[EU의 데이터 보호]GDPR의 정보제공 의무

 

이번 회에서는 GDPR의 개인 데이터 처리와 관련된 가장 중요한 의무인 정보 제공 의무와 처리 원칙에 대해서 다루고자 한다.

 

  • 투명성 원칙
<이미지 출처: gdprtoons.com>

개인 데이터 처리와 관련된 GDPR의 첫 번째 원칙은 ‘합법적이고 공정하며 데이터 대상과 관련하여 투명하게 처리해야 한다’는 것이다. 그러므로 개인 데이터가 사용되는 방식에 대한 투명성, 즉 개방적이고 정직함에 대한 요구 사항은 유럽 데이터 보호 체계의 주요 구성 요소로 남아 있다. 궁극적으로 GDPR은 개인 데이터가 수집 및 처리되고 해당 처리와 관련하여 자신의 권리와 위험, 규칙 및 보호 수단을 알고 있음을 데이터 주체가 분명하게 알리는 것을 목표로 한다.

GDPR은 특히 컨트롤러가 데이터 주체에게 자신의 개인 데이터 처리에 대한 특정 정보를 제공하도록 요구함으로써 투명성 원칙을 다룬다. 이 정보는 ‘공정한 처리 정보’라고도 한다. 그러나 투명성은 GDPR의 여러 다른 원칙에서도 중요한 역할을 한다.

데이터 보호 지침(‘Directive’)에 따르면 투명성은 처리의 공정성이라는 개념에 명시적으로 연결되어 있다. GDPR은 ‘공정하고 투명한 처리의 원칙은 데이터 처리 주체에게 처리 운영과 그 목적의 존재에 대해 통보해야 한다’는 것을 설명하면서 이 연결을 유지한다. GDPR에서 요구하는 공정한 처리 정보를 제공하지 않거나 제공된 정보에 따라 개인 데이터를 처리하지 못하면 처리가 불공평해질 뿐만 아니라, GDPR의 특정 정보 제공 의무들을 위반하게 된다.

투명성은 처리의 근거로서 ‘동의’가 고려될 때 유사하게 중요하다. 1권에서 논의된 바와 같이, 동의가 유효하다는 것은 통보된다는 것을 포함하여 특정 기준을 충족시켜야 한다.

정보에 대한 동의를 얻으려면 데이터 주체에 동의하는 내용을 명확하게 말해야 한다. 특히 GDPR에서는 유효한 동의를 제공하기 위해 데이터 주체가 적어도 컨트롤러의 신원과 개인 데이터가 처리되는 목적을 인지하고 있을 것을 요구한다. 따라서 동의를 구하는 데이터 주체에게 제공되는 정보는 동의의 유효성에 직접적인 영향을 미칠 것이다. 제공된 정보가 부정확하거나 불완전하거나 아래 명시된 추가 요구 사항을 충족시키지 못하는 경우, 동의가 무효화된다.

데이터 주체에 정보를 제공하는 것은 GDPR 제6조 (1)항 (f)에 의거한 처리를 위해 ‘합법적 이익’에 의존하는 컨트롤러의 능력에 중요한 영향을 미칠 수 있다.

GDPR의 Recital 47에는 다음과 같이 명시되어 있다.

합법적인 이익이 존재하는지 여부는 데이터 주체가 해당 목적을 위한 처리가 발생할 수 있는 개인 데이터 수집 시점 및 상황에서, 합리적으로 기대할 수 있는지 여부를 포함하여 주의 깊은 평가가 필요하다. 특히 데이터 주체가 추가 처리를 합리적으로 기대하지 않는 상황에서 개인 데이터가 처리되는 경우, 데이터 주체의 이익 및 기본적 권리가 데이터 컨트롤러의 이익에 우선될 수 있다.

 

즉, 데이터 주체가 자신의 개인 데이터가 처리되는 방법에 대한 명확한 정보가 제공되면, 컨트롤러는 합법적인 이익 주장을 뒷받침할 가능성이 높다. 반대로 정보가 제공되지 않으면 그 주장을 하기가 어렵다.

Directive와 GDPR 사이에는 투명성 처리 측면에서 많은 유사점이 있지만, 일부 차이점도 있다. 예를 들어, Directive는 컨트롤러에게 권한 있는 감독 당국에 자신들의 처리를 통보해야 한다는 요구 사항을 부과했다. 데이터 주체는 특정 컨트롤러가 수행한 처리에 대해 자세히 알아보기 위해 해당 통지를 참조할 수 있다. GDPR은 다음과 같은 일반 통보 요구 사항을 삭제했다.

이러한 의무는 행정적이고 경제적인 부담을 초래하지만, 모든 경우에 개인정보 보호 개선에 기여하지는 않는다. 따라서 그러한 무분별한 일반 통보 의무는 폐지되어야 하며 대신 그 본질, 범위, 맥락과 목적으로 인하여 자연인의 권리와 자유에 대한 높은 위험을 초래할 수 있는 처리 작업 유형에 초점을 맞춘 효과적인 절차와 메커니즘으로 대체되어야 한다.

 

  • 데이터 주체에 대한 GDPR 및 정보 규정

데이터 주체에 대한 정보 제공을 관리하는 주요 의무는 GDPR 제13조(개인 데이터가 데이터 주체로부터 수집되는 경우 포함) 및 제14조(데이터 주체 이외의 출처에서 개인 데이터가 획득되는 경우 관련)에 정리되어 있다.

아래에 설명할 몇 가지 예외를 조건으로 하여, 이 조항의 결합된 효과는 데이터 주체가 자신의 개인 데이터를 직접 제공했는지 또는 제3자가 컨트롤러에 제공했는지와 관계없이 컨트롤러에서 특정 정보를 받을 권리가 있다는 것이다.

GDPR에 명시된 정보 제공 의무는 주로 제13조 및 제14조에서 발생하지만, 이번 글에서는 컨트롤러가 데이터 주체에 제공해야 하는 모든 정보를 다루지 않는다. 대신 GDPR에서는 특정 유형의 처리가 수행될 때 데이터 주체에 특정 추가 정보가 제공되어야 한다고 명시한다.

  • 제13조: 데이터 주체로부터 개인 데이터를 수집할 때 데이터 주체에 정보를 제공할 의무

제13조 (1)항은 데이터 주체와 관련된 개인 데이터가 데이터 주체로부터 직접 수집되는 경우 데이터 주체에 다음 정보를 모두 제공해야 한다고 요구한다.

•컨트롤러와 컨트롤러의 대리인(있다면)의 신원 및 연락처 세부 정보

•DPO(Data Protection Officer)의 연락처 정보(임명된 DPO가 있다면)

•처리의 목적 및 법적 근거

•처리가 합법적인 이익 또는 합법적인 제3자의 이익을 목적으로 필요한 경우(GDPR 제6조 (1)항 (f)에 의거), 컨트롤러 또는 제3자가 추구하는 합법적 이익

•개인정보의 수신자 또는 수신자 범주(있다면)

•컨트롤러가 개인 데이터를 제3국 또는 국제 조직으로 이전할 것인지 여부(해당된다면 아래의 정보도 제공해야 한다)

‣유럽 집행위원회(“집행위원회”)의 타당성 결정이 이전과 관련하여 존재하는지 여부 또는

‣GDPR 제46조 또는 제47조에 따라 적절한 안전 조치(예: 집행위원회 또는 BCR(Binding Corporate Rules)에 의해 채택된 표준 데이터 보호 조항에 의거함)를 기반으로 이관되거나, 컨트롤러의 설득력 있는 합법적 이익과 개인 데이터에 대한 적절한 보호조치가 있다는 평가(GDPR 제49조 (1)의 두 번째 하위 단락에 따라)에 기반하여 이관이 되었는지, 컨트롤러가 참조될 수 있는 적절하고 적합한 보호조치와 수단으로 복사본을 얻을 수 있고, 그런 것들이 가용한지 여부

 

위의 정보에 추가하여, 제13조 (2)항은 컨트롤러가 공정하고 투명한 처리를 보장하기 위해 필요한 추가 정보를 데이터 주체에게 제공해야 한다고 규정하고 있다. 제13조 (2)항이 요구하는 추가 정보는 다음과 같다.

•개인 데이터가 저장될 기간 또는 그것이 가능하지 않은 경우 해당 기간을 결정하는 데 사용된 기준

•개인 데이터와 관련하여 데이터 주체의 권리에 관한 정보, 즉 권리의 존재: (1) 개인정보에 대한 액세스 및 수정 또는 삭제 요청. (2) 데이터 주체에 관한 처리의 제한을 요청하는 것. (3) 처리에 반대; 및 (4) 데이터 이식성 관련. 그러나 이 정보를 제공할 때 컨트롤러는 모든 상황에서 이러한 권리가 발생하지는 않는다는 점에 유의해야 한다(데이터 주체의 권리에 대한 자세한 내용은 향후에 더 다룰 예정)

•처리가 동의(GDPR 제6조 (1)항 (a)에 의거) 또는 개인 데이터의 특수 범주가 처리되는 명시적 동의(제9조 (2)항 (a)에 의거)에 근거하는 경우, 데이터 주체가 철회하기 전의 동의에 근거한 처리의 적법성에 영향을 미치지 않고 언제든지 그 동의를 철회할 권리

•감독 당국에 불만을 제기할 권리

•개인 데이터의 제공이 법적 또는 계약상의 요구 사항 또는 계약 체결에 필요한 요구 사항인지 또는 데이터 주체가 개인정보를 제공할 의무가 있는지, 그리고 그렇게 하지 않는 경우의 가능한 결과

•GDPR 제22조 (1)항 및 (4)항에 언급된 프로파일링을 포함하여(즉, 프로파일링이 법적 효력을 발생시키거나 데이터 주체에 중대한 영향을 미치거나 개인 데이터의 특수 범주에 관련되는 경우), 자동화된 의사결정의 존재. 컨트롤러가 프로파일링을 수행할 때, 관련 논리에 대한 의미 있는 정보와, 데이터 주체에 대한 처리의 중요성 및 예상되는 결과를 제공해야 한다.

 

GDPR 제13조 (1)항 및 제13조 (2)항에 의거하여 데이터 주체에게 제공되는 정보가 약간 서로 다른 조항을 통해 제시되는 이유는 명확하지 않다. Directive를 검토할 때, 일부 예외가 있지만 정보 제공 제도는 다음으로 구성된다.

•모든 상황에서 데이터 주체에게 제공되어야 하는 필수 정보 세트(예: 컨트롤러의 신원 정보 포함)

•데이터 주체와 관련하여 공정한 처리를 보장하기 위해 개인정보가 수집된 특정 상황을 고려하여 필요하다면 제공되어야 하는 추가 정보의 완벽하지 않은 목록

 

GDPR 제13조 (2)항의 의도는 개인 데이터가 공정하게 처리될 수 있도록 필요할 경우에만 나열된 정보가 제공되어야 한다는 Directive의 접근법을 따른 것이다. 이 접근법은 GDPR에 대한 Recital 60에서 다음과 같이 설명된다.

공정하고 투명한 처리의 원칙은 데이터 주체가 처리 작업 및 그 목적의 존재를 알도록 요구한다. 컨트롤러는 개인 데이터가 처리되는 특정 상황과 맥락을 고려하여, 공정하고 투명한 처리를 보장하는 데 필요한 모든 추가 정보를 데이터 주체에 제공해야 한다.

 

그러나 이 초안의 모호성은 제13조 (2)항이 처리가 공정하고 투명하게 이루어지도록 항상 열거되어 있는 정보의 제공이 항상 필요하며 따라서 데이터 주체에 항상 제공되어야 한다는 것으로 해석할 수 있음을 의미한다. 영국 정보위원회 사무국(ICO)의 GDPR에 관한 가이드는 제13조 (1)항과 제13조 (2)항에 규정된 정보 제공 의무를 구별하지 않았으며, 모든 경우에 있어서 두 종류의 정보가 모두 데이터 주체에게 제공되어야 한다는 것을 의미한다. 다른 감독 당국이 이 접근법을 따른다면, 실제로 제13조 (1)항과 (2)항 사이의 구별은 없을 것이며, 처리와 데이터 주체의 기대의 맥락에서 제공되는 공평한 처리 정보의 본질과 형태의 균형을 잡을 기회가 없을 것이다.

  • 제14조: 데이터 주체로부터 개인 데이터가 수집되지 않는 경우, 데이터 주체에 정보를 제공할 의무

제14조는 개인 데이터가 데이터 주체로부터 직접 획득되지 않는 상황을 다룬다. 제14조 (1)항 및 제14조 (2)항에 따라, 컨트롤러는 제13조 (1)항 및 제13조 (2)항에서 요구하는 것과 동일한 정보를 데이터 주체에 제공해야 한다. 제14조 (1)항 및 (2)항에 따라, 컨트롤러는 또한 다음 정보를 제공해야 한다.

•해당 개인정보의 범주

•어떤 출처로부터 개인정보가 유래했는지, 해당된다면, 공개적으로 접근 가능한 출처에서 유래했는지(많은 출처를 사용했기 때문에 개인정보 출처를 데이터 주체에 제공할 수 없는 경우, Recital 61은 일반적인 정보가 주어져야 한다고 규정한다.)

 

제14조에 의거하여, 개인 데이터가 데이터 주체로부터 직접 취득되지 않기 때문에, 개인 데이터의 제공이 법적 또는 계약상의 요구 사항인지 아니면 계약 체결에 필요한 요구 사항인지, 데이터 주체가 개인정보를 제공할 의무가 있는지 여부와 그렇지 않은 경우의 결과를 데이터 주체에게 알릴 필요는 없다.

그러나 제13조와 마찬가지로, 제14조 (2)항에 열거된 정보가 모든 경우에 데이터 주체에 제공되어야 하는지 또는 공정하고 투명한 처리를 보장하는 데 필요한 경우에만 제공되어야 하는지에 대한 모호성이 있다. ICO는 가이드에서 제14조 (1)항에 규정된 정보와 제14조 (2)항에 규정된 정보를 구별하지 않으며, 면제가 적용되지 않는다면, 모든 상황에서 두 가지 정보를 제공해야 한다는 것이 추론된다.

GDPR 제13조 및 제14조가 데이터 주체에게 제공되는 공정한 처리 정보 측면에서 유사하지만, 의무 사항 간의 실질적인 차이점에는, 필요한 정보가 제공되어야 하는 시간과 컨트롤러가 처리에 대한 정보를 제공할 필요가 없는 상황이 포함된다. 이러한 차이점은 아래에서 자세히 설명한다.

  • 추가 정보가 요구되는 상황

개인 데이터가 데이터 주체 또는 제3자로부터 직접 취득되었는지 여부에 관계없이, GDPR에서는 특정 상황에서 데이터 주체가 추가 정보를 제공하거나 사용할 수 있도록 요구한다.

데이터 주체의 권리

추가 정보 제공 의무는 GDPR에 의해 데이터 주체에 부여된 권리의 맥락에서 컨트롤러에게 부과된다. GDPR 제13조 및 제14조는 개인 데이터의 처리에 대해 데이터 주체에게 상당한 양의 정보를 제공해야 한다는 의무를 부과하지만, 제15조는 데이터 주체가 컨트롤러로부터 이 정보의 대부분을 요청할 수 있는 자유로운 권리를 만든다.

GDPR은 또한 데이터 주체가 어떤 상황에서 개인 데이터의 처리를 제한하도록 컨트롤러에 요구할 권리를 부여한다. 데이터 주체가 이 권리를 행사하는 경우, 컨트롤러는 그 제한을 해제하기 전에 데이터 주체에게 알려야 한다. 데이터 주체는 GDPR에 따라 그 처리가 다음과 같은 경우, 개인 데이터 처리에 이의를 제기할 수 있는 추가 권리가 있다.

  • 컨트롤러의 ‘정당한 이익’(GDPR 제6조 (1)항 (f)에 의거) 기준으로 처리가 수행된 경우 또는 공공의 이익을 위해 수행된 업무 수행을 위해 처리가 필요한 경우(제6조 (1)항 (e) 호), 여기에는 이러한 조항을 기반으로 프로파일링을 거부할 권리가 포함된다.
  • 다이렉트 마케팅과 관련한 프로파일링을 포함하여 다이렉트 마케팅을 목적으로 하는 경우

위와 같은 경우에 컨트롤러는 이러한 권리를 명시적으로 데이터 주체의 주의를 끌고 이 정보를 다른 정보와 별도로 명확하게 제시해야 한다.

국제 데이터 이전

적절한 경우 제13조 또는 제14조에 따라 제공될 정보 이외에, 다음과 같은 경우 개인 데이터를 이전할 수 있다.

•다음을 근거로 제3국 또는 국제기구로 이전하는 경우

‣컨트롤러의 설득력 있는 합법적 이익 및 이전을 둘러싼 상황을 자체 평가(제49조 (1)항의 두 번째 호에서)한 경우, 데이터 주체는 데이터 이전과 컨트롤러에 의해 추구되는 설득력 있는 합법적 이익을 통보받아야 한다.

‣동의가 있는 경우, 집행위원회의 타당성 결정 또는 집행위원회가 채택한 표준 데이터 보호 조항 등의 ‘적절한 보호’의 결여로 인해 가능한 위험을 통보받아야 한다.

•BCR에 따라 이전되는 경우, 데이터 주체는 BCR에 포함된 일반 데이터 보호 원칙에 대한 다음의 정보를 제공받아야 한다.

‣BCR의 위반에 대한 보상을 받을 권리를 포함하여, 처리와 관련한 데이터 주체의 권리 및 이를 행사하는 방법, 그리고 BCR에 따른 책임 협약에 대한 정보

 

새로운 처리 목적

컨트롤러가 원래 수집되었거나 획득된 목적 이외의 목적으로 개인 데이터를 처리하고자 하는 경우, 컨트롤러는 [적절하게, 제13조 및 제14조의] 2절에 언급된 대로 ‘모든 관련 추가 정보’와 함께, 데이터 주체에 새로운 목적에 대한 정보를 제공해야 한다.

다중 컨트롤러

두 개 이상의 컨트롤러가 공동으로 목적과 처리 방법을 결정하는 상황에서, 제13조와 제14조하에서 데이터 주체에게 정보를 제공해야 하는 의무와 관련하여, 관할 관청은 컨트롤러가 GDPR을 준수하기 위한 각자의 책임을 투명하게 결정하도록 요구한다. 이 협약의 ‘본질’을 데이터 주체가 이용 가능해야 한다.

‘이 정보를 이용 가능하게’ 하는 의무는 제13조 및 제14조에 따라 정보를 제공하는 적극적인 의무와 구별된다. 그러므로 어떤 컨트롤러가 공정한 정보 제공에 이 세부 사항을 포함할 것인지 또는 데이터 주체의 요청이 있을 때에만 제공할 것인지는 불분명하다.

개인 데이터 위반

경우에 따라, 데이터 주체는 개인 데이터 위반 사실을 통보받아야 한다. 이 의무는 다음 회차에서 설명할 예정이다.

정보를 데이터 주체에게 제공해야 하는 경우

데이터 주체로부터 개인 데이터가 수집되는 경우, 개인 데이터가 수집된 시점에 제13조 (1)항 및 (2)항에 명시된 정보가 제공되어야 한다.

제14조 (3)항은 데이터 주체가 아닌 다른 사람으로부터 개인정보가 수집될 때 공정한 처리 정보가 제공되어야 한다고 다음과 같이 규정하고 있다.

a. 개인 데이터를 수집한 후 합리적인 기간 내에, 그러나 개인 데이터가 처리되는 특정 상황을 고려하여 늦어도 1개월 이내

b. 개인 데이터가 데이터 주체와의 통신에 사용되는 경우, 늦어도 해당 데이터 주체와의 최초 통신 시

c. 또 다른 수령인에 대한 공개가 예정된 경우, 늦어도 개인 데이터가 처음 공개되는 시점

개인 데이터가 수집되거나 수집된 목적 이외의 목적으로 처리되는 경우, 컨트롤러는 새로운 처리가 시작되기 전에, 요구되는 공정한 처리 정보를 데이터 주체에게 제공해야 한다.

처리 대상에 대한 데이터 주체의 권리에 관한 정보는, 늦어도 데이터 주체와의 최초 통신 시 데이터 주체에게 제공되어야 한다. 데이터 주체가 동의하기 전에 동의 철회 권한에 관한 정보를 제공해야 한다.

  • 데이터 주체에 정보를 제공하는 방법

GDPR에서는 구체적으로 데이터 주체에게 개인 데이터 처리에 관해 제공되는 정보가 명확하고 평이한 언어를 사용하여 간결하고 투명하며 이해하기 쉽고, 쉽게 액세스할 수 있는 형식으로 제공되어야 한다고 명시한다. 특히 아동을 위한 정보는 아동이 쉽게 이해할 수 있는 언어로 작성되어야 한다.

GDPR은 또한 정보가 서면으로, 또는 적절한 경우 ‘전자적 수단’을 포함하는 다른 수단으로 제공되어야 한다고 명시한다. GDPR에 대한 Recital은 전자 수단이 웹 사이트를 통해 포함될 수 있으며, 처리 과정에 관련된 당사자가 많은 경우 특히 관련이 있으며, 기술적인 복잡성 때문에 데이터 주체는 누가 자신의 개인 데이터를 어떤 목적으로 처리하는지를 이해하기 어렵다는 것을 설명한다. GDPR은 이러한 유형의 상황의 예시로 온라인 광고를 구체적으로 인용한다.

공정한 정보 처리는 정보 주체가 요청한 경우, 데이터 주체의 신원이 다른 방법으로 입증되는 한 구두로 제공될 수도 있다. 모든 경우에 있어 제13조 및 제14조에 따라 데이터 주체에게 제공되는 정보는 무료여야 한다.

GDPR은 ‘시각화’를 사용하여 적절한 경우 데이터 처리 대상에게 공정한 정보를 제공하고 표준화된 아이콘을 사용하여 처리를 쉽게 볼 수 있고 이해할 수 있으며 의미 있는 개요를 제공하는 것을 허용한다. GDPR은 집행위원회가 위임된 행동을 채택하여 이러한 표준화된 아이콘과 이를 제공하는 절차를 사용하여 제시할 정보를 결정하도록 권한을 부여하고 표준화된 아이콘에 대한 의견 제공을 유럽 데이터 보호위원회(European Data Protection Board)의 임무 중 하나로 언급한다. GDPR은 표준화된 아이콘이 전자식으로 제시되는 경우 기계 가독성이 있어야 함을 요구한다.

정보가 그들의 동의를 얻는 맥락에서 데이터 주체에게 제공될 때, GDPR에 의해 추가적인 형식 요구 사항이 부과된다. 다른 사안에도 관련된 서면 동의서가 있는 경우, 동의 요청은 분명하고 명확한 언어를 사용하여 이해하기 쉽고 쉽게 접근할 수 있는 형식으로 다른 문제와 명확하게 구별되는 방식으로 제시되어야 한다.

상기 이외에, 처리에 대한 이의 제기에 관한 정보는 명시적으로 데이터 주체의 주의를 끌고 다른 정보와는 명확하고 별도로 제시되어야 한다. 컨트롤러가 자료를 단순히 ‘제공’(제13조 및 제14조에 따라 요구됨)하기보다는 데이터 주체의 주의를 환기시켜야 한다는 사실은, 예를 들어, 공정한 처리 정보를 웹 사이트에서 이용할 수 있도록 하는 것 이상의 추가적인 조치가 필요하다는 것을 암시한다.

  • 추가 정보 제공 요구 사항이 부과될 수 있는 영역

GDPR은 회원국이 개인정보 처리에 대한 구체적인 규칙을 제정할 수 있는 여러 분야를 규정한다. 이러한 영역의 예에는 고용 관련 개인 데이터의 처리가 포함된다. 이와 관련하여 추가 규정이 회원국에 의해 도입되는 경우, 특히 처리의 투명성과 관련하여 데이터 주체의 권리를 보호하기 위한 ‘적절하고 구체적인’ 조치를 포함해야 한다.

GDPR은 투명성 및 대중, 데이터 주체 및 아동에게 제공될 정보와 관련하여, 컨트롤러의 범주를 대표하는 협회 및 기타 기관에 GDPR의 적용을 규정하는 행동 강령을 준비할 수 있는 기회를 제공한다. 따라서, 추가적이고 더 구체적인 투명성 의무가 이러한 행동 강령을 통해 컨트롤러의 특정 그룹에 부과될 수 있는 가능성이 있다.

  • 데이터 주체에 정보를 제공할 의무의 면제

GDPR은 회원국이 새로운 국내 입법을 채택할 필요 없이 공정한 정보를 제공하도록 컨트롤러에 대한 요구 사항을 면제하고, 회원국이 특정 상황에서 자체 면제를 제정할 수 있도록 허용한다.

개인 데이터가 데이터 주체로부터 직접 수집되는 GDPR의 ‘자체’ 면제, 즉 이행 회원국 법을 필요로 하지 않는 면제와 관련하여, 데이터 주체가 이미 이 정보를 가지고 있는 경우, 제13조 (1)항 및 제13조 (2)항에 따라 요구되는 공정한 처리 정보나 새로운 처리 목적(적용 가능한 경우)에 대한 정보를 제공할 필요가 없다.

마찬가지로, 개인 데이터가 데이터 주체 이외의 출처로부터 얻어졌을 때, 제14조 (1)항 및 제14조 (2)항에 의해 요구되는 공정한 처리 정보, 또는 적용 가능한 경우, 신규 처리 목적에 관한 정보는, 아래와 같은 경우 제공될 필요가 없다.

•데이터 주체가 이미 이 정보를 가지고 있는 경우

•개인 데이터를 얻거나 공개하는 것이 컨트롤러가 적용되는 EU 또는 회원국 법률에 명시적으로 규정되어 있고, 데이터 주체의 합법적 이익을 보호하기 위한 적절한 조치를 제공하는 경우

•비밀 유지에 대한 법적인 의무를 포함하여 연방 또는 회원 국가 법률에 의해 규제되는 전문적인 기밀 유지 의무에 따라 개인정보가 기밀로 유지되어야 하는 경우

•정보의 제공이 불가능하다고 판명되거나, 특히 공익, 과학적 또는 역사적 연구 목적 또는 통계적 목적으로 보관 목적으로 처리하는 데 불균형한 노력이 포함된다면, 다음의 경우

‣보관 또는 과학적 또는 역사적 연구의 목적을 위한 처리와 관련하여 제89조 (1)항에 언급된 조건과 안전장치가 충족되는 경우 (예: 예를 들어, 데이터 최소화를 보장하기 위한 기술적 및 조직적 조치를 보장하기 위한 것이다)

‣공정한 처리 정보의 제공이 그 처리의 목적 달성을 불가능하게 하거나 심각하게 저해할 가능성이 있는 경우

 

GDPR은 계속해서 다음과 같이 언급한다: ‘그러한 경우, 컨트롤러는 정보를 일반에 공개하는 것을 포함해서, 정보 주체의 권리와 자유 및 합법적인 이익을 보호하기 위한 적절한 조치를 취해야 한다.’ 이 요구 사항이 처리의 목적을 저해한다는 근거로 공정한 처리 정보가 제공되지 않는 경우에만 적용될지, 또는 처리가 저장 또는 과학적 및 역사적 목적이라는 근거로 수행되는 처리에도 적용할지는 명확하지 않다. GDPR이 강조한 투명성의 중요도를 감안할 때 컨트롤러는 두 경우 모두에 적용하는 것을 고려하는 것이 좋을 것으로 보인다.

‘불균형적 노력’이라는 용어의 의미와 적용을 평가할 때, Directive의 Recital 40을 여전히 고려해야 하며, GDPR의 Recital 62에 대부분 그대로 반영되어 있다. 이러한 Recital은 공정한 처리 정보를 제공하기 위해 요구되는 노력이 불균형한지 평가하는 데 고려되어야 할 요소들로, 데이터 주체 수, 개인 데이터의 나이 및 적용되는 보완 조치들(또는 GDPR의 Recital에서 ‘적절한 안전장치가 채택됨’)을 인용한다. 그러나 ‘불균형적 노력’에 대한 명확한 정의가 없는 경우, 이 용어는 국가 감독 당국의 해석에 개방되어 있으며, 투명성 의무를 이행함에 있어 컨트롤러가 상당한 노력을 기울일 것으로 예상된다.

국가 감독 당국에 대한 높은 기대에도 불구하고, 위에 열거된 면제는 데이터 보호 규정이 실용적이고 과도하게 부담이 되어서는 안 되며, 데이터 주체에게 통보해야 할 의무와 컨트롤러에 대한 준수 비용 간에 균형이 이루어져야 한다는 Directive의 전제를 유지한다.

제14조 (5)항은 컨트롤러가 타인으로부터 얻은 데이터 주체에 대한 개인 데이터를 처리할 때 데이터 주체에 정보를 제공하는 것이 불가능하거나 불균형한 노력을 포함할 수 있음을 인정한다. 예를 들어, 데이터 주체에 대한 정보가 널리 알려져 있어(예, 미디어 보도에 의해) 많은 조직에서 해당 정보를 보유하고 있는 경우 이 면제를 고려할 수 있다. 정치인과 같이 잘 알려진 데이터 주체에게 컨트롤러에 대해 널리 사용되는 특정 정보를 보유한다는 사실을 알려주는 것은 무의미하다. 이것은 특히 데이터 주체의 개인정보가 수행된 처리에 위배되지 않는 경우이다. 그러나 데이터 주체의 프라이버시가 침해당하고 컨트롤러가 이 면제에 따라 공정한 처리 정보 제공을 면제받는 것을 선택하는 경우, 컨트롤러는 데이터 수집 및 처리를 위한 확실한 기반에 근거하고 기록해야 한다(1권 참조).

마찬가지로, 제14조 (5)항 (c)는 컨트롤러가 개인 데이터를 처리할 법적 의무를 부과할 수 있음을 인정한다. 이러한 경우 컨트롤러는 제3자의 개인 데이터를 수집할 수 있지만, 처리를 강요하는 법적 의무가 충분한 개인정보 보호 장치를 제공하고 데이터 주체의 정당한 이익을 보호하는 한, 각 데이터 주체에 알릴 필요는 없다.

제3자로부터 개인정보가 수집되었지만 공정한 처리 정보가 제공되지 않는 상황에서는, 면제가 적용되지 않는 한, 데이터 주체는 컨트롤러의 개인 데이터 처리 및 액세스에 대한 정보를 요청할 수 있다

이를 기반으로 투명성을 관리하는 것은 현실적이고 실용적이다. 컨트롤러는 데이터 주체의 요청이 있을 경우 처리에 대한 정보 요청에 응답해야 하지만, GDPR 14조에 따라 요구되는 광범위한 정보를 사전에 적극적으로 제공할 필요는 없다.

위에 명시된 면제 외에도 제23조는 회원국이 공정하고 투명한 방식으로 개인정보가 처리되고 공정한 정보가 제13조 및 14조에 따라 데이터 주체에게 제공되어야 한다는 GDPR의 요구 사항을 제한하도록 입법할 수 있는 상황을 제시한다.

제23조 (1)항은 다음과 같이 서술한다.

데이터 컨트롤러 또는 프로세서가 적용되는 EU 또는 회원국 법률은 입법 조치에 따라, 제5조는 물론 제12조에서 제22조까지와 제34조에 규정된 의무 및 권리의 범위 [제13조 및 제14조는 정보 제공과 관련한 주요 의무를 포함한다]를 제한할 수 있다.(제5조 [개인 데이터가, 다른 것들 사이에서, 공정하고 투명한 방식으로 처리되어야 함을 요구]는 그 규정이 제12조에서 제22조에 규정된 권리와 의무에 부합하는 한) 그러한 제한이 기본적 권리와 자유의 본질을 존중하며, 민주 사회에서 다음을 보호하기 위해 필요하고 균형 잡힌 조치일 때

a. 국가 안보

b. 방어

c. 공공의 안전 [Recital 73은 자연재해나 인재에 대한 인간의 생명의 보호를 포함한다.]

d. 공공 안전 위협에 대한 보호 및 방지를 포함한 형사 범죄의 예방, 조사, 탐지 또는 기소 및 형사처벌

e. EU 또는 회원국의 일반 대중의 이익, 특히 연방, 회원국의 중요한 경제적 또는 재정적 이익에 관한 금전, 예산 및 과세 문제, 공중보건 및 사회보장과 관련한 기타 중요한 목표;

f. 사법 독립과 사법 절차의 보호

g. 규제된 직업에 대한 윤리 위반의 예방, 조사, 탐지 및 기소

h. (a)~(e) 및 (g)에 언급된 경우 공식 권한의 행사에 대한 모니터링, 검사 또는 연관된 규제 기능(비록 자주 발생하지는 않더라도)

i. 데이터 주체 또는 타인의 권리와 자유에 대한 보호 [Recital 73은 사회보장, 공중보건 및 인도주의적 목적을 포함한다]

j. 민법 청구의 집행

 

제23조는 전술한 바와 같이 구현된 모든 입법 조치가 제한의 목적에 영향을 미치지 않는 한, 제한 사항(이 경우, 공정한 처리 정보를 제공할 의무가 있음)에 대해 정보를 제공받을 권리에 관한 특정 조항을 포함해야 한다고 서술하고 있다.

이러한 면제에 대한 GDPR의 접근 방식은 익숙하다. Directive 제13조는 국가 안보 또는 범죄 예방의 목적과 같은 이해관계를 보호하기 위해 컨트롤러의 처리 활동에 대한 정보를 유보할 필요가 있는 상황에 대해 유사한 면제 조항을 제정할 수 있게 했다.

그러나 회원국들이 이러한 면제를 시행하는 방식에는 현저한 차이가 있었으며, GDPR상 국가의 해석 및 시행 범위를 고려할 때, 이러한 차이는 남아있게 될 것이다.

GDPR은 또한 회원국이 저널리즘이나 학술적 또는 문학적 표현의 목적으로 처리가 진행되는 공정한 처리 정보를 제공해야 하는 의무로부터 면제 및 감면을 제공할 수 있도록 하며, 그러한 면제 또는 감면은 표현과 정보의 자유와 함께 개인 데이터 보호의 권리를 조화시키는 데 필요하다.

  • ePrivacy Directive의 요구 사항

개정된 전자 통신 부문의 개인정보 처리 및 개인정보 보호와 관련된 Directive 2002/58/EC(‘ePrivacy Directive’)는 웹 사이트 운영자, 애플리케이션 및 점점 더 많은 다른 연결된 장치가 쿠키 및 이와 유사한 기술을 사용하는 것과 관련된 추가 정보 요구 사항을 제시한다. ePrivacy Directive의 제5조 (3)항은 가입자 또는 사용자의 단말 장비에 제한된 예외 사항, 정보 저장 또는 이미 저장된 정보에 대한 액세스 권한을 얻는 것은 해당 사용자가 지정한 조건에서만 허용된다는 것을 명시한다. Directive 및 GDPR에 따라 명확하고 포괄적인 정보를 제공하여 해당 사용자로부터 동의를 받았을 때에만 가입자 또는 사용자의 단말 장비에 정보를 저장하거나 기 저장된 정보에 접근하는 것이 허용된다.

제29조 작업반(WP29)의 관점에서 제5조 (3)항은 사용자의 사전 동의를 얻기 위해 사용자의 기기에 쿠키 또는 유사한 기술을 적용할 의무를 부과한다. 실질적으로 이것은 다음을 의미한다.

•쿠키 또는 유사한 기술의 전송 및 목적에 관한 정보가 사용자에게 제공되어야 한다.

•그러한 정보가 제공된 사용자는, 쿠키 또는 유사 기술이 장치에 저장되거나 장치에 저장된 정보가 검색되기 전에 동의해야 한다.

 

웹 사이트 운영자가 쿠키 또는 유사한 기술의 사용에 대한 동의를 얻는 방법은 이 정보가 제공되는 방법에 영향을 미칠 수 있다. 그러나 쿠키 및 유사 기술의 사용에 대한 완전하고 투명한 공개 요구 사항은 동의를 얻기 위해 선택한 메커니즘과 관계없이 적용되며, 운영자는 이 의무를 충족하기 위해 단독 쿠키-사용 정책을 채택한다. 쿠키의 사용에 대한 동의 요건은 이 책의 뒷부분에서 자세히 다룬다.

  • 공정한 처리 통지

데이터 주체에게 공정한 처리 정보가 제공되어야 하는 방식을 강제하지 않는 Directive와 달리, GDPR은 구체적으로 개인이 자신의 개인 데이터 처리에 대해 통보 받아야 하는 방법을 언급한다.

전자적 수단에 의한 적절한 경우를 포함하여 공정한 처리 정보가 서면으로 제공될 수 있기 때문에, 여전히 공정한 처리 통지는 컨트롤러가 GDPR의 투명성 요건을 준수할 수 있는 편리한 방법 중 하나가 될 것이다.

  • 공정한 처리 통지를 위한 실제 고려 사항

GDPR은 공정한 처리 정보가 데이터 주체에게 전달되는 방식에 관해 컨트롤러에게 약간의 재량권을 부여한다. GDPR은 또한 컨트롤러는 투명성 요구 사항을 충족시키는 메커니즘을 선택할 수 있는 기회를 제공한다. 컨트롤러의 의무는 정보를 ‘제공’하거나 데이터 주체의 관심을 ‘명시적으로 주의를 끌거나’ 또는 ‘알리기’이다.

예를 들어, 제13조 및 제14조에 따라 공정한 처리 정보를 ‘제공’해야 한다는 요구 사항은 필요한 정보를 능동적으로 전달할 것인지 또는 단순히 데이터 주체가 즉시 이용할 수 있게 할 것인지(예, 웹사이트의 개인정보 정책) 컨트롤러가 결정하도록 한다. 이 결정은 처리 환경에 따라 달라질 수 있으며 컨트롤러는 다음과 같은 요인을 고려해야 한다.

•데이터 주체가 이미 사용할 수 있는 정보의 수준(개인 데이터가 수집될지 여부와 이를 위해 사용될 정보를 포함하는지 여부를 포함)

•데이터 주체가 예상치 못한 또는 불쾌감을 줄 수 있는 개인 데이터의 수집 또는 처리의 요소가 있는지 여부

•자신의 개인정보를 제공하거나 제공하지 않을 경우의 결과가 명확한지, 그리고 그 결과의 내용(정보를 제공하거나 제공하지 않으면 데이터 주체에 중대한 영향을 미칠 경우 적극적으로 정보를 전달할 필요성이 커짐)

•수집 및 처리되는 개인정보의 특성(예: 개인 데이터의 특수 범주와 관련된 처리, 데이터 주체와의 정보 전달 의무) 및 해당 개인의 유형(예, 취약한 개인)

•데이터를 수집하는 방법. 개인정보가 수집된 동일한 매체를 사용하여 공정한 정보를 제공하는 것이 좋다. 예를 들어, 개인 데이터가 전화상으로 수집된다면, 공정한 처리 정보는 데이터 주체에게 구두로 제공될 수 있다(필요하다면 상호 작용의 증거를 남기기 위해 가용한 서면 버전과 함께). 반대로 웹 사이트를 통해 개인 데이터를 수집하는 경우 웹 사이트에 서면 통지를 통해 데이터 주체에 정보를 제공하는 것이 일반적이다.

GDPR의 제13조 및 제14조는 공정한 정보를 ‘제공’해야 한다고 주장하지만, 제21조 (4)항은 특정 유형의 처리에 이의를 제기할 수 있는 권리에 관한 정보가, 늦어도 컨트롤러가 데이터 주체와 처음 통신을 하는 시점에 ‘명시적으로 데이터 주체의 주의를 환기시키도록’ 요구하고 있다. 이는 컨트롤러가 이 정보를 사용할 수 있도록 하는 것 이상의 조치를 취해야 함을 의미한다.

규제 지침에 따르면, 데이터 주체에 제공되는 형식이 무엇이든지 공정한 처리 정보에 대해 컨트롤러는 다음 사항을 확인해야 한다.

•명확하고, 간결하고 쉬우며, 간단명료하고 직접적인 언어인지 여부(데이터 주체가 이해하기 쉬운 언어로 공정한 처리 정보를 제공하는 것이 우수 사례이며 경우에 따라 법적 요구 사항임. 실용적인 관점에서, 이 규칙을 따르는 것이 효과적으로 제공된 정보를 입증하는 데 도움이 됨)

•진정으로, 유익하고 의미 있고 적절하고 개인이 자신의 개인정보를 사용하는 방법을 이해하는 데 도움이 되는 디자인인지 여부

•정확한 최신 정보(그러므로 공정한 처리 정보를 정기적으로 검토해야 함)

•특정 요구를 가진 사람들에게 적절한 방식으로 제공되는지 여부(예: 아동으로부터 데이터를 수집하는 경우 데이터 컨트롤러는 공정한 처리 정보가 아동들이 이해할 수 있는 방식으로 제공되도록 해야 함)

•오도되지 않는지 여부(예를 들어, 공공 부문에서의 처리의 특정 유형과 같이 개인 데이터의 처리에 관한 선택의 여지가 없는 경우, 그들이 데이터 주체에 그들이 하는 것을 제안하는 것이라는 오해를 불러일으킬 수 있음. 옵션이 개인정보 사용과 관련하여 제공되는 경우, 그것은 진실하고 존중되어야 함)

•미래 지향적이지만 현실적인지(영국의 ICO는 개인정보 통지가 충분히 광범위하게 작성된 경우 처리 과정을 진화시킬 수 있다는 견해를 갖고 있으나, 오도되는 서술을 만드는 것과 매우 긴 개인정보 보호 정책을 만드는 것을 피하기 위해, 컨트롤러는 해당 목적으로 사용될 것 같지 않은 수많은 향후 개인 데이터 사용을 열거해서는 안 됨)

•제공의 내용 및 시기와 관련하여 GDPR의 요구 사항을 충족하는지

 

  • 공정한 처리 정보를 효과적으로 제공하는 것

GDPR의 준수를 지원하는 것 외에도, 효과적인 공정한 처리 정보 제공에는 많은 상업적 이익이 있을 수 있다.

•데이터 주체는 개인 데이터 사용에 대해 투명한 조직에 신뢰를 두는 경향이 크다. 이러한 신뢰는 고객 충성도와 유지에 기여할 것이다.

•데이터 주체는 적절하게 사용할 조직에 점점 더 많은 가치 있는 개인 데이터를 제공할 것이다.

•개인 데이터 사용으로 인해 발생하는 불만 및 분쟁의 위험은 조직이 수행하는 처리가 데이터 주체에 설명될 때 줄어든다.

 

GDPR에 따라 데이터 주체에게 전달되어야 하는 정보의 양을 감안할 때, 제공되는 내용이 간결하고 이해하기 쉬워야 한다는 요구 사항, 신기술과 효과적인 정보 제공의 잠재적인 이익으로 인한 문제, 법률 준수에 이외에도, 컨트롤러는 데이터 주체와의 의사소통에서 유연하고 창조적이 되는 이점을 누릴 수 있고 GDPR이 여기에 도움이 된다. GDPR이 기술 중립적이긴 하지만, 공정한 처리 정보가 처리 환경(예: 서면, 전자 수단, 구두 또는 표준화된 아이콘 사용)에 따라 여러 가지 수단을 통해 가장 적절하게 제공될 수 있음을 인정한다. 이를 염두에 두고, 아래를 포함하여 컨트롤러가 고려할 수 있는 공정한 처리 정보 제공에 대한 다양한 접근 방법이 있다.

•계층화된 공정한 처리 통지 사용

•적시(just-in-time) 통지 제공

•개인정보 대시 보드 채택

•정보에 대한 통신의 다른 형식과 채널

•특히 IoT(Internet of Things)를 포함한 다양한 기술의 요구 사항에 적용하기 위한 조치

 

  • 계층화된 공정한 처리 통지

계층화된 통지에서는, 기본 정보가 간단한 초기 통지로 제공되며 더 상세한 정보는 더 알고 싶은 데이터 주체에게 가용하다. 계층화된 통지는 클릭 연결 링크가 공정한 처리 정보 계층 간의 이동을 용이하게 할 수 있는 온라인 컨텍스트에서의 처리에 특히 적합하다. 오프라인에서는 개인 데이터를 수집하는 경우 수신자 부담 전화번호와 같은 보다 자세한 정보에 데이터 주체가 액세스할 수 있는 간단한 방법을 제공함으로써 계층화된 접근 방식을 채택할 수 있다.

계층화된 통지의 개념은 2004년 3월의 베를린 각서에 의해 소개되었다. Directive에 따라, 계층화된 통지는 WP29로부터 지지를 받았다. 정보 계층의 합이 관련된 현지 법을 준수한다는 전제하에, WP29는 공정한 처리 정보가 반드시 하나의 문서로 제공될 필요는 없다고 서술한다.

WP29는 계층화된 통지의 각 계층이 데이터 주체에게 자신의 입장을 이해하고 의사결정을 내리고 Directive의 요구 사항에 따라 세 가지 권장 계층의 내용에 대한 세부 권장 사항을 설정하는 데 필요한 정보를 제공해야 한다고 권고했다.

2004년 이래로 데이터 주체에 제공될 기술과 정보가 계속 발전해왔다. 그 결과, WP29가 정보 제공에 대한 계층화된 접근 방식의 수용을 채택하고 변경된 법적 및 기술적 전망을 반영하도록 갱신하는 것이 컨트롤러에게 열려 있다.

영국 ICO의 권고 사항에 따라, 컨트롤러는 예기치 못한 또는 즉각적으로 그리고 두드러지게 불쾌한 주요 정보와 처리의 세부 사항을 제공할 수 있다. 이 초기 통지는 또한 컨트롤러의 신원 및 처리 목적에 대한 높은 수준의 설명 정보를 포함해야 한다. ICO는 이 초기 통지서에 처리를 보다 자세히 설명하는 링크 또는 특정 주제에 관한 추가 정보에 링크할 수 있는 두 번째 전체 통지에 대한 링크가 차례로 포함될 수 있음을 시사한다.

계층화된 통지에는 다음과 같은 많은 이점이 있다.

•대부분의 상황에서 데이터 주체들은 그들의 개인 데이터 사용에 대해 특정 양의 정보만 가져올 수 있음(또한 그렇게 하기를 바랄 수 있음)을 인지

•짧은 개인정보 보호 사항을 이해하고 기억하기 쉬움

•개인 데이터가 수집되는 여러 상황에서 공간 또는 시간 제한을 설명하기 위해 계층화된 통지를 사용할 수 있음

•긴 통지는 가독성을 저해하는 복잡한 법적 용어와 업계 전문 용어를 유인하는 경향이 있음

 

제공된 정보의 내용과 시기가 GDPR의 모든 요구 사항을 다루었고 ‘명시적으로 데이터 주체의 주의를 끌어야’ 하는 정보가 통지의 두 번째 계층으로 들어가지 않은 경우에, 이 접근법이 GDPR의 요구 사항을 충족시킨 것이라고 할 수 있다.

  • ‘Just-In-Time’ 통지

ICO는 또한 ‘적시(just-in-time)’ 통지의 사용이나 데이터 수집의 특정 지점에서의 처리에 관한 정보 제공을 지지한다. 계층화된 통지의 개념과 관련하여, 이 접근법은 데이터 주체가 정보와 관련이 있는 시점에서 정보가 제공되는 것으로 간주한다. 예를 들어, 데이터 주체에는 온라인 양식을 사용하여 개인 데이터를 제공하는 시점에서 처리 목적에 대한 정보가 제공될 수 있다.

대시 보드

ICO는 데이터 주체들이 그들의 개인 데이터 처리 방법을 제어할 수 있게 하는 대시 보드에 공정한 처리 통지를 연결하는 것은 컨트롤러가 개인 데이터 처리와 관련하여 데이터 주체에 알리고 관여할 수 있는 또 다른 방법임을 제안한다.

대체 형식

GDPR은 정보가 서면으로 또는 적절한 경우 전자 수단을 포함하여 다른 수단으로 제공되어야 한다고 규정한다. 또한 시각화 사용에 대해 구체적으로 언급하고 표준화된 아이콘을 만들기 위한 법률의 제정을 허용한다.

따라서 컨트롤러는 아동에게 처리를 설명하거나, 공간에 대한 제한으로 인해 정보를 명확하게 제공하기 어려운 ‘적시(just-in-time)’ 또는 계층화된 통지와 함께 아이콘을 사용하는 등의 애니메이션 사용을 고려할 수 있다.

그러나 이번 글에 설명된 모든 경우에서 컨트롤러는 관심 있는 데이터 주체가 웹 페이지를 ‘클릭하여 연결’할 필요 없이 검색하고 참조하고, 그들이 요구하는 다른 매체(예: 하드 카피)에서 쉽게 검토할 수 있도록, 공정한 처리 정보의 전체 버전을 사용할 수 있게 해야 한다.

  • 공정한 처리 정보 및 다양한 기술

일부 기술은 데이터 처리 대상에게 공정한 처리 정보를 제공하는 측면에서 특별한 어려움이 있다. 예를 들어, CCTV 사용, 무인 항공기 사용, 웨어러블 기술 또는 차량 사용의 결과로 개인정보가 수집되는 경우, 이 정보를 어떻게 제공해야 할 것인지, 마찬가지로 컨트롤러가 표시 공간에 극심한 제약이 있는 모바일 기기 사용자에게 공정한 처리 정보를 제공하려면 어떻게 해야 할 것인지에 대한 문제가 있다.

WP29는 Directive의 문맥에서 이러한 여러 가지 문제를 고려했다. 예를 들어, 무인 항공기를 사용하여 개인 데이터를 수집하는 경우를 생각해보면, Directive의 투명성 요구 사항과 관련하여 WP29는 개인, 특히 공공장소에서 무인 항공기가 사용되는 경우 공정한 처리 정보를 제공하는 것이 어렵다는 것을 인식했다. 이러한 문제에 비추어 WP29는 다음과 같은 공정한 처리 정보를 이러한 환경에서 제공할 수 있는 많은 실질적인 수단을 권고했다.

•특정 지역에서 무인 항공기가 운행되는 경우, 표지판 및 정보 시트를 사용

•이벤트에서 드론이 사용되는 경우, 데이터 주체에게 알리기 위해 소셜 미디어, 신문, 전단지 및 포스터를 사용

•향후 및 과거의 드론 사용에 대해서 데이터 주체에게 알리기 위해 운영자의 웹사이트에 공정한 처리 정보를 항상 가용하게 하기

•밝은 색을 사용하여 점등 또는 점멸 부저로서 표시하여 드론 그 자체가 보이도록 보장하기 위한 조치

•드론의 책임자로 식별할 수 있는 표지판을 통해 운영자가 명확히 보이는지 확인하기

 

WP29는 또한 2014년에 IoT의 개발을 고려할 때 이러한 구체적 맥락의 접근법을 채택했다. 여기서, 개인 데이터를 수집하는 센서의 이산적 특성과 다수의 데이터 주체와 관련된 개인 데이터는 언제든지 수집될 수 있다는 사실이 문제가 된다. 이러한 유형의 장치의 경우 WP29는 센서가 장착된 물품에 QR 코드 또는 플래시 코드를 인쇄하여 데이터 주체가 공정한 처리 정보에 액세스할 수 있도록 할 것을 제안했다.

맺음말

데이터 주체에 대한 정보 제공은 GDPR의 핵심 요소이다. 이것은 단독 요구 사항일 뿐만 아니라, 데이터 보호 프레임워크 전반에서 공정성에 미치는 영향에서부터 동의 획득과 컨트롤러가 처리를 위해 합법적인 이익에 의존할 수 있는 능력에 이르기까지 데이터 보호 프레임워크 전반에서 중요하다.

그러나 투명성과 관련된 GDPR의 의무를 준수하는 것은, 정보를 제공할 수 있는 기회가 현저히 제한적인 모바일 기술 및 연결된 장치에 대해 일하는 개인정보 보호 전문가에게 특히 문제가 되며, 모바일 기반 핀테크 서비스를 제공하는 기업의 대부분이 여기에 해당할 것이다

%d bloggers like this: