2020. 6. 30. 10:56 데이터 3법 공부

유럽 개인정보보호법 GDPR의 목적 외 이용 및 '양립가능성'의 의미(1)

김상현, "유럽연합의 개인정보보호법, GDPR", 커뮤니테케이션북스, 2018. 9.

PP.31-32에서 발췌 

 

"개인정보는 구체적이고, 명시적이며, 적법한 목적을 위해 수집해야 하며, 그 목적과 양립하지 않는 방식으로 처리되어서는 안된다(목적제한). 다만 공익적인 기록 보존 목적, 과학이나 역사 연구 목적, 통계목적을 위한 추가처리는 이에 해당하지 않는다(GDPR 제5조 1항)"

 

"'목적제한'원칙은 기업이나 기관 같은 정보 처리자에게 몇 가지 명확한 개인 정보 처리 기준을 제공한다. 첫내, 왜 개인정보를 수집하며, 그것을 어떤 목적에 쓸 의도인지 처음부터 분명한 계획을 세우라는 것, 둘때, 그런 목적과 관련 의무 사항을 구체적으로 문서화해 법규에 따랐다는 '증거'를 만들라는 것, 셋째, 수집할 개인 정보의 내용과 목적을 정보 주체 당사자에게 명확히 알림으로써 '투명성'의 의무를 이행하라는 것, 그리고 넷째, 이미 수집한 개인 정보를 수집 당시의 목적과는 다른 목적으로 사용하거나 공개하고자 계획할 대는 그 새로운 사용 또는 공개를 공정하고, 적법하며, 투명한 방식으로 하라는 것이다"

 

이 부분에 대한 원문을 살펴보면 다음과 같다. 

 

https://gdpr-info.eu/art-5-gdpr/

Art. 5 GDPR Principles relating to processing of personal data

Personal data shall be:

  1. processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’);
  2. collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall, in accordance with Article 89(1), not be considered to be incompatible with the initial purposes (‘purpose limitation’);
  3. adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’);
  4. accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay (‘accuracy’);
  5. kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the personal data will be processed solely for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) subject to implementation of the appropriate technical and organisational measures required by this Regulation in order to safeguard the rights and freedoms of the data subject (‘storage limitation’);
  6. processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).

간이하게 해석하면..

 

개인정보(Personal Data)는...:

1. 적법성, 공정성, 투명성 :

 

개인정보처리를 할 때에는 정보주체

(the data subject : A data subject is any person whose personal data is being collected, held or processed.

https://eugdprcompliant.com/what-is-data-subject/)와 관련하여 적법하고, 공정하고, 투명하게 개인정보처리해야한다.

=> 개인정보처리는 적법하고, 공정하고 투명해야 한다. 

 

2. 목적 제한 :

 

개인정보는 구체적이고, 명백하고 정당한 목적으로 수집되어야 하고, 그 목적들과 양립할 수없는 방식으로 추가적으로 처리되어서는 안된다; 공공의 이익을 위한 보관 목적, 과학적 혹은 역사적 연구 목적, 또는 통계적 목적을 위한 추가처리만 가능한데, Article 89(1)에 따라, 최초목적에 양립가능해야 한다

=>개인정보처리의 목적은 구체적으로 제한되어야 한다.

 

3. 개인정보처리의 최소화 :

 

처리하는 개인정보가 명시한 목적을 이행하는데 충분하고, 그 목적과 합리적인 연관성이 있어야 하며, 그 목적에 필요한 수준으로 그 양을 제한해야 한다. 

=> 수집하고 처리하는 개인정보의 양을 최소화해야 한다. 

 

4. 정확성 :

 

개인정보는 정확해야 하고, 필요하다면 업데이트를 해야한다; 부정확한 개인정보는 확실하게 하기 위하여 지체 없이 삭제되거나 수정할 수 있는 모든 합리적인 조치를 해야 한다. 

=> 수집한 개인정보는 정확해야 하고, 필요하다면 바뀐 내용을 업데이트 해서 그 품질을 유지해야 하며, 부정확한 개인정보는 지체없이 삭제하거나 정정할 수 있도록 모든 가능한 조치를 취해야 한다(김상현, 위의 책, p.34)

=> 처리하는 개인정보는 정확해야 한다. 

 

5. 보유기간 제한 : 

 

개인정보가 처리되는 목적이 더이상 필요하지 않으면 개인정보를 보유해서는 안된다. 개인정보는 오직 공공의 이익을 위한 보관목적, 과학적 혹은 역사적 연구목적, 또는 통계적 목적인 경우,  데이터 주제의 자유와 권리를 보호하기 위한 이 규제에 의하여 Article 89(1)에 따른 적절하게 기술적이고 조직적인 조치가 취해지면 더 오래 보유할수도 있다. 

=> 개인정보는 목적에 필요한 기간 동안만 보유해야 한다. 

 

6. 무결성과 기밀성 : 개인정보에 대한 적절한 보안이 보장되고, 개인정보에 대한 무단 또는 불법처리와 우발적인 분실, 파기 또는 손상에 대한 보호를 포함해야 하고, 적절한 기술적 또는 조직적 조치를 사용한 방식으로 처리되어야 한다. 

=> 개인정보의 민감성에 걸맞은 보안 대책으로무결성과 기밀성을 보장해야 한다.  

 

 

====================================================

 

양립가능성이란 위 Article 5. (2)에 규정되어 있는바, 이러한 양립가능성에 대한 의미를 정확히 파악하려면  Article 89(1)로 가야 할 것 같다...

 

이거는 다음 글에..

'데이터 3법 공부' 카테고리의 다른 글

가명정보 결합을 통한 재식별화를 막기 위한 규제방안(1)사전적 규제방안  (0) 2020.07.20
유럽 개인정보보호법 GDPR의 목적 외 이용 및 '양립가능성'의 의미(2)  (0) 2020.07.01
유럽 GDPR의 '가명처리'와 우리 개인정보보호법상 '가명정보'비교  (0) 2020.06.30
개정 데이터 3법의 '가명정보'의 개념  (0) 2020.06.29
개정 데이터 3법의 주요내용(신용정보법)  (0) 2020.06.29
Posted by 토르월드
블로그 이미지
토르월드

공지사항

Yesterday
Today
Total

달력

 « |  » 2024.5
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31

최근에 올라온 글

최근에 달린 댓글

글 보관함

티스토리툴바