개인정보 영향평가(DPIA) 28)

프로파일링을 포함한 자동화된 의사 결정에 대해서는 컨트롤러의 책임성을 위해 개인정보 영향평가를 실시하여야 한다. 자동화된 의사 결정 없이 프로파일링만 이루어지는 경우라도 심각한 위험의 발생 가능성 등 제35조에서 규정하는 개인정보 영향평가의 요건에 해당되는 경우 영향평가를 실시해야 한다. 프로파일링을 포함한 자동화된 의사 결정에 대해 개인정보 영향평가를 실시하는 경우 다음의 사항을 고려할 수 있다.

① 자동화된 의사 결정 프로세스와 관련된 논리 및 존재에 대한 정보 주체 고지

② 정보주체 대상 처리의 중요성 및 예상 결과 설명

③ 정보주체 대상 자동화된 의사 결정에 반대할 수 있는 수단 제공

④ 정보주체 대상 견해를 표명할 권리 허용 등

• 제4조(정의)제4항

• 제22조(프로파일링을 비롯한 자동화된 결정)

• 전문 제71조, 제72조 GDPR 관련 규정

셀프 체크리스트

□ □

• 프로파일링을 포함한 자동화된 의사 결정이 발생하는 경우 정보주체에게 안내하고 있으며, 정보주체의 제한 요청 시 적절한 조치를 취하고 있다.

예 아니오

28) 제29조 작업반(2018. 2. 6.), Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation, p27.

Ⅴ 정보주체

권리 강화 더 알아보기 4

프로파일링과 자동화된 의사결정 모두에 적용되는 보호 조치

GDPR은 제22조(프로파일링을 포함한 자 동화된 의사결정)의 조항을 통해 프로파일링을 포함한 자동화된 의사결정이 정보주체에게 법적 효력 또는 이와 유사한 중대한 효과를 미치는 경우 이를 거부할 수 있도록 명시하고 있습니다.

그러나, 자동화된 의사 결정과 무관하게 프로파일링만 발생하는 경우에도 GDPR 전반에서 규정하는 개인정보 처리에 관한 주요 원칙 및 정보주체 권리 보장을 위한 관련 조항을 준수해야 합니다. 프로파일링만 발생하는 경우나 프로파일링을 포함한 자동화된 의사 결정 모두에 적용되는 조치는 다음과 같습니다.

#1 정보보호 원칙

원칙 적용 방향

제5조제1항(a) 적법성•공정성•

투명성의 원칙

- 프로파일링에 대하여 간결, 투명하며 이해하기 용이하고, 접근하기 쉬운 방식으로 정보를 제공해야 함

- 불공평한 프로파일링으로 인하여 정보주체의 거래에 불리함이 없어야 함 제5조제1항(b)

목적 제한의 원칙

- 개인정보 수집 목적 외 다른 목적으로 프로파일링에 활용하는 경우, 별도로 개별적인 동의를 획득하는 등 추가 조치 필요

제5조제1항(c) 개인정보 처리의 최소화

- 프로파일링에 활용되는 개인정보 수집 및 보유 사유를 명확히 입증할 수 있거나, 집합(aggregated) 정보 또는 익명처리(anonymised)된 정보를 사용 하여 적절한 보호조치를 보장해야 함

제5조제1항(d) 정확성의 원칙

- 프로파일링에 사용되는 개인정보가 정확하고 최신의 것인지 지속적으로 검증하는 적절한 방안 도입 필요

제5조제1항(e) 보유 기간 제한의 원칙

- 프로파일링을 위한 개인정보를 지나치게 장기간 유지하 는 경우 위험을 초래할 가능성이 있으므로 적정 보유 기간 산정이 필요

#2 정보주체 권리 보장

원칙 적용 방향

제13조 및 제14조 정보를 제공받을 권리

- 프로파일링의 프로세스가 어떻게 기능하는지 명확하고 간략하게 설명 - 프로파일링을 포함한 자동화된 의사결정 발생 시 ① 프로파일링 사실, ②

프로파일링을 포함한 자동화된 의사 결정 사실에 대한 정보 제공

제15조 열람권 - 프로파일링 및 이에 활용된 정보에 대한 정보주체의 열람권 보장

제16조 정정권

- 프 로파일링에 잘못된 개인정보를 활용하 는 경우 이에 사용된 정보 및 정보의 부정확성에 대하여 정정 및 이의를 제기할 수 있는 권리 보장 - 추가 개인정보 제공을 통해 프로파일링을 보완할 수 있는 권리 보장

제17조 삭제권

- 정보주체의 동의를 받은 프로파일링에 대하여 정보주체가 동의를 철회할 때, 법적 근거가 있지 않는 한 프로파일링에 사용된 개인정보 및 프로파일링 결과를 모두 삭제해야 함

제18조 처리 제한권 - 프로파일링 및 자동화된 의사 결정 과정의 모든 단계에 개인정보 처리를 차단하거나 제한할 권리를 적용

제21조 반대권

- 프로파일링을 포함한 자동화된 의사 결정 과정에 대해 정보주체가 대상이 되지 않을 수 있는 권리를 보장

- 프로파일링에 대하여 반대권 제기 시 프로파일링 및 자동화된 의사 결정을 중단하고 필요할 경우 관련 정보를 삭제

Ⅴ 정보주체

권리 강화

1. 개요 2. 개인정보 처리 활동의 기록(Records of processing activities) 3. Data protection by design and by default 4. 개인정보 영향평가(Data protection impact assessment) 5. DPO(Data Protection Officer) 지정 6. 행동규약과 인증(Codes of conduct and certification mechanism)