GDPR 정보주체 권리: 처리제한권(Right to restriction of processing), 반대권(Right to object)


GDPR 원문을 보면 총 12개의 정보주체의 권한이 명시되어 있습니다.



Chapter 3 (Art. 12-23) Rights of the data subject


Art. 12 GDPR – Transparent information, communication and modalities for the exercise of the rights of the data subject

Art. 13 GDPR – Information to be provided where personal data are collected from the data subject

Art. 14 GDPR – Information to be provided where personal data have not been obtained from the data subject

Art. 15 GDPR – Right of access by the data subject

Art. 16 GDPR – Right to rectification

Art. 17 GDPR – Right to erasure (‘right to be forgotten’)

Art. 18 GDPR – Right to restriction of processing

Art. 19 GDPR – Notification obligation regarding rectification or erasure of personal data or restriction of processing

Art. 20 GDPR – Right to data portability

Art. 21 GDPR – Right to object

Art. 22 GDPR – Automated individual decision-making, including profiling

Art. 23 GDPR – Restrictions



GDPR 정보주체 권한들을 보면서 아리송한 개념들이 있었어요. 바로, 처리제한권과 데이터 반대권의 차이입니다.

오늘은 처리제한권과 데이터 반대권이 어떻게 다른지에 대해 다루려고 합니다.



1. 처리제한권(Right to restriction of processing)


1.1 처리제한권 내용

 정보주체는 자신에 관한 개인정보의 처리를 차단하거나 제한할 권리를 갖습니다. 개인정보 처리가 제한되면 컨트롤러는 그 정보를 "보유"만 할 수 있고 이용, 제공 등의 처리는 제한됩니다. 정보주체의 처리 제한권은 개인정보의 정확성, 처리의 합법성 등에 대하여 증빙을 위해 보존 필요성이 있는 경우, 이용을 제한하되 삭제를 보류할 수 있도록 요구할 수 있는 권리입니다. 다음 중 하나에 해당할 경우에 컨트롤러는 정보주체의 개인정보 처리 제한 요구를 이행하여야 합니다.

① 정보주체가 개인정보의 정확성에 이의를 제기한 경우, 개인정보의 정확성을 입증할 때까지 처리를 제한

② 정보의 처리가 불법적으로 이루어지고, 정보주체가 개인정보의 삭제에 반대하지만 개인정보의 이용 제한을 요청한 경우

③ 더 이상 개인정보가 필요하지 않지만, 정보주체가 법적 청구권 행사나 방어를 위하여 그 정보를 요구한 경우

④ 정보주체가 처리에 반대한 경우, 컨트롤러의 정당한 근거가 정보주체의 정당한 근거에 우선하는지 여부가 확인될 때까지 그 처리를 제한


1.2 데이터 처리제한 방법

 개인정보를 수령인에게 공개·제공하였다면 가능한 수령인에게 해당 처리 제한에 대하여 통지하여야 합니다. 또한 컨트롤러는 정보주체가 요구하는 경우 정보의 수령인에 대하여도 정보주체에게 통지하여야 합니다. 개인정보 처리 제한방법입니다.

 ① 개인 데이터의 처리를 제한하는 방법으로 해당 데이터를 다른 처리 시스템으로 일시적으로 이관 

 ② 사용자가 선택한 개인 데이터를 사용할 수 없게 하거나

 ③ 웹 사이트에서 게시된 데이터를 일시적으로 제거

 또한, 개인 데이터 처리가 제한되고 있습니다는 사실을 시스템에 명확히 표시해야 합니다


1.3 처리가 가능한 경우

 개인정보 처리 제한권이 인정되는 경우에도 불구하고 다음 중 하나에 해당되는 경우에는 처리할 수 있습니다.

① 정보주체의 동의가 있는 경우

② 법적 청구권의 입증(establishment)이나 행사, 방어를 위한 경우

③ 제3의 개인이나 법인의 권리 보호를 위한 경우

④ EU 또는 회원국의 주요한 공익상 이유가 있는 경우


1.4 처리 제한 해제 시

컨트롤러는 개인정보 처리 제한을 해제하기로 결정한 때에는 그 사실을 정보주체에게 알려 주어야 합니다


=> 즉, 개인정보 처리제한권은 개인정보 처리가 제한되면 "보유" 외에 다른 처리를 제한해서 개인정보를 이용 혹은 제공하거나 삭제하는 것을 방지할 수 있도록 하는 권한입니다. 개인정보 처리제한권을 정보주체가 행사했다면 1.3에 의해 합법적으로 처리가 가능한 경우를 제외하고는 정보주체의 개인정보를 분리보관하거나 사용을 정지해야 합니다. 



2. 반대권(Right to object)


2.1 반대권 내용

 정보주체의 반대권은 컨트롤러에 대하여 자신의 개인정보 처리에 반대할 권리를 지칭합니다. GDPR은 다음 세 가지 경우에 대하여 정보주체의 반대권을 보장하고 있습니다.

① 직접 마케팅(프로파일링 포함)

② 컨트롤러의 적법한 이익 또는 공적 업무 수행에 근거한 개인정보의 처리

③ 과학적·역사적 연구 및 통계 목적의 처리

 정보주체가 반대권을 행사하는 경우 컨트롤러는 문제된 정보를 더 이상 처리하여서는 안 됩니다. 다만, 반대권 행사 이전에 해당 정보주체의 개인정보에 대한 처리는 여전히 적법한 것으로 유지됩니다.



2.2 반대권 요구 시 조치 사항


2.2.1 반대권 > 직접 마케팅에 대해 처리에 대한 반대권 행사

 정보주체의 반대 요구를 접수한 즉시 컨트롤러는 직접 마케팅(프로파일링 포함)을 위한 개인정보 처리를 중단하여야 합니다. 정보주체가 반대한 후에는 마케팅 목적으로 개인정보를 처리할 수 없으며, 그 중단의 범위에는 직접 마케팅과 관련이 있는 프로파일링 행위 역시 포함합니다. 컨트롤러는 개인정보를 수집하는 시점에 정보주체에게 반대권에 대한 내용을 알려 주어야 합니다. 이러한 사항은 정보주체에게 명시적으로 고지해야 합니다.



2.2.2 반대권 > 적법한 이익 또는 공적 업무 수행에 대한 반대권 행사

[개인정보 처리 중단]

 개인정보 처리가 다음 두 가지 특수한 목적에 근거한 경우에 정보주체는 자신의 특수 한 상황에 대한 이유로 반대권을 행사할 수 있습니다.

① 공익을 위한 업무, 공적 권리를 위하여 필요한 개인정보 처리

② 적법한 이익에 근거한 처리


[개인정보 처리 중단 예외]

컨트롤러는 개인정보의 처리 중단 예외상황입니다. 다음에 관한 입증 책임은 컨트롤러에게 있습니다.

① 정보주체의 이익이나 권리 및 자유보다 중요하고 정당한 근거를 입증할 수 있는 경우

② 그 처리가 법적 청구권의 입증, 행사 또는 방어를 위한 것인 경우



2.2.3 반대권 > 과학적·역사적 연구 및 통계 목적의 처리에 대한 반대권 행사

과학적 또는 역사적 연구 목적 또는 통계적 목적으로 처리 시 정보주체는 자신의 특수한 상황을 근거로 반대권을 행사할 수 있으며, 다만 해당 처리가 공익을 위한 업무수행을 위하여 필요한 경우에는 예외로 합니다.


=> 정보주체의 기본적 권리와 자유에 우선하는 정당한 근거나 법적 청구권과 관련된 것이 아니라면 정보주체는 마케팅 수집 동의나 컨트롤러의 이익을 위한 개인정보 처리에 반대할 수 있습니다. 과학적 연구 목적이라고 해도 공익적인 연구가 아닌 경우라면 반대권 행사가 가능합니다.



3. 처리제한권(Right to restriction of processing) VS 반대권(Right to object)


처리제한권

(Right to restriction of processing)

반대권(Right to object)

주요 내용

개인정보 처리가 제한되면 "보유" 외에 다른 처리를 제한해서 개인정보를 이용 혹은 제공하거나 삭제하는 것을 방지할 수 있도록 하는 권한


정보주체는 프로파일링 등 본인과 관련한 개인정보의 처리에 대해 언제든지 반대할 권리를 지님


컨트롤러는 정보주체에게 최초 고지하는 시점에 반대권을 고지해야함


정보주체가 권리 행사시 준수사항

정보주체의 개인정보 처리 제한 요구를 이행해야 하는 경우


1. 정보주체가 개인정보의 정확성에 이의를 제기한 경우(개인정보의 정확성을 입증할 때까지 처리를 제한)

2. 처리가 불법적이고, 정보주체가 삭제를 반대하고 대신 개인정보의 처리 제한을 요구하는 경우

3. 더 이상 개인정보가 필요하지 않지만 정보주체가 법적 청구권의 행사나 방어를 위해 그 정보를 요구한 경우

4. 컨트롤러가 정당한 이익을 위해 하는 개인정보처리가 정보주체의 정당한 이익보다 우선하는지 확인중인 경우


반대권 요구 시 조치 사항


1. 직접 마케팅 목적의 처리 시, 정보주체의 반대권 행사 즉시 개인정보 처리 중단 및 이후 동일 목적의 처리 금지
2. 컨트롤러의 정당한 이익 또는 공적 임무 수행 및 직무권한 행사에 근거한 처리 시 정보주체는 자신의 특수한 상황을 근거로 반대권을 행사할 수 있으며, 정보주체의 이익이나 권리 및 자유보다 더 중요하고 강력한 정당한 근거를 입증할 수 있거나 법적 청구권의 입증이나 행사를 위한 경우를 제외하고는 해당 개인정보 처리를 중단

3. 과학적 또는 역사적 연구 목적 또는 통계적 목적으로 처리 시 정보주체는 자신의 특수한 상황을 근거로 반대권을 행사 가능 


권리 행사 예외사항


개인정보의 처리가 제한된 경우에도 

1. 정보주체의 동의가 있거나, 

2. 법적 청구권의 입증이나 행사를 위한 경우, 

3. 제3자의 권리 보호를 위한 경우,

4. EU 또는 회원국의 중요한 공익상의 이유가 있는 경우에는 처리 가능


개인정보 처리가 공익을 위한 업무수행을 위하여 필요한 경우에는 예외로 함



----

[1] GDPR(EU)

https://gdpr.eu/article-12-how-controllers-should-provide-personal-data-to-the-subject/


[2] 우리 기업을 위한 2020 EU일반개인정보보호법 가이드북

https://gdpr.kisa.or.kr/gdpr/bbs/selectArticleDetail.do?bbsId=BBSMSTR_000000000068&nttId=771


[3] GDPR - 정보주체의 권리(한국인터넷진흥원)