외이전 계약을 체결한 기업은 적절한 안전조치를 한 것으로 간주 ☞ appropriate safeguards 참조

통계목적 ☞ processing for statistical purposes 참조

저장(또는 보관)

보관기간 제한(의 원칙)

* 처리 목적에 비추어 더 이상 필요하지 않은 경우, 정보주체를 식별할 수 있는 형태로 보관되어서는 안됨

** 단, GDPR에 부합하는 적절한 보호조치를 준수하는 경우 공익적 기록보존, 과학 또는 역사연구, 통계목적을 위해 처리하는 한 연장보관 가능 ☞ principles of personal data processing 참조

처리 대상 사안

자회사

감독기구

* 회원국이 설립한 독립적인 공공기관으로, 각 회원국은 GDPR 이행을 모니터링하기 위해서 하나 또는 그 이상의 독립된 감독기관 설치 필요(회원국에서 실질적으로 GDPR을 적용)

** 감독기관은 완전한 독립성을 확보하여 활동해야하며, GDPR의 일관성있는 적용을 위해 감독기관 상호간, 그리고 유럽연합 집행위원회와 협력해야 함.

*** 감독기관의 구성원은 투명한 절차를 통해 ①의회, ②정부, ③국가원수, 또는 ④EU 회원국 법으로 임명권이 부여된 독립 기관에 의해 임명되어야 하고, 임기가 보장되어야 함 (각 감독기관의 설치. 구성원에 관한 사항은 법으로 규정 되어야 함)

**** 감독기관의 권한(powers): 조사권(investigative powers), 시정권(corrective powers), 허가권 및 지도권(authorization and advisory powers) (※ 회원국 법으로 추가권한 규정 가능) ☞ competent supervisory authorities, independent supervisory authority 및 lead supervisory authority 참고

관련 감독기관(또는 유관 감독기관)

* 컨트롤러나 수탁관리자가 감독기관이 소재한 유럽 연합 회원국의 영토에 설립된 경우, 해당 감독기관(감독기관이 소재한 유럽연합 회원국 영토에 거주하는 정보주체가 개인정보 처리로 인하여 상당한 영향을 받거나 받을 가능성이 있는 경우)

소송절차 중지 ☞ right to effective judicial remedy 참조

(적절한) 기술적 · 관리적 보호조치

* 개인정보의 처리와 관련하여 자연인의 권리와 자유를 보호하기 위해서는 GDPR의 요구사항 준수를 보장할 수 있는 적절한 기술적‧관리적 보호조치가 취해져야 함 (이러한 조치에는 개인정보 처리의 최소화, 이른 시점의 개인 정보 가명처리, 정보처리 및 기능과 관련한 투명성 확보, 정보 주체의 처리감시 허용, 컨트롤러의 보안 사양 개발‧향상 등을 포함)

개인정보의 국외이전(또는 역외이전)

* 동의 이외에 개인정보 국외이전이 허용되는 경우 : ①적정성 결정, ②적절한 안전장치(구속력 있는 기업규칙, 표준개인정보 보호조항, 승인된 행동강령 또는 인증), ③기타 특정한 경우 (정보주체의 명시적 동의, 계약상 필요, 중대한 공익, 법적(권리) 주장, 정보주체 및 제3자의 중대한 이익, 컨트롤러의 정당한 이익)

** transfers on the basis of adequacy decision(적정성 결정에 근거한 국외이전) ☞ adequacy decision 참조

*** transfers or disclosures not authorised by Union law(EU 법으로 허가되지 않는 이전 또는 공개) ☞ mutual legal assistance treaty 참조

개인정보 역외이전

EU 기능 조약

* 유럽경제공동체를 설립하기 위한 조약

제3자

* 정보주체, 컨트롤러, 프로세스 및 컨트롤러나 프로세서의 직접적인 권한하에서 개인정보를 처리할 권한이 주어진 자를 제외한 모든 자연인이나 법인, 공공기관, 에이전시 또는 기관을 의미

투명성

* 컨트롤러는 개인정보 처리와 관련한 정보를 제공하는 경우, 간결하고 이해하기 쉽고 손쉽게 접근할 수 있는 양식에 명확 하고 평이한 언어를 사용하여 제공하기 위해 적절한 조치를 취해야 함

** GDPR은 개인정보 처리 6개 원칙의 하나로 ‘적법성, 공정성, 투명성의 원칙’을 제시

신뢰할 수 있는 제3자 ☞ third party 참조

사업체 ☞ group of undertakings 참조

긴급절차 ☞ cooperation 참조

EU

* Union law : EU법

** Union legal acts : EU 입법

(생명·생존 등에 관한) 중대한 이익

* 개인정보의 처리는 정보주체 또는 다른 자연인의 생명과 관련한 주요 이익을 보호하기 위하여(to protect vital interest) 필요한 경우 합법적으로 간주됨

부당한 지체 없이

* 정보주체의 권리요청을 접수한 경우, 부당한 지체없이 요청 접수 1개월 내에 컨트롤러가 취한 행동에 관한 정보를 정보 주체에게 제공해야함(요구난이도, 요청의 개수 등을 고려, 2 개월 추가연장 가능)

** 개인정보의 유출이 발생할 경우, 컨트롤러는 부당한 지체 없이, 이를 알게 된 후 72시간 안에 관련 감독기관에 통지해야 함

동의 철회 ☞ consent 및 right to withdraw consent 참조