EU 29 조작업반의 GDPR 대응동향 년개정및신규발표한 GDPR 가이드라인을중심으로 < 목차 > * 2017년 9월해외개인정보보호동향핫이슈보고서에서 해외주요국의 GDPR 대응동향 EU회원국을중심으로 를다룬바있음 * 본동향보고서에서는위동향보고서에이어, EU

Similar documents
PowerPoint 프레젠테이션

[ 목차 ]

USC HIPAA AUTHORIZATION FOR

13.11 ②분석

목차 요약문 머리말 GDPR 제정이전의개인정보보호를위한 EU의노력 150 가. CoE Convention 나. 정보보호지침 (95/46/EC) 150 다. US-EU Safe Harbor Framework 151 라. EU-US

메뉴얼41페이지-2

120330(00)(1~4).indd

행정학석사학위논문 공공기관기관장의전문성이 조직의성과에미치는영향 년 월 서울대학교행정대학원 행정학과행정학전공 유진아

인권1~2부73p

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

Microsoft PowerPoint - 6.pptx

테스트인증기관인증업무준칙 (cps)... 버전 년 4 월 21 일 Managed-PKI 테스트인증기관업무준칙 (" 테스트 CPS") 을자세히읽어야합니다. 아래의 " 승인 " 을누르거나테스트인증또는테스트 CA 루트인증 ( 계약조간은아래정의 ) 을요청, 사

Output file

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할


문학석사학위논문 존밀링턴싱과이효석의 세계주의비교 로컬 을중심으로 년 월 서울대학교대학원 협동과정비교문학 이유경

장애인건강관리사업

Microsoft Word - template for the written confirmation for active substances exported to the EU

3 삭제요구 4 처리정지요구 2. 제 3 조 1 항에따른권리행사는회사에대해개인정보보호법시행규칙별지제 8 호서식에 따라서면, 전자우편, 모사전송 (FAX) 등을통하여하실수있으며회사는이에대해지체없이 조치합니다. 3. 정보주체가심각한개인정보의오류등에대한정정또는삭제를요구한경우

DBMS & SQL Server Installation Database Laboratory

View Licenses and Services (customer)

법학박사학위논문 실손의료보험연구 2018 년 8 월 서울대학교대학원 법과대학보험법전공 박성민

프랑스 (Loi n du 6 janvier 1978 relative a l'informatique, aux fichiers et aux libertes L'Assemblee nationale et le Senat ont adopte) 독일 (Bundesdat

개인정보수집 제공동의서작성가이드라인 업무처리에필요한개인정보파악 처리하고자하는업무에꼭필요한최소한의개인정보는어떤것들이있는지파악합니다 고유식별정보나민감정보는일반개인정보와구분하여처리하여야하므로처리하고자하는개인정보중에고유식별정보나민감정보가있는지확인해야합니다 개인정보의보유기간확인

약관

KISO저널 원고 작성 양식

[ 나이스평가정보 ( 주 ) 귀중 ] 나이스평가정보 ( 주 )( 이하 회사 ) 는 SK텔레콤 ( 주 ) 의업무를대행하여휴대폰본인확인서비스를제공함에있어고객으로부터개인정보를수집하고이용하기위해 정보통신망이용촉진및정보보호에관한법률 에따라서다음과같이본인의동의를받습니다. 1. 개

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

암호내지

[ 별지제3 호서식] ( 앞쪽) 2016년제2 차 ( 정기ㆍ임시) 노사협의회회의록 회의일시 ( 월) 10:00 ~ 11:30 회의장소본관 11층제2회의실 안건 1 임금피크대상자의명예퇴직허용및정년잔여기간산정기준변경 ㅇ임금피크제대상자근로조건악화및건강상

¼ºÆø·Â-º»¹®

한국의 양심적 병역거부

모바일 App 개발시프라이버시보호수칙 Provided by NAVER 출처를밝히시는경우, 누구라도본가이드라인을자유롭게사용하실 1수있습니다.

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

i

개인정보처리방침 ( 개정 ) 한국교육개발원 ' 방송통신중 고등학교운영센터 ( 이하 운영센터 )' 에서취급하는모든개인정보는관련법령에근거하여수집 보유및처리되고있습니다. 개인정보보호법 은이러한개인정보의취급에대한일반적규범을제시하고있으며, < 방송중 고사이버교

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

비 밀 보 장 확 약 서

네이버 개인정보백서

<37322DC0CEB1C7BAB8C8A3BCF6BBE7C1D8C4A2C0C7B0DFC7A5B8ED5B315D2E687770>

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

- 2 -

PowerPoint 프레젠테이션

<312E20C0AFC0CFC4B3B5E55F C0FCC0DAB1E2C6C720B1B8B8C5BBE7BEE7BCAD2E687770>

교육학석사학위논문 윤리적입장에따른학교상담자의 비밀보장예외판단차이분석 년 월 서울대학교대학원 교육학과교육상담전공 구승영

AÇ¥Áö

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

슬라이드 제목 없음

제 5 절지정 제 6 절위치 제 7 절업무 제 4 장 연방정보보호및정보자유커미셔너 제 8 절설립 제 9 절자격 제 10 절독립 제 11 절임명및임기 제 12 절공식관계 제 13 절권리및의무 제 14 절업무 제 15 조활동보고서 제 16 절권한 제 5 장 유럽

5...hwp

주식회사조비는 ( 이하 회사 라한다 ) 고객님의개인정보보호를모든업무절차의필수요소로 고려하고있으며, 개인정보보호법등관련법령상의개인정보보호규정을중시하고이를준수하 기위하여항상노력하는자세를견지하고있습니다. 회사는고객님의개인정보보호및권익을보호하고개인정보와관련한고객님의고충을원활하

동서울대학교개인정보처리방침 동서울대학교 이하본교 는개인정보보호법제 조에따라정보주체의개인정보 를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여 다음과같이개인정보처리지침을수립 공개합니다 제 조 개인정보의처리목적 본교는다음의목적을위하여개인정보를처리합니다 처리하고있

<B1DDC0B6B1E2B0FCB0FAC0CEC5CDB3DDB0B3C0CEC1A4BAB82E687770>

개인정보처리방침 제1조 ( 개인정보의처리목적 ) 1 정보통신정책연구원 ( 이하 연구원 이라한다 ) 은개인정보의처리목적에필요한최소한의개인정보를처리하고있으며, 연구원홈페이지 ( 또는소관부서의홈페이지에게재하여정보주체가확인할수있도록안내를하고있습니다


04.박락인(최종)치안정책연구 29-3.hwp

중요문서 개인정보처리방침 제정 : 최근개정 : 제1조 ( 목적 ) 신한아이타스 ( 이하 회사 라한다 ) 는개인정보보호법제30조에따라정보주체의개인정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정보처리방침

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

<B3EDB9AEC0DBBCBAB9FD2E687770>

< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>



자연언어처리

규제개혁논의및주요국사례 재정지출분석센터

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

I (34 ) 1. (10 ) 1-1. (2 ) 1-2. (1 ) 1-3. (2 ) 1-4. (2 ) 1-5. (1 ) 1-6. (2 ) 2. (8 ) 2-1. (3 ) 2-2. (5 ) 3. (3 ) 3-1. (1 ) 3-2. (2 ) 4. (6 ) 4-1. (2 )

H3250_Wi-Fi_E.book

< B3E2B5B5204B2D BDC3BDBAC5DB20B8C5B4BABEF328C3D6C1BE292E687770>

(012~031)223교과(교)2-1

개인정보처리방침_성동청소년수련관.hwp

5,678,689 5,462, , ,679,338 5,462, , 증 )649 5,222,334 5,006, ,

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할


목차 Ⅰ. 추진배경 1 Ⅱ. 개인정보수집원칙 2 Ⅲ. 개인정보처리자조치요령 3 1. 필요최소한개인정보수집 3 2. 정보주체의실질적동의권보장 8 3. 고유식별정보및민감정보처리제한 12 < 참고 > 개인정보수집이용동의서 ( 예시 )

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

<4D F736F F D205B46696E616C5DB0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A75FC1F7BFF8BFEB5F E30332E3239>

2002report hwp

감사위원회 규정

표현의 자유

50 Business Highlights 4차산업혁명시대핵심자산, 개인정보의안전한활용및보호원칙 51 4 차산업혁명시대핵심자산, 개인정보의안전한활용및보호원칙 이재웅이사리스크자문본부정보보안서비스그룹 Introduction 글로벌추세는자국데이터보호및관련규제강화인공지능 (AI

저작자표시 - 비영리 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 이차적저작물을작성할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물

Ç×°ø¾ÈÀüÁ¤º¸³×Æ®¿öÅ©±¸Ãà¹æ¾È¿¡°üÇÑ¿¬±¸.hwp

Zentralanweisung

<4D F736F F D20B1E2C8B9BDC3B8AEC1EE2DC8ABBCB1B1E2>

슬라이드 1

ISO17025.PDF

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

년 2 월 1 1일에 모 스 크 바 에 서 서명된 북 태 평양 소하 성어족자 원보존협약 (이하 협약 이라 한다) 제8조 1항에는 북태평양소하성어류위원회 (이하 위원회 라 한다)를 설립한다고 규정되어 있다. 제8조 16항에는 위원회가 을 채택해야 한다고 규정

C스토어 사용자 매뉴얼

Windows Live Hotmail Custom Domains Korea

Microsoft PowerPoint - chap01-C언어개요.pptx

저작자표시 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 이차적저작물을작성할수있습니다. 이저작물을영리목적으로이용할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상


1 - 서울특별시강서구누리소통망서비스 (SNS) 관리및 운영에관한조례제정안 검토보고서 1. 회부경위 가. 의안번호 : 나. 제출자 : 서울특별시강서구청장다. 제출일 : 2017 년 5월 2일라. 회부일자 : 2017 년 5월 8일 2. 제안이유 인터넷,

È޴ϵåA4±â¼Û

I would like to ask you a favor. Can you pick me up at the airport? ASAP P.S. RSVP BTW IMO ATM ETA

내지(교사용) 4-6부

Transcription:

해외개인정보보호동향보고서 월간보고서 2018 년 4 월

EU 29 조작업반의 GDPR 대응동향 - 2018 년개정및신규발표한 GDPR 가이드라인을중심으로 < 목차 > * 2017년 9월해외개인정보보호동향핫이슈보고서에서 해외주요국의 GDPR 대응동향 EU회원국을중심으로 를다룬바있음 * 본동향보고서에서는위동향보고서에이어, EU 29조작업반의 GDPR 대응현황의조사 분석의일환으로 2017년부터 2018년 5월현재까지진행된 GDPR 대응업데이트현황을정리함 * 다음차수동향보고서에서는해외주요국가들 ( 유럽주요국및미국등 ) 의 GDPR 대응동향을분석예정 1. 개요 - 18 년 5 월 25 일 GDPR 이시행됨에따라 EU 29 조작업반은기존 GDPR 가이드라인의 4 가지주제에 대한개정판과 2 개의신규가이드라인을발표함 2. 기존 GDPR 가이드라인에대한개정판의주요내용 - (1) 자동화된의사결정및프로파일링 (Automated decision-making and profiling) - (2) 동의 (Consent) - (3) 투명성 (Transparency) - (4) 개인정보유출통지 (Data breach notification) 3. 신규 GDPR 가이드라인의주요내용 - (1) 인증기구 (Accreditation of certification bodies) - (2) 특정상황에대한역외이전예외조항 (Article 49, Derogations for specific situation) 1. 개요 EU의개인정보보호관련정책자문기구인 EU 29조작업반 (The Article 29 Data Protection Working Party) 은 GDPR의시행 (2018년 5월 25일시행 ) 에대응하기위하여주제별가이드라인을지속적으로발표 29조작업반은 GDPR에대한글로벌실행전략의일환으로 2017년 GDPR 실행계획 (2017 GDPR ACTION PLAN) 을채택한바있으며 (2017.1.3.), 이를통해 - 1 -

자동화된의사결정및프로파일링, 동의, 투명성, 개인정보침해통지등 4가지주제에대한가이드라인준비및주기적인검토를진행하고, 2018년에가이드라인을업데이트할예정이라고밝힌바있음 2018년최근 EU 29조작업반은기존 GDPR 가이드라인의 4가지주제에대한개정판 1 과 2개의신규가이드라인 2 을발표함 2. 기존가이드라인에대한개정판의주요내용 (1) GDPR 하에서의자동화된의사결정및프로파일링 (Automated decision-making and profiling) 에관한가이드라인 3 ( 18.2.6. 개정 ) 4 EU 29조작업반은 2017.10월채택된바있는 GDPR 하에서의자동화된의사결정및프로파일링에관한가이드라인 개정판 (Guidelines on Automated individual decisionmaking and Profiling for the purposes of Regulation 2016/679) 을발표 ( 18.2.6) 동가인드라인에는 GDPR에서제시된 개념정의 프로파일링과자동화된의사결정에모두적용되는일반적인내용 (general provisions) 과 제22조에정의된자동화된의사결정만을위한구체적인내용 (specific provisions) 아동에게적용되는프로파일링관련규정과개인정보영향평가및개인정보보호전문관리자 (DPO) 에관한사항등을제시 29조작업반은적절한안전장치가마련되지않을경우프로파일링및자동화된의사결정기술이개인의권리와자유에중대한위험을초래할수있다는점을지적 동가이드라인은프로파일링과자동화된의사결정두가지모두에적용되는일반적인내용 (general provisions) 에대해다음과같이제시 제5조 1항에제시된데이터보호원칙들 ( 적법성, 공정성, 투명성, 추가처리및목적의제한, 데이터최소화, 정확성, 보관기간제한 ) 을준수해야함을설명 제6조 1항에제시된처리의적법성 ( 정보주체의동의, 계약의이행을위한필요성, 법적의무준수, 생명에관힌이익보호, 공익상의이유, 데이터컨트롤러나제3자가추구하는정당한이익의목적 ) 을충족시켜야함을설명 제9조에제시된특정범주의개인정보처리와관련해서는제9조 2~4항에서명시된 1 자동화된의사결정및프로파일링 (Automated decision-making and profiling) 동의 (Consent) 투명성 (Transparency) 개인정보침해통지 (Data breach notification) 등 2 인증기구 (Accreditation of certification bodies) 특정상황에대한역외이전예외조항 (Article 49, Derogations for specific situation) 등 3 출처 : http://ec.europa.eu/newsroom/article29/document.cfm?doc_id=49826 4 동가이드라인은 2017 년 10 월채택됨 - 2 -

경우가아닌한해당정보의처리는금지한다고설명 정보주체의권리와관련하여, 정보를제공받을권리 ( 제13조와제14조 ), 데이터에접근할권리 ( 제15조 ), 데이터수정을요청할권리 ( 제16조 ), 삭제를요청할권리 (17조), 처리제한의권리 ( 제18조 ), 반대할권리 ( 제21조 ) 등정보주체의권한을보다명확하게설명 < 참고 : GDPR에서의자동화된의사결정및프로파일링에관한규정 > ( 전문 71조 ) 정보주체는법적효력을초래하거나, 이와유사하게본인에게중대한영향을미치는사항에대하여프로파일링등자동화된처리에만근거한결정 (automated individual decision-making, including profiling) 의대상이되지않을권리를가짐 ( 전문72조 ) 프로파일링은처리원칙또는개인정보보호원칙을위한법적근거등개인정보의처리와관련한 GDPR 규정에적용받음 (GDPR 제4조4항 ) 프로파일링이란 개인에관한특정한개인적측면을평가하기위해특히개인의업무능력, 경제성황, 건강, 개인의성향이나관심사, 신뢰도, 행동, 위치, 이동에관한측면을분석및예측하기위해개인정보를사용하는모든개인정보의자동처리형태 를의미 또한 GDPR 제22조 ( 프로파일링을비롯한자동화된개별의사결정 ) 이적용되는경우를예시를통해설명 GDPR 제22조에서의 오직자동화된처리에근거한 이란, 의사결정과정에서인간의개입이없는것을의미함 GDPR 제22조에서의 법적효력을발생하는의사결정 이란, 자동화된처리만을근거로한결정이누군가의법적권리에영향을미치는것을의미함 - (i) 계약의취소, (ii) 주거혜택과같이법에의해부여된특정사회적이익에대한권리또는그거부, (iii) 국가에대한승인또는시민권거부등 GDPR 제22조에서의 법적효력과비슷하게그 / 그녀에게상당한영향을미치는경우 란, 의사결정과정이사람들의법적권리에영향을미치지않더라도, 그와유사하게중요한영향을미치는경우를의미함 - (i) 온라인상에서신용카드신청의자동거부또는 (ii) 인간의개입없이전자상거래관행등 (GDPR 제22조의적용예외 ) (i) 계약의이행또는체결에필요한사항인경우 예시 : 어느대형기업의채용공고시수만개의입사지원서를처리해야하는경우, 자동화된응용프로그램을통해적합한후보선정이라는의사결정을처리해야하는경우발생 (ii) 정보주체의권리와자유및합법적이익을보호하기위한적절한조치를규정하는 EU 또는회원국법에의해승인된경우 예시 : 부정행위와세금공제를감시하고방지하거나, 관제사가제공하는서비스의보안과신뢰성을보장하기위해 GDPR - 3 -

제 22 조에서의자동화된의사결정을할수있음 (iii) 정보주체의명시적동의가있는경우 GDPR 에서는 명시적동의 (explicit consent) 에대해규정하고있지는않지만 29 조 작업반의동의에관한가이드라인에서그해석을참고할수있음 5 기타 데이터컨트롤러는정보주체의권리, 자유, 정당한이익, 인적개입확보, 정보주체가결정에대해이의를제기할수있는권리등을보호하기에적합한조치를취해야함 어린이에게는프로파일링과자동화된의사결정이적용되지않음을확인 (2) GDPR 에따른동의에관한가이드라인 (Guidelines on Consent under Regulation 2016/679) 개정판 ( 18.4.10) 6 29조작업반은 GDPR에따른동의에관한가이드라인 (Guidelines on Consent under Regulation 2016/679) 개정판을발표 ( 18.4.10) 동가이드라인은이번발행에앞서 2017년 11월 28일채택된바있으며, 유효한동의가되기위한요건들을제시하고명시적동의를확보하는것과유효한동의를확보하기위한추가적인조건에대해서도다루고있음 동가이드라인은개정판에서온라인동의를위한요구사항에대한새로운섹션을추가했으며, 29조작업반은여기에서웹사이트의지속적인사용이그에상당한동의를표현한것으로여겨지는것이부적절하다고지적 7 또한가이드라인초안에는포함되어있었던 데이터컨트롤러가개인정보의제공에의존하지않는비용없는 (cost free) 서비스를제공할것을요구한문구를삭제 8 5 https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051 6 출처 : https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051 7 출처 : https://www.lexology.com/library/detail.aspx?g=06e38796-26e3-42ba-a373-f32b2719bbe8 8 출처 : https://www.lexology.com/library/detail.aspx?g=06e38796-26e3-42ba-a373-f32b2719bbe8-4 -

< 참고 : GDPR에따른동의 (Consent) 에관한가이드라인에관한규정 > ( 전문제32조및 GDPR 제4조제11항 ) GDPR에서의동의는정보주체가진술또는적극적행동을통하여자신의개인정보처리에대한명백하고도긍정적인의사를표현하는것을의미 - 정보주체의동의는 진정한 (genuine) 것이어야하며, 형식적인요건의충족만으로달성할수없으며, 침묵이나사전체크된개인정보처리동의는이에부합하지않음 - 복수의목적으로개인정보처리를하는경우각각의목적에대해동의를받아야함 ( 전문 42조 ) 개인정보처리가정보주체의동의에근거하는경우, 데이터컨트롤러는정보주체가처리방식에동의를제공하였음을입증할수있어야함 의견수렴을거쳐개정된가이드라인은다음과같은내용을포함 동의의유효한조건 (Valid consent) 으로는 자유롭게부여된동의 (Freely given) 개별적으로특정된동의 (Specific) 사전정보가제공된동의 (Informed) 정보주체의명확한의사표시 (Unambiguous indication) 를제시 위의조건을충족시키는한동의가반드시명시적 (explicit) 일필요는없으나 민감정보의처리 ( 제9조 ) 적절한보호조치가없는제3국또는국제기구로개인정보이전 ( 제49조 ) 법적효력을초래하거나이와유사하게본인에게중대한영향을미치는프로파일링 자동화된의사결정 ( 제22조 ) 등의경우에해당하는경우명시적동의를요구 데이터컨트롤러는정보주체로부터유효한동의를얻는것만으로는충분하지않으며, 이를적절히수행했음을증명할수있어야한다고설명 9 - GDPR은이것이어떻게수행되어야하는가에대해규정하고있지않으나, 동가이드라인에서는어떤방법을사용했든그것이과도한분량의추가적인데이터처리로이어지지않아야한다고지적 - 동가이드라인은 적절한간격 으로동의를새롭게갱신하고, 갱신할때모든정보를다시제공하여정보에근거한동의가이루어지는것을권장 정보주체는언제든동의를철회할수있어야하며동의를하는것만큼철회도쉬워야한다고강조 - 동의가철회된경우데이터컨트롤러는그시점부터정보처리를중지하고그이전에처리된개인데이터는삭제하거나익명화하도록명시 - 정보주체가동의를철회하고데이터컨트롤러가또다른적법한근거에의해해당개인데이터를처리하기워할경우에는컨트롤러가정보주체에게이사실과새로적용되는합법적근거를알릴것을명시 9 출처 : https://www.lexology.com/library/detail.aspx?g=06e38796-26e3-42ba-a373-f32b2719bbe8-5 -

데이터컨트롤러가특정목적을위해개인데이터를처리하는것을정당화하기위해서는 단한가지의합법적인근거에만의존할수있으나, 여러가지목적으로개인데이터를 처리하는경우각각의목적은별도의합법적인근거를가져야함을지적 (3) 투명성 (Transparency) 에관한 GDPR 가이드라인 (Guidelines on transparency under Regulation 2016/679) 10 ( 18.4.11) EU 29조작업반은이러한내용을반영한 GDPR에서의투명성에관한가이드라인 (Guidelines on transparency under Regulation 2016/679) 개정판을발표 ( 18.4.11) 동가이드라인 은 GDPR 하에서개인정보처리와관련된새로운투명성의무에대한해석을지원 데이터관리자가개인정보보호관련공지및이와상응하는문서를구성하는방법을이해할수있도록지원 11 가이드라인의내용으로는 투명성의의미에대한설명, GDPR 하에서투명성의요소, 정보주체에게제공해야하는내용, 정보제공의무에서면제되는조건, 정보주체의권리, 데이터유출과투명성의문제등에대해다루고있음 < 참고 : GDPR 에서의투명성관련규정 > GDPR 에서투명성은적법성및공정성과더불어가장중요한개인정보처리원칙중하나 ( 전문 39조 ) 투명성원칙은개인정보의처리에관련된고지및통지일체가접근이용이하고, 이해하기쉽고명확하며쉬운언어가사용될것을요구한다고설명 (GDPR 제12조 ) 정보주체의권리행사를위한투명한정보, 통지, 형식에대해다루고있으며, 데이터컨트롤러는정보주체의개인정보를투명한방식으로처리할수있음을입증할수있어야함 동가이드라인은데이터컨트롤러가개인정보의투명한처리를입증하기위하여다음과 10 출처 : http://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025 11 출처 : http://www.mondaq.com/italy/x/696008/data+protection/wp29+published+the+guidelines+on+transparency - 6 -

같은요건을확인해야함을명시 정보를제공할때는간결하고투명하며, 이해가능하고쉽게접근가능한형식 (Concise, transparent, intelligible and easily accessible form) 을채택 정보주체에게직접정보를제공하거나, 링크를제공하거나, 분명한안내표시를하거나, 질문에대한답변의방식을적용하는것이가능 정보는구체적이고확정적이어야하며, 추상적이거나모호한용어를피하고, 지나치게법률적 기술적 전문적인용어가포함되지않도록명확하고평이한언어를사용해설명 특히아동을대상으로하는경우, 그들의수준에서적절하고공감되는어휘, 어조를사용함으로써아동자신에게전달하는메시지와정보라는것을인지할수있도록보장 정보주체에대한정보제공또는통지는기본적으로문서로정보를제공해야하지만, GDPR는전자수단등의사용을허용하고있으며, 29조작업반은온라인환경에서 just-in-time 상황별팝업고지, 3D 터치또는호버오버 (hover-over) 12 고지, 프라이버시대시보드등의 여타수단 (other means) 을활용할수있다고설명 정보주체가요청한경우 구두로 정보를제공할수있으며, 자동화된구두정보를제공하는경우에는데이터컨트롤러가정보주체로하여금미리녹음된메시지를다시들을수있도록하는것이바람직 데이터컨트롤러는정보주체의권리이행및정보주체에대한개인정보침해통지에따라취해진모든통지및조치에대해정보주체에게요금을청구할수없음 ( 무상제공해야함 ) (4) GDPR 하에서의개인정보유출통지에대한가이드라인 13 (Guidelines on personal data breach notification under Regulation 2016/679) ( 18.2.6) 29조작업반은 GDPR 하에서의개인정보유출통지가이드라인 (Guidelines on personal data breach notification under Regulation 2016/679) 의개정판을발표 ( 18.2.6) 동가이드라인을통해개인데이터유출시데이터컨트롤러와데이터프로세서가취할수있는단계들중일부사항을제시 14 감독기관과정보주체에게통지및커뮤니케이션해야할내용과통지시기등을 GDPR 규정에의거하여제시하고, 위험을초래하지않으므로통지할필요가없는경우를함께설명 15 12 호버오버 (hover-over) 고지란커서가위치한곳에서바로정보를고지할수있는방법으로, 예컨대웹사이트에특정문장이나단어등에마우스커서를위치시키면고지내용이새로운창으로보이도록하는방식등으로구현됨 13 http://ec.europa.eu/newsroom/article29/document.cfm?doc_id=49827 14 출처 : https://iapp.org/news/a/wp29-releases-updated-guidelines-on-profiling-breach-notification/ - 7 -

차별행위, 평판훼손, 재정적손실, 비밀의누설또는다른중대한경제적 사회적불이익등개인에게중대한악영향을미칠수있는경우등개인의권리와자유에위험을일으킬가능성이있는침해가이루어졌을경우통지의무가있음을지적 컨트롤러는개인정보침해와관련된사실, 그영향과취해진구제조치등모든개인정보침해를문서화하도록의무화 < 참고 : GDPR에서의개인정보유출통지관련규정 > GDPR 제33조와제34조에서는각각감독기구에대한개인정보유출통지와정보주체에대한개인정보유출통지관련내용을제시 개인정보의유출이발생한경우정보처리자는부당한지체없이이를알게된후 72시간안에관련감독기관에해당개인정보침해에대해통지하도록규정 개인정보의유출이개인의권리와자유에대한중대한위험을초래할가능성이있는경우정보처리자는부당한지체없이정보주체에게개인정보유출사실에대해통지하도록규정 3. 신규 GDPR 가이드라인의주요내용 (1) GDPR 제 43 조에따른인증기구에대한가이드라인초안 16 (Guidelines on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation 2016/679) ( 18.2.6) GDPR 제43조에서는개인정보보호와관련하여적절한수준의전문지식을보유한인증기구가인증의발행및갱신을담당한다고규정 17 인증업무를수행하는인증기관은정보처리작업이 GDPR을준수하고있음을보여주기위한목적으로, 유럽연합차원의개인정보보호인증매커니즘, 개인정보보호인장 (seals) 및마크 (marks) 를부여할것이권장됨 인증기구의인가는유럽정보보호이사회가승인한기준에근거하여실시 인증기구는해당인증이나인증의철회를초래하는적절한평가에대해책임을지며 15 예컨대 암호화된개인정보유출시암호키의기밀성이손상되지않은경우해당정보는원칙적으로파악이불가능함에따라개인에대한부정적인영향을미칠가능성이없으므로통지불필요 개인정보가비인가자가해독할수없는방식으로만들어지고, 정보가사본이거나백업이존재하는경우, 올바른방식으로암호화된개인정보의기밀성침해는감독기구에통지불필요 언론사시스템이정전등에의해수시간차단되어독자들에게뉴스를발송할수없는경우가용성침해가발생한것이지만개인의권리와자유에위험을발생시킨것으로볼수없으므로통지불필요 16 출처 : http://ec.europa.eu/newsroom/article29/document.cfm?doc_id=49877 17 GDPR 은인증을발급하는인증기관 (certification bodies) 이관할감독기관 (competent supervisory authority) 나국가의인가기관 (national accreditation body), 또는두기관모두의인가를받도록할것을회원국들에게요구 - 8 -

인증기구에대한인가는최대 5 년간발행되고갱신및철회가가능 29조작업반은 GDPR 제43조에따른인증기구에대한가이드라인 (Guidelines on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation 2016/679) 을공개 ( 18.2.6) 한후 2018년 3월말까지의견수렴을진행함 동가이드라인에서는 인증의목적명시제시 인증기관으로지정될수있는경로에대한설명 인증이국가수준에서처리되는경우추가적인요구사항에대한프레임워크제공등의내용을제시 29조작업반은인가의목적이기관의인증수행 ( 준수평가활동 ) 적격성에대한권위있는진술을제공하는것임을인지하며, 인가는 인증기관이 GDPR 42조및 43조에의거하여인증을수행할자격이있다는증명 이라고해석 GDPR 43조 1항에따라인증기관을인가 (accreditation) 하는데사용될수있는경로를 1감독기관이자체요건을기반으로단독수행 2지명된국가인가기관 18 이단독수행 3감독기관및국가인가기관이 19 모두수행등의 3가지로제시 20 국가인가기관에서인가를처리하는경우추가인가요건수립을위한프레임워크와관련, GDPR은국가인가기관이 EN-ISO/IEC 17065/2012(ISO 17065) 와관할감독기관이정한추가요건에따라인증기관을인가한다고규정하고있으므로, 인가프로세스에서국가인가기관들은감독기관이정하는추가요건들을적용해야함을지적 감독기관에서인가를처리하는경우, 인가기관은인증기관이추가요건및인증대상에따라인증활동을수행할능력이있는지평가해야한다고설명 - 외부기관이인가받은인증기관을대신하여인증활동의일부를수행하는경우, ISO 요건외에도정보보호분야에서특별한전문성이요구된다고지적 단, 동가이드라인의해당내용이인증기구의업무와관련한절차적설명서나새로운기술표준이아니라는점을확인 (2) GDPR 제 49 조의특정상황에대한역외이전예외조항에대한가이드라인 21 (Guidelines 18 이때유럽의회및이사회규정 (EC) No 765/2008 에따라, 그리고 EN-ISO/IEC 17065/2012, 그리고관할감독기관이정한추가요건들에의거하여야함 19 이때도역시럽의회및이사회규정 (EC) No 765/2008 에따라, 그리고 EN-ISO/IEC 17065/2012, 그리고관할감독기관이정한추가요건들에의거하여야함 20 이때, 국가인가기관과감독기관이모두인가활동을수행할지또는한기관이단독으로수행할지여부는회원국이단독으로결정하나, 어떤경우건적절한자원이제공되도록규정 21 http://ec.europa.eu/newsroom/article29/document.cfm?doc_id=49846-9 -

on Article 49 of Regulation 2016/679)(`18.2.6) GDPR 제49조는적정성결정이없거나적절한안전조치가없을경우제3국이나국제기구로의개인정보이전은일정조건하에서만가능하다고규정 ( 제49조1항 ) 적정성결정이없을경우, EU 또는회원국법률은중요한공익상의이유로특정범주의개인정보를제3국이나국제기구로전송하는것을명시적으로제한할수있다고규정 ( 제49 조5항 ) EU 29조작업반은 GDPR의제49조에대한가이드라인 (Guidelines on Article 49 of Regulation 2016/679) 을발표 22 ( 18.2.6) 동가이드라인은개인정보를제3국으로이전하는상황에서정보주체의권리를보장하는것과관련해제기되는주요질문에관한 29조작업반의이전작업을토대로작성 29조작업반은제3국이적절한수준의보호를제공하고역외전송된데이터가제3국에서안전하게보호될수있는방법에대해오랫동안검토해왔으며계층화된접근방식 (layered approach) 을지지 한편, GDPR 제49조를적용할때는제44조에의거하여제3국또는국제기구에대한개인정보의이전이 GDPR의다른조항의조건을충족시켜야한다는점을고려필요 예컨대개인정보이전과관련한각처리활동은 GDPR 제5조의데이터보호원칙을준수해야하며, 특히제6조에따라합법적이어야함 적정성결정, 적절한보호조치또는구속력있는기업규칙이없는경우제3국이나국제기구로의개인정보이전은다음조건에서만가능 정보주체가적정성결정및적절한보호조치가없음으로인해정보주체에발생할수있는정보이전에대한위험을고지받은후, 정보주체가이전에명시적으로동의한경우 정보주체와컨트롤러간계약이행을위하여또는정보주체의요청에의해취해진계약전사전조치의이행을위하여정보이전을하여야하는경우 정보주체의이익을위하여컨트롤러와그밖의개인 / 법인간체결된계약의이행을위하여정보이전을하여야하는경우 중요한공익상이유로정보이전이반드시필요한경우 법적권리의확립 행사 수호를위하여정보이전이필요한경우 정보주체가물리적또는법률적으로동의할수없는경우, 정보주체또는다른사람의생명과관련한주요이익을보호하기위하여정보이전이필요한경우 22 http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614232-10 -

개인정보가 EU 또는회원국법률에따라정보를공개할목적이거나일반국민또는정당한이익을입증할수있는제3자가참조하기위한목적으로만들어진공적인개인정보기록부로부터 EU 또는회원국법률에명시된참조의조건이충족되는범위내에서이전되는경우 Reference 1. EC, Guidelines on Article 49 of Regulation 2016/679, 2018.2.12 2. IAPP, WP29 guidelines on automated individual decision-making and profiling, 2018.2.6. 3. IAPP, WP29 releases updated guidelines on profiling, breach notification, 2018.2.14. 4. Lexology, Consent: Article 29 Working Party issues final guidance, 2018.4.23. 5. Mpmdaq, Article 29 Working Party consultation on guidelines for accrediting certification bodies under the GDPR, 2018.5.2. 6. Mondaq, European Union: WP29 Published The Guidelines On Transparency, 2018.4.26-11 -