김경환 법무법인 민후 대표변호사는 11일, 한국인터넷진흥원(KISA)에서 주관한 '우리 기업을 위한 GDPR세미나'에서 'GDPR과 정보주체의 권리'를 주제로 발표하였습니다. 김경환 변호사는 EU GDPR상 정보주체가 가지는 8개의 권리와 이를 준수하기 위해 기업이 준비해야 할 사안들에 대해 상세히 설명하였습니다.

1. 과GDPR
정보주체의 권리
김경환 변호사

2. - 2 -
제 장 정보주체의 권리 의 구조‘ 3 ’
제 절 투명성 및 양식1 :
총칙적 절차적 규정 제 조/ 12ㆍ
제 절 정보 및 개인정보에 대한 접근2 :
개인정보 처리를 위하여 정보주체에게 제공되어야 할 정보 제 조 제 조/ 13 ~ 15
제 절 정정 및 삭제3 :
개인정보에 대한 통제 권능 제 조 제 조/ 16 ~ 20
제 절 반대권과 자동화된 개인 결정4 :
개인정보에 대한 통제 권능 제 조 제 조/ 21 ~ 22
제 절 제한5 :
정보주체 권리의 제한 제 조/ 23

3. - 3 -
개의 권리8
정보 를 제공받을 권리 조(information) (13~14 )
정보 접근권 조(15 )
정정권 조(16 )
삭제권 조(17 )
처리 제한권 조(18 )
정보 이동권 조(20 )
처리 반대권 조(21 )
프로파일링 등 자동화된 개인결정 거부권 조(22 )

4. - 4 -
제 조 투명성과 정보제공 의무12
컨트롤러의 정보주체에 대한 정보제공 의무 제 항( 1 , provide information)
정보주체 또는 정보주체 외의 자로부터 개인정보를 수집할 때 제 조- ( 12 ~ 13 )
privacy notice {+ consent form}☞
정보주체가 자신의 개인정보에 대하여 접근권 정정권 삭제권 처리제한권 이동권 반대- , , , , ,
권 자동화된 개인결정 거부권을 행사할 때 제 조, ( 14 ~ 22 )
개인정보가 유출되었을 때 제 조- ( 34 )
breach notification☞
정정권 삭제권 처리제한권을 행사할 때 정보주체에게 수령자 의 정보를 제공하여야 함- , , ‘ ’
제 조( 19 )
* data protection policy 제 조 제 항 의무: 24 2 (implement )

5. - 5 -
정보 제공의 방법 제 항( 1 )
참조wp260☞
간결하고 투명하며 이해할 수 있게-
쉽게 접근할 수 있는 형식으로-
서면 전자적 수단 제공의 원칙 구두로도 가능- ( )ㆍ
컨트롤러는 정보주체의 권리 행사를 용이하게 해야 함 제 항( 2 )
subject request form☞
정보제공은 요청받은 날로부터 달 안에 하여야 하고 요청의 복잡성과 건수를 고려하여1 ,
필요한 경우 개월까지 연장할 수 있음 다만 연장 사실과 지체 사유에 대하여 정보주체에2 .
게 고지하여야 함 제 항( 3 )

6. - 6 -
정보제공 요청에 응하지 않을 경우 컨트롤러는 달 안에 조치를 취하지 않은 사유와 함께, 1
감독당국에 민원을 제기하고 사법적 구제를 받을 수 있음을 정보주체에게 고지하여야 함
제 항( 4 )
정보 제공은 무료인 게 원칙임 제 항( 5 )
의 경우 제 조 제 조 표준화된 아이콘을 함께 제공할 수 있음 제 항Privacy Notice ( 13 , 14 ), ( 7 )

7. - 7 -
Subject Access Request Form
예시 : National Records of Scotland

8. - 8 -

9. - 9 -

10. - 10 -
제 조 제 조13 , 14 Privacy Notice
참조wp260☞
시기 및 대상
정보주체로부터 개인정보를 수집하는 경우 수집시 정보주체에게- : + 사후 고지 불허( )
정보주체 외의 자로부터 개인정보를 수집하는 경우 수집 후 합리적 기간 내 늦어도- : 1
달 안에 예외 사유 있음 정보주체에게( ) +
의 면제Privacy Notice
정보주체로부터 개인정보를 수집하는 경우 정보주체가 고지사항에 관한 정보를 알고- :
있는 경우
정보주체 외의 자로부터 개인정보를 수집하는 경우 위 사항 법에서 해당 개인정보의- : +
기록 또는 제공을 명백하게 규정한 경우 고지가 불가능하거나 과도한 노력이 요구되는,
경우 공익적 과학적 역사적 통계적 목적으로 개인정보를 처리하는 경우 고지가 처, ,ㆍ ㆍ ㆍ
리의 목적 달성을 불가능하게 하거나 심각하게 저해하는 경우 비밀유지의무에 따라 개,
인정보를 비밀로 하여야 하는 경우 등

11. - 11 -
정보주체로부터 개인정보를 수집하는 경우 기본적 고지사항
- 컨트롤러의 신원과 연락정보 해당하는 경우 대리인의 신원과 연락정보( , )
해당하는 경우 개인정보보호책임자의 연락정보- ,
- 개인정보의 처리 목적과 처리의 법적 근거
처리가 제 조 제 항 에 해당하는 경우에는 컨트롤러 또는 제 자가 추구하는 정당한- 6 1 (f) 3
이익
있으면 개인정보의 수령자 또는 수령자의 범주- ,
해당하는 경우 국외이전 사실과 적정성 결정의 유무 등- ,

12. - 12 -
정보주체로부터 개인정보를 수집하는 경우 추가적 고지사항
기본적 고지사항은 항상 고지해야 하는 사항이고 추가적 고지사항은 공정하고 투명한 처리를 보장하* ,
기 위해 추가적으로 필요한 경우 고지해야 하는 사항임
- 개인정보의 저장 기간 또는 그것이 불가능한 경우는 그 기간을 결정하는 데 사용되는
기준
- 접근권 정정권 삭제권 처리제한권 처리 반대권 이동권의 존재, , , , ,
언제나 동의를 철회할 권리의 존재 조 항 또는 조 항 에 근거한 처리의 경- (6 1 (a) 9 2 (a)
우)
- 감독당국에 민원을 제기할 권리
개인정보 제공과 관련하여 법적 요건인지 의무가 있는지 여부 등- ,
프로파일링 등 자동화된 개인결정의 존재 수반된 로직에 관한 중요한 정보 그러한 처리- , ,
의 정보주체에 대한 유의성 및 예상된 결과

13. - 13 -
GDPR Privacy Notice
General Data Protection Regulation (GDPR)
Article 13 of Regulation EU 2016/679
1. Purpose of this notice
This Privacy Notice provides mandatory information as required under Articles 13
and 14 of the European General Data Protection Regulation (GDPR) regarding the
transparency of personal data processing. Definitions of certain terms within this
notice are explained in the appendix.
2. The Data Controller for personal data
The Data Controller for the personal data processed by us is the Client Company of
DIRECT TRAVEL (the employer of the natural person whose data is collected,
hereafter referred to as the Data Subject). The Data Controller will pass personal
data of their employees to DIRECT TRAVEL to manage travel on behalf of those
employees in connection with their business. DIRECT TRAVEL, as Data Processor

14. - 14 -
acting on the instructions of the Data Controller under a written contract with them,
will subsequently use that personal data to facilitate travel arrangements for the Data
Subject. It is this contract which forms the ‘Legal Basis’ for the processing of
personal data carried out by DIRECT TRAVEL in these circumstances.
DIRECT TRAVEL will also become a Data Controller if it collects additional personal
data directly from a Data Subject. In these circumstances DIRECT TRAVEL will be
acting under a ‘Legitimate Interest’ to legally process the data for the management
of travel for the Data Subject and to fulfil the contractual requirements for its Client.
DIRECT TRAVEL also acts as a Data Controller for any personal data held regarding
its own employees, and legally processes this data under its Contract of Employment
with those Data Subjects.

15. - 15 -
3. Your Rights
As a Data Subject you have rights under the GDPR. These rights can be seen below.
DIRECT TRAVEL will always fully respect your rights regarding the processing of your
personal data, and has provided below the details of the person to contact if you
have any concerns or questions regarding how we process your data, or if you wish
to exercise any rights you have under the GDPR.
4. Contact Details
The identity and contact detail for the Data Protection Officer within DIRECT TRAVEL is:
Darryl Hoover, Chief Technology Officer
DIRECT TRAVEL Ltd
7430 E. Caley Avenue, Suite 320
Centennial, CO 80111

16. - 16 -
5. Data Protection Principles
DIRECT TRAVEL has adopted the following principles to govern its collection and
processing of Personal Data:
Personal Data shall be processed lawfully, fairly, and in a transparent manner.
The Personal Data collected will only be those specifically required to fulfil travel,
accommodation, or other travel-related requirements. Such data may be collected
directly from the Data Subject or provided to DIRECT TRAVEL via his /her employer.
Such data will only be processed for that purpose.
Personal Data shall only be retained for as long as it is required to fulfil contractual
requirements, or to provide statistics to our Client Company.
Personal Data shall be adequate, relevant, and limited to what is necessary in
relation to the purposes for which they are collected and/or processed. Personal
Data shall be accurate and, where necessary, kept up to date.

17. - 17 -
The Data Subject has the right to request from DIRECT TRAVEL access to and
rectification or erasure of their personal data, to object to or request restriction of
processing concerning the data, or to the right to data portability. In each case such
a request must be put in writing as in Section 3 above.
The Data Subject has the right to make a complaint directly to a supervisory
authority within their own country. DIRECT TRAVEL’s Data Protection compliance is
supervised by:
Andrew Newton
Colpitts World Travel Limited, trading as Direct Travel
97 McDonald Road,
Edinburgh,
Scotland,
EH7 4NS

18. - 18 -
Personal Data shall only be processed based on the legal basis explained in section
2 above, except where such interests are overridden by the fundamental rights and
freedoms of the Data Subject which will always take precedent. If the Data Subject
has provided specific additional Consent to the processing, then such consent may
be withdrawn at any time (but may then result in an inability to fulfil travel
requirements).
DIRECT TRAVEL will not use personal data for any monitoring or profiling activity or
process, and will not adopt any automated decision making processes.
6. Transfers to Third Parties
To fulfil the travel arrangements for a Data Subject it will in most cases be
necessary to process personal data via a third party (these will include but are not
limited to airlines, hotels, car hire companies, and Visa or Passport companies).
Personal Data shall only be transferred to, or processed by, third party companies
where such companies are necessary for the fulfilment of the travel arrangements.

19. - 19 -
Personal Data shall not be transferred to a country or territory outside the European
Economic Area (EEA) unless the transfer is made to a country or territory recognised
by the EU as having an adequate level of Data Security, or is made with the
consent of the Data Subject, or is made to satisfy the Legitimate Interest of DIRECT
TRAVEL in regard to its contractual arrangements with its clients.
All internal group transfers of Personal Data shall be subject to written agreements
under the Company’s Intra Group Data Transfer Agreement (IGDTA) for internal Data
transfers which are based on Standard Contractual Clauses recognised by the
European Data Protection Authority.

20. - 20 -
Appendix Definitions of certain terms referred to above:–
Personal Data:
Processing:
Legal Basis for Processing:
Data Controller:
Data Processor:
Data Subject Rights:
정보주체 외의 자로부터 개인정보를 수집하는 경우 기본적 고지사항과 추가적 고지사항* :
생략

21. - 21 -
제 조 접근권15
권리 내용 처리 여부에 대한 확인할 권리 자신의 개인정보 등을 열람할 권리= +
컨트롤러는 처리 중인 개인정보의 사본을 제공하여야 함
접근 열람 대상( )
처리 목적 관련 개인정보의 범주 
수령자 또는 수령자의 범주 제 국 또는 국제기구의 수령자. 3
저장 예상 기간 또는 기간 설정 기준
정보주체의 권리의 존재 감독당국에 민원을 제기할 권리 
정보주체 외의 자에게 수집될 때 그 출처에 관한 모든 정보,
프로파일링을 포함하여 자동화된 개인 결정에 관한 사항
국외 이전시 적절한 안전장치에 대한 사항,

22. - 22 -
제 조 정정권16
권리 내용 개인정보가 부정확하거나 또는 불완전한 경우:
전자를 정정요구권 후자를 정보보완권이라 함,
컨트롤러는 권리행사에 관한 양식을 제공하여야 함

23. - 23 -
제 조 삭제권 잊혀질 권리17 (‘ ’)
컨트롤러의 삭제의무가 있는 경우
개인정보 수집 목적 등과 관련하여 더 이상 불필요한 경우
정보주체가 동의를 철회하고 그 처리에 법적 근거가 없는 경우,
정보주체가 처리를 반대하고 그 처리에 우선적인 정당한 근거가 없는 경우
개인정보가 불법적으로 처리된 경우
컨트롤러가 또는 회원국 법을 준수하기 위해 삭제하는 경우EU
정보사회서비스의 제공과 관련하여 아동의 개인정보가 수집된 경우
삭제조치
컨트롤러는 삭제의무가 있는 경우 지체 없이 개인정보를 삭제해야 함-
개인정보가 다른 사람에게 제공되었거나 공개되었다면 정보주체가 개인정보에 대한 링-
크 또는 사본 복사의 삭제를 요청하였음을 알리고 필요한 합리적인 조치를 취해야 함,

24. - 24 -
삭제요청을 거부할 수 있는 경우
표현 및 정보의 자유에 관한 권리 행사를 위한 경우
공익적 임무의 수행 및 직무권한 행사를 위한 법적 의무 이행을 위한 것인 경우
공익을 위한 보건 목적을 위한 경우
공익적 기록보존 과학 및 역사적 연구 또는 통계 목적을 위한 것인 경우,
법적 청구권의 행사나 방어를 위한 것인 경우

25. - 25 -
제 조 처리제한권18
처리제한 일정한 경우에 컨트롤러가 정보를 보관만 하고 있는 처리를 하지 못하는 상태:
처리제한을 하는 경우 제 항( 1 )
정보주체가 개인정보의 정확성에 문제를 제기한 경우
개인정보 처리가 불법적이지만 정보주체가 삭제를 반대하고 처리 제한을 요청한 경우
더 이상 개인정보가 필요하지 않지만 정보주체가 법적 청구권 행사 등을 위하여 그 정보
를 요구한 경우
정보주체가 처리에 반대하였지만 컨트롤러가 정당한 사유가 개인적 사유보다 더 큰지 검
토하고 있는 경우

26. - 26 -
처리제한에도 불구하고 처리를 할 수 있는 예외적 상황 제 항( 2 )
정보주체의 동의가 있는 경우
법적 청구권의 행사 등의 사유가 있는 경우
다른 자연인이나 법원의 권리 보호에 필요한 경우
또는 회원국의 중대한 공익상의 이유가 있는 경우EU
처리제한의 절차
처리제한하는 기술적인 방법으로는 다른 시스템에의 임시적인 이전 임시적인 제거 임시, ,
적인 접근금지 등이 존재할 수 있음
어떤 경우이든지 처리제한 중인 정보가 수정 또는 변경되지 않도록 조치되어야 하고 이,
러한 내용은 시스템에 명시적으로 표시되어야 함
처리제한 해제시 그 사실을 정보주체에게 알려야 함 제 항( 3 )

27. - 27 -
제 조 이동권20
참조wp242☞
권리의 내용
정보주체가 체계화되고 일반적으로 사용되며 기계 판독이 가능한 형태로 수령할 권리, ,
다른 컨트롤러에게 바로 전송할 것을 요구할 수 있는 권리( )
대상 :
정보주체가 제공한 개인정보 정보주체의 활동 또는 정보주체에 대한 관찰로 생성된- (=
것 에 한하여 이동권이 인정되고 컨트롤러가 생성한 데이터에 대하여는 이동권이 인정) ,
되지 않음 다만 정보주체가 제공한 개인정보는 광범위하게 해석하고 있음.
개인정보에 한정하므로 익명처리된 개인정보는 대상이 아니나 가명처리된 개인정보는- ,
대상에 포함됨
다른 사람의 정보라도 정보주체와 관련되어 있으면 이동권의 대상이 됨-
추론 데이터 파생 데이터는 이동권의 대상이 아님- ㆍ

28. - 28 -
이동권을 가지는 경우
개인정보 처리가 정보주체의 동의에 근거하거나 계약의 이행을 위한 것인 경우
법령에 의한 수집 등의 경우는 이동권이 보장되지 않음☞
개인정보 처리가 자동화된 수단에 의하여 이루어지는 경우
이동권 행사 제한 제 항( 3 )
공익을 위한 직무 수행
공적 권한의 행사
한계
이동권 행사시 타인의 영업비밀 지식재산권 침해 등의 사유가 있어서는 안 됨- ,

29. - 29 -
제 조 처리반대권21
권리 내용
일정한 사유가 있는 경우 해당 정보 또는 해당 목적의 처리를 금지시키는 권리-
처리 반대사유와 예외
공익이나 공적 권한 행사를 위한 목적으로 처리된 경우 또는 컨트롤러 및 제 자의 정당a) 3
한 이익 추구를 위해 처리된 경우 다만 컨트롤러가 더 중요한 정당한 근거를 입증하거(
나 법적 청구권 행사 등을 위한 경우에는 처리 가능, )
직접 마케팅 프로파일링 포함 처리 가능 사유 없는 절대적 권리임b) ( ) ( )
과학적 또는 역사적 연구 목적 또는 통계적 목적으로 처리되는 경우 다만 공익적 직무c) (
수행의 경우는 처리 가능)

30. - 30 -
절차
및 의 경우에는 정보주체와의 최초 통지 시점에 명시적으로 인식할 수 있도록 반대a) c)
권의 존재를 알려야 하고 관련 정보를 다른 정보와 분리해서 제시하여야 함 제 항, ( 4 )
정보주체는 자동화된 수단으로 반대권을 행사할 수 있음 제 항( 5 )

31. - 31 -
제 조 프로파일링을 포함한 자동화된 개인결정에 대한 권리22
참조wp251☞
권리 내용
프로파일링을 포함하여 자신에 관한 법적 효력을 주거나 유사하게 자신에게 중대한 영-
향을 미치는 자동화된 처리에만 근거한 결정에 따르지 않을 권리
* 만‘ ’ 인간의 개입 없이 오직 기술적 수단에 의하여 개인결정을 하는 경우:
프로파일링과 자동화된 개인결정 사이의 관계 프로파일링 없이도 자동화된 개인결정은* :
가능함
법적 효력을 주거나 계약의 취소 시민권의 거부 선거권 등 특정인의 법적 권리나 지* : , ,
위에 영향을 주는 경우
중대한 영향을 미치는 특정인의 법적 권리나 지위에 영향을 주지 않더라도 대출거절* : , ,
고용차별 대학입학 등 유사한 영향을 주는 경우,

32. - 32 -
자동화된 개인결정에 따라야 하는 경우 예외( )
계약의 체결이나 이행에 필요한 경우 (a)
또는 회원국 법이 허용하는 경우EU (b)
정보주체가 명시적으로 동의하는 경우 (c)
기본적 고지사항* Privacy Notice ( )
프로파일링 등 자동화된 개인결정의 존재 수반된 로직에 관한 중요한 정보 그러한 처리- , ,
의 정보주체에 대한 유의성 및 예상된 결과
(로직 알고리즘 전체의 공개나 알고리즘의 정교한 설명까지는 의미하는 것은 아님: )

33. - 33 -
자동화된 개인결정에 따라야 하는 경우 정보주체의 보호 수단(a, c),
정보주체의 권리와 자유 정당한 이익을 보장하기 위한 적합한 조치를 취해야 함,☞
아래는 적합한 조치 중 최소한의 조치임
인적 개입을 요구할 권리
정보주체가 자신의 견해를 표명할 권리
개인결정에 대한 설명을 들을 권리
개인결정에 대하여 이의를 제기할 권리
기타 적합한 조치 정기적인 차별성 체크 알고리즘 감사 등* : ,
민감정보나 아동정보의 처리 특례
민감정보는 명시적 동의 또는 법이 허용하는 경우에 프로파일링 또는 자동화된 개인 결
정 가능
아동정보는 프로파일링 또는 자동화된 개인 결정 불가

34. - 34 -
감사합니다.