GDPR 가이드북 핵심 용어

CPPG 공부용 범위 입니다.

 

3.2.3 컨트롤러(Controller)(제4조제7항)

• 컨트롤러는 개인정보 처리의 목적과 수단을 결정하는 주체를 의미하며, 이와 같은 결 정은 컨트롤러 단독으로 하거나 또는 제3자와 공동으로 할 수 있다.
  자연인을 비롯하여 법인, 정부부처 및 관련기관, 기타 단체 등이 컨트롤러가 될 수 있다. 이 때 개인정보 처리의 목적과 수단이 EU 또는 회원국(member state)의 법률에 의해 결정되는 경우, 컨트롤러 또는 컨트롤러 지정을 위한 기준은 EU 또는 회원국의 법률에 의해 정의될 수 있다.

3.2.4 프로세서(Processor)(제4조제8항)

• 프로세서는 컨트롤러를 대신하여 개인정보를 처리하는 자연인, 법인, 정부부처 및 관련기관, 기타 단체 등을 의미한다.
  프로세서는 컨트롤러의 지시에 따라 개인정보를 처리하며, 이 때 컨트롤러는 반드시 구속력 있는 서면 계약에 의해 프로세서를 지정하여야 한다.

3.2.5 수령인(Recipient)과 제3자(Third party)(제4조제9항~제10항)

• 수령인은 제3자인지 여부와 관계없이 개인정보를 공개·제공받는 자연인이나 법인, 정부 부처 및 관련기관, 기타 단체 등을 의미한다.
  ※ 예외적으로 EU 또는 회원국 법률에 따라 특정한 문의·회신 및 조회 업무를 수행하는 상황에서 개인정보를 제공받는 정부부처 및 관련기관(예: 세관 당국이나 금융 시장 규제 당국)은 수령인에 해당하지 않는다.
• 컨트롤러는 정보주체에게 그들의 개인정보가 어떤 수령인에게 공개·제공되었는지 알려 주어야 하는 의무를 부담하므로, 수령인 또는 수령인의 유형을 사전에 식별할 필요가 있다.
  제3자는 ① 정보주체, ② 컨트롤러, ③ 프로세서, ④ 컨트롤러·프로세서의 직접적 권한에 따라 개인정보를 처리할 수 있는 사람을 제외한 모든 자연인이나 법인, 정부부처 및 관련기관, 기타 단체 등을 의미한다.

3.2.6 프로파일링(Profiling)(제4조제4항)

• 프로파일링은 개인의 특징을 분석하거나 예측하는 등 해당 개인의 특성을 평가하기 위하여 행해지는 모든 형태의 ‘자동화된(automatic)’ 개인정보 처리를 의미한다.
  예를 들면 개인의 업무 수행, 경제적 상황, 관심사, 지역적 이동 등을 분석하거나 예측하기 위하여 개인정보를 자동화된 방식으로 처리하는 경우 프로파일링에 해당한다.
• 컨트롤러는 프로파일링의 경우에도 GDPR의 개인정보보호 원칙에 따른 보호조치를 취해야 하며, 프로파일링에 사용된 개인정보(input personal data)와 프로파일링 결과 생성된 정보(output data) 모두에 정보주체의 권리를 보장해야 한다.
• 프로파일링을 통한 민감정보의 처리는 제9조제2항, 민감정보 처리 규정이 준수된 경우에만 가능하며 프로파일링을 포함한 자동화된 의사 결정에는 제22조를 통해 추가적인 보호조치를 적용해야 한다.

3.2.7 가명처리(Pseudonymisation)(제4조제5항)

• 추가적 정보의 사용 없이는 더 이상 특정 정보주체를 식별할 수 없도록 개인정보를 처리하는 것을 가명처리라고 한다. 이 때 추가적 정보는 분리 보관하여야 하고, 해당 정보를 이용하여 개인을 식별할 수 없도록 기술적·관리적 조치를 취하여야 한다.
• GDPR에서 가명처리를 거친 정보는 추가적 정보의 사용을 통하여 개인 식별 가능성이 있으므로, 개인정보로 본다(전문 제26항).
  개인정보를 가명처리 하는 경우, 해당 기업은 ① Data protection by design and by default 의무를 충족하는데 도움이 되고, ② 개인정보를 보호할 수 있는 보안적 수단으로써 장점 등을 가질 수 있다.