| 정보주체의 권리 | 내용 | 비고 |
| 정보를 제공받을 권리(right to be informed) | 각 개인은 자신의 데이터가 어떻게 처리되고 있으며, 그 이유에 대한 정보를 얻을 권리가 있음.-동의여부의 정보 제공: 정보주체가 개인 데이터 처리와 관련된 모든 세부 사항을 이해해야 함.-제공해야 하는 개인정보: 개인정보의 처리목적과 법적 근거, 개인데이터의 수령인 및 수령방법, 보유기간, 정보주체의 권리, 컨트롤러(또는 필요시 컨트롤러)의 대리인과 DPO의 신원 및 연락처, 제3국으로의 정보이전에 관한 상세내용 및 보호방법, 프로파일링 등 자동화된 결정의 존재 및 그 결정 관련 정보 등-방식: 제공하는 모든 정보는 간결하고, 알기 쉽고, 쉽게 접근 할 수 있어야하며 무료이며 평이한 언어로 작성되어야 함.-제공시기: 정보주체로부터 취득: 취득한 때, 정보주체이외로부터 취득: 정보 취득 후 합리적 기간 내(최대 1개월 이내) | 추가적인 정보 취득 시 추가정보 제공의무 有 |
| 정보주체의 열람권(right of access by the data subject) | 각 개인은 자신의 데이터에 관한 액세스 권한이 있음. -내용: 정보주체는 컨트롤러가 실제로 개인 데이터를 처리하는지 확인할 수 있는 권리가 있으며, 이후 정보주체의 요청 시 컨트롤러는 정보주체에게 처리된 개인 데이터의 복사본을 제공해야 함.-방식: (ⅰ) 무료사본: 컨트롤러는 열람 요구에 대해 처리중인 개인 데이터의 사본을 무상 제공할 의무 有(단, 첫 번째 요청은 무료, 추가 요청에는 "합리적인 수수료"가 부과 될 수 있음.(ⅱ) 전자방식: 정보주체가 달리 요구하지 않는 한, 데이터 사본에 대한 전자 요청은 일반적으로 사용되는 전자 형식으로 제공되어야 함(예 : .csv 및 .txt 형식이 가장 보편적 일 것으로 예상 됨) (ⅲ) 컨트롤러는 합리적인 방법을 통해 요구자의 신원을 확인하여(정보의 불법유출 차단) 후 액세스 권한 부여-이행시기: 과도한 지연없이 이행 (최대 1개월 이내) | ※주의사항: 컨트롤러는 잠재적 요청에 대비라는 목적(유일한 목적)으로 개인정보 보관 x |
| 정정권(right of rectification) | 정보주체는 과도한 지연없이 자신에 관한 부정확한 개인 데이터의 수정권한을 컨트롤러로부터 얻을 권리가 있음.-내용: 정보주체는 데이터 처리의 목적을 고려하여 보완 진술을 제공하거나 불완전한 개인 데이터의 완전성 제고를 할 수 있는 권리가 있음.-이행시기: 과도한 지연없이 1개월 이내(정정요구가 복잡한 경우 2개월 이내 가능) | ※정정요청에 따른 조치를 하지 않은 경우, 그 이유와 이의제기권리 등에 대한 안내 필요 |
| 삭제권(잊힐 권리, right of erasure; right to be forgotten) | 정보주체는 관리자로부터 과도한 지연없이 자신과 관련된 개인정보의 삭제권한을 부여 받을 권리를 가지며, 컨트롤러는 다음 사유 중 하나가 적용되는 경우 과도한 지연없이 개인 정보를 지울 의무가 있음.-개인 데이터가 수집되거나 처리되는 목적과 관련하여 더 이상 필요하지 않을 경우-정보주체가 처리에 대한 동의를 철회하는 경우(단, 당해 처리를 위한 법적 근거가 없는 경우)-제21조(1)에 의거하여 정보주체가 반대하는 경우로, 정보주체의 데이터 처리를 위한 타당한 근거가 없는 경우-불법적으로 처리된 개인 정보-개인 데이터는 컨트롤러가 준수해야할 연방 또는 회원국 법률의 법적 의무 준수를 위해 삭제가 필요한 경우-제 8 조 (1)에 언급 된 아동에게 제공할 정보사회서비스 제공과 관련하여 개인 데이터가 수집된 경우단, 제3자에게 제공한 경우, 불가능하거나 과도하지 않는 범위 내에서 그 제3자에게 정보 삭제사실을 알려야 함. | ※삭세거부사유-표현 및 정보의 자유에 관한 권리행사, 공적 업무 수행 등 법적 의무 이행, 공익을 위한 보건목적,공공기록보관, 과학 및 역사적 연구 또는 통계목적, 법적 청구권행사나 방어 |
| 처리에 대한 제한권(right to restriction of processing) | 개인은 개인의 데이터와 관련하여 그 처리를 제한 할 수 있는 권리가 있음(정보주체는 데이터가 정확하지 않다고 판단되면 개인 데이터 처리를 제한 할 수 있으며, 이 경우 데이터의 정확성이 확인 될 때까지 처리를 제한해야 함.)-내용: 컨트롤러는 정보주체가 정보의 정확성에 이의를 제기하거나, 처리가 불법적이지만, 정보주체가 삭제를 반대하고 처리제한을 요구한 경우, 불필요한 개인정보에 대해 정보주체가 법적 청구권행사나 방어를 위해 해당 정보를 요구한 경우, 정보주체가 처리를 반대하였으나 컨트롤러의 정당한 사유(공익목적, 법적 의무 준수 등)가 있어 이익형량 검토를 진행하고 있는 경우 정보주체의 처리제한 요구를 이행해야 함. 단, 제3자에게 제공한 경우, 불가능하거나 과도하지 않는 범위 내에서 그 제3자에게 정보 처리제한사실을 알려야 함.-해제: 컨트롤러는 정보주체의 동의,EU회원국의 공익상 목적 등의 사유로 처리제한을 해제할 경우 정보주체에게 알려야 함. | ※과도한 지연없이 그리고 수령 후 1 개월 이내에 제한 요청에 응답 할 수 있는 프로세스를 갖추고 있어야 함. |
| 데이터이동권(right to data portability) | 개인이 서로 다른 서비스를 통해 자신의 목적을 위해 개인 데이터를 얻고 재사용 할 수있게 요구할 수 있는 권리-내용: (ⅰ)개인이 컨트롤러에 제공 한 개인 데이터로, (ⅱ) 그 처리가 개인의 동의 또는 계약 수행에 근거한 경우이며, (ⅲ) 처리가 자동화된 수단에 의해 수행 될 때-방식: 컨트롤러는 일반적으로 사용되는 구조화되고 기계로 판독 가능한 형태로 개인 데이터를 제공해야 함.-제한: 지적재산권이나 영업비밀 등 제3자의 권리가 침해되는 경우 이동권이 제한됨. | ※기계 판독 가능: 소프트웨어가 데이터의 특정 요소를 추출 할 수 있도록 정보가 구조화되어 있음을 의미 |
| 반대권(right to object) | 개인은 개인데이터 처리와 관련해, "자신의 특정 상황과 관련된 근거"에 이의를 제기할 권리를 가짐.-내용: 개인은 컨트롤러의 정당한 이익, 공공의 이익/ 공식적 권한을 부여받은 업무수행(프로파일링 포함)에 기초한 처리, 직접 마케팅12) (프로파일링 포함), 과학/역사 연구 및 통계의 목적을 위한 처리를 거부 할 권리13)가 있음.-이행: 컨트롤러는 개인의 이익, 권리 및 자유 보다 더 공정하고 합법적인 근거를 입증 할 수 있거나 그 처리가 법적 청구권의 확정, 행사 또는 방어를 위한 것이 아니면 정보주체의 반대권 행사에 응해야 함.-방식: 컨트롤러는 정보주체와의 최초 연락 시 반대권이 있음을 명시적으로 강조하여, 분명히 알려야 함. | ※온라인 서비스는 개인이 온라인상에서 반대하는 방법을 제시해야 함. |
| 프로파일링을 포함한 자동화된 의사결정 관련 권리(right to related to automated decision making and profiling) | 자동화된 의사 결정(사람의 개입 없이 자동화 된 방법으로 만 결정을 내림)과 프로파일링14)(개인에 대한 특정 사항을 평가하기 위한 개인 데이터의 자동 처리)을 할 경우, 정보주체의 권리보장과 보호조치를 취해야 함.-내용: 정보주체 권리보장(인적개입요구권, 정보주체의 관점(이익)표현권, 그 결정에대한 설명요구권/반대권)과 보호조치(처리의 공정성과 투명성 보장, 프로파일링을 위한 적합한 방법 사용, 차별적 결과 방지, 오류의 시정과 실수위험 최소화 조치 등)-제한: 컨트롤러는 계약 체결 또는 이행에 필요한 경우, EU나 회원국 법률에 의해 허가된 경우, 그 결정이 개인의 명시적인 동의에 따라 이뤄진 경우 이 권리는 적용되지 아니함.-의무: 컨트롤러는 시스템이 의도한대로 작동하는지 정기적으로 확인해야 함. | ※주의: 자동화된 결정은 아동과 관련성이 없어야 하며, 민감한 정보는 원칙적으로 처리가 금지됨. |