(가) GDPR 본문의 규정은 다음과 같다.
개인정보는 구체적이고 명시적이며 적법한 목적을 위해 수집되어야 하 고, 해당 목적과 양립되지 않는 방식으로 추가 처리(further processing) 되어서는 안 된다. 공익적 기록보존, 과학적 또는 역사적 연구, 통계적 목 적을 위한 추가처리는 제89조 제1항에 따르면(in accordance with) 본래의 목적과 양립되지 않는 것으로 보지 않는다.[법 제5조 제1항(b)]
공익적 기록보존, 과학적 또는 역사적 연구, 통계적 목적을 위한 처리 는 정보주체의 권리 및 자유를 위하여 본 규정에 따른 적정한 안전조치가 적용되어야 한다. 그 안전조치는 특히 데이터 최소화 원칙이 준수되도록 기술적, 관리적 조치를 이행하여야 한다. 가명처리 방식으로 그러한 목적 이 달성될 수 있으면 그 안전조치에는 가명처리가 포함될 수 있다. 정보 주체의 식별을 허용하지 않거나 더이상 허용하지 않는 추가 처리를 통해 그러한 목적을 달성될 수 있는 경우에는 그러한 방식을 취하여야 한다. (법 제89조 제1항)
개인정보 처리(processing)는 자동화 수단에 의한 것인지 여부에 관계 없이 개인정보 또는 개인정보 집합물(set)에 행해지는 단일 또는 일련의 작업을 의미한다. 수집, 기록, 편집(organisation), 구성, 저장, 가공 또는 변경(adaptation or alteration), 검색(retrieval), 참조(consultation), 사용, 이전, 배포 기타 방식에 의한 제공, 연동이나 연계(alignment or combination), 제한, 삭제 또는 파기 등이 이에 해당한다.(법 제4조 제2항)
개인정보를 수집한 목적 외로 처리하는 것이 개인정보주체의 동의 또
는 유렵연합 또는 회원국 법률에 근거하지 않는 경우에, 컨트롤러는 개인 정보의 목적 외 처리가 해당 개인정보를 수집한 당초 목적과 양립될 수 있는지 확인하기 위해서 특히 암호처리나 가명처리 등 적절한 안전조치의 존재 등을 고려해야 한다.[법 제6조 제4항(e)]
(나) 이에 대해 GDPR 전문에서 다음과 같이 설명한다.
원래(initially) 수집 목적 이외의 개인정보 처리는 해당 개인정보의 처
리가 원래의 수집 목적과 양립 가능한(compatible) 경우에 한해서만 허용 되어야 한다. 목적이 양립 가능한 경우, 당초 정보수집을 허용한 법적 근 거 이외의 별도의 법적 근거는 불필요하다. 공익적 기록 보존, 과학적 또 는 역사적 연구, 통계적 목적을 위한 추가처리는 양립 가능한 적법한 처 리 작업(operation)으로 간주되어야 한다(should be considered).(전문 제50항)
공익적 기록 보존, 과학적 또는 역사적 연구, 통계적 목적을 위한 개인 정보 처리는 본 규정에 따른 정보주체의 권리와 자유를 위해 적절한 안전 조치의 적용을 받아야 한다. 그 안전조치에는 특히 데이터 최소화의 원칙 을 보장하기 위한 기술적, 관리적 조치가 구비되어 있어야 한다. 공익적 기록 보존, 과학적 또는 역사적 연구, 통계적 목적을 위한 추가적인 개인 정보 처리는 적절한 안전조치(예컨대, 정보의 가명처리)가 존재하는 경우 로서 컨트롤러가 정보주체를 식별할 수 없거나 더 이상 식별할 수 없게 개인정보를 처리함으로써 그와 같은 목적을 달성할 가능성이 있다고 평가 하였을 때 시행되어야 한다. 회원국은 공익적 기록 보존, 과학적 또는 역 사적 연구, 통계적 목적을 위한 개인정보 처리에 대한 적절한 안전조치를 규정하여야 한다.(전문 제156조)
연구원들은 기록부(registries)로부터의 정보를 연결함으로써 혈관계 질 환, 암, 우울증 등의 널리 알려진 의학적 상태(condition)에 대한 매우 귀 중한 신지식을 얻을 수 있다. 기록부에 기반을 둔 연구는 다수 인구를 이 용할수록 그 연구 결과가 향상될 수 있다. 사회과학에서, 연구원들은 기록 부에 기반을 둔 연구를 통해 실업 및 교육 등과 같은 여러 사회적 상태 (social condition)와 다른 삶의 상태(life condition) 사이의 장기적 상관관
계에 대한 필수 지식을 얻을 수 있다. 기록부를 통해 얻은 연구 결과는 지식기반 정책의 수립 및 시행의 근거를 제시하고, 다수의 삶의 질을 높 이며, 사회 서비스의 효율성을 개선시킬 수 있는 확고한(solid) 양질의 지 식을 제공한다. 과학적 연구를 용이하게 하기 위해, 유럽연합 또는 회원국 법률에 규정된 적절한 조건 및 안전조치에 따르면 과학적 연구의 목적으 로 개인정보가 처리될 수 있다.(전문 제157항)
기록보존의 목적으로 개인정보가 처리되는 경우에 본 규정이 망자에게 는 적용되지 않아야 한다는 점을 유념하고 본 규정을 적용해야 한다. 공 익적 기록을 보유하는 공공기관, 공익기관 또는 민간기관은, 유럽연합이나 회원국 법률에 따라, 일반 공익을 위해 보존할 가치가 있는 기록을 획득, 보존, 평가, 조성, 기술(describe), 전달, 증진, 유포 및 접근할 법적 의무가 있는 서비스 제공 기관이어야 한다.(제158항)
과학적 연구의 목적으로 개인정보가 처리되는 경우에 본 규정
(Regulation)은 그 정보처리에도 적용되어야 한다. 이 규정의 취지를 위해,
과학적 연구 목적의 개인정보 처리는 기술의 발전과 실증, 기초연구, 응용 연구 및 민간 투자 연구(privately funded research) 등을 포괄하는 광범 위한 방식으로 해석되어야 한다. 과학적 연구 목적에는 공중보건 분야에 서 공익을 위해 시행된 연구도 포함되어야 한다.(전문 제159항)
역사적 연구 목적으로 개인정보가 처리되는 경우에 본 규정은 그 정보 처리에도 적용되어야 한다. 망자에게는 본 규정이 적용되지 않아야 한다 는 점을 유념하여, 역사 연구 및 계보학 목적의 연구도 여기에 포함되어 야 한다.(전문 제160조)
통계 목적으로 개인정보가 처리되는 경우에 본 규정은 그 정보처리에 도 적용되어야 한다. 유럽연합 또는 회원국 법률은 본 규정의 범위 내에 서 통계 내용, 접근 통제, 통계 목적의 개인정보 처리에 대한 세부사항 및 정보주체의 권리와 자유를 보호하고 통계의 신뢰성을 보장하기 위한 적절 한 조치를 정해야 한다. 통계 목적은 통계 조사 또는 통계 결과 산출에 필요한 개인정보의 수집 및 처리 작업 일체를 의미한다. 그 통계 결과는
과학적 연구 목적을 포함한 다른 목적을 위해 추가적으로 활용될 수 있 다. 통계 목적의 개인정보처리 결과는 개인정보가 아니라 총합적 데이터 (aggregate data)이고, 그 처리결과나 개인정보가 특정 자연인과 관련된 조치나 결정에 사용되어서는 아니된다.(전문 제162항)
(다) 요약하면 다음과 같다.
공익적 기록보존, 과학적 또는 역사적 연구, 통계적 목적을 위한 추가 처리는 가명처리 등을 포함한 안전조치를 이행하면 본래의 수집 목적과 양립되지 않는 것으로 보지 않는다. 따라서 정보주체의 동의가 없더라도 개인정보의 가공, 사용, 이전, 제공 등 추가처리가 가능하다.
가명처리는 컨트롤러가 정보주체를 식별할 수 없게 개인정보를 처리하 는 안전조치의 한 예에 해당하고, 그 안전조치의 구체적인 방식에 대해서 는 개별 회원국에서 규정하도록 한다. 과학적 연구 목적의 개인정보 처리 는 기술의 발전과 실증, 기초연구, 응용연구 및 민간 투자 연구 등을 포괄 하는 광범위한 방식으로 해석된다.
(2) 정보주체의 권리
(가) GDPR 본문의 규정은 다음과 같다.
개인정보가 과학적 또는 역사적 연구, 통계적 목적으로 처리되는 경우, 유럽연합 또는 회원국 법률은 본 조 제1항의 조건 및 안전조치에 따르면 제15조(정보주체의 열람권), 제16조(정정권), 제18조(처리에 대한 제한권) 및 제21조(반대할 권리)에 규정된 권리의 적용을 일부 제외할 수 있다. 다 만 그 권리가 그 특정 목적의 달성을 불가능하게 하거나 심각하게 훼손할 것으로 예상되고, 그 목적의 달성하기 위하여 그 적용의 제외가 필요한 것이어야 한다.(법 제89조 제2항)
제89조 제1항에 따라 개인정보가 과학적 또는 역사적 연구, 통계적 목 적으로 처리되는 경우로서, 공익을 위한 업무 수행에 필요한 처리가 아닌 경우라면 정보주체는 본인과 관련한 특별한 상황에 근거하여 본인에 관한
개인정보의 처리에 반대할 권리를 가진다.(법 제21조 제6항) (나) 이에 대해 GDPR 전문에서 다음과 같이 설명한다.
개인정보 수집 당시에는 과학적 연구 목적을 위한 개인정보 처리의 목적을 충분히 확인하기가 불가능할 때가 많다. 따라서 과학적 연구의 공 인된 윤리 기준에 부합된 경우에 특정 연구 분야에 한정하여, 정보주체가 동의를 하는 것이 허용되어야 한다. 그 의도한 처리목적이 허용되는 범위 내에서 특정 연구 분야 또는 연구의 일부분에 한하여 정보주체가 동의를 할 수 있는 기회가 주어져야 한다.(전문 제33항)
(다) 요약하면 다음과 같다.
개인정보가 과학적 또는 역사적 연구, 통계적 목적으로 처리되고 안전 조치에 따르면, 정보주체의 열람권, 정정권, 처리에 대한 제한권, 반대할 권리 등의 행사가 제한될 수 있다. 그렇더라도 공익을 위한 업무 수행에 필요한 처리가 아닌 경우라면 정보주체는 본인과 관련한 특별한 상황에 근거하여 본인에 관한 개인정보의 처리에 반대할 권리를 가진다. 또한 정 보주체는 과학적 연구의 특정 연구 분야 또는 연구의 일부분에 한하여 추 가처리에 동의할 기회를 가질 수 있다.
4. 안전조치(safeguard)