항해
GDPR > 제22조. 프로파일링 등 자동화된 개별 의사결정
다운로드 PDF

제22조 GDPR. 프로파일링 등 자동화된 개별 의사결정

Article 22 GDPR. Automated individual decision-making, including profiling

1. 정보주체는 프로파일링 등, 본인에 관한 법적 효력을 초래하거나 이와 유사하게 본인에게 중대한 영향을 미치는 자동화된 처리에만 의존하는 결정의 적용을 받지 않을 권리를 가진다.

1. The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her.

전문가 해설
(EN) Author
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

2. 결정이 다음 각 호에 해당하는 경우에는 제1항이 적용되지 않는다.

2. Paragraph 1 shall not apply if the decision:

(a) 정보주체와 컨트롤러 간의 계약을 체결 또는 이행하는 데 필요한 경우

(a) is necessary for entering into, or performance of, a contract between the data subject and a data controller;

(b) 컨트롤러에 적용되며, 정보주체의 권리와 자유 및 정당한 이익을 보호하기 위한 적절한 조치를 규정하는 유럽연합 또는 회원국 법률이 허용하는 경우

(b) is authorised by Union or Member State law to which the controller is subject and which also lays down suitable measures to safeguard the data subject’s rights and freedoms and legitimate interests; or

(c) 정보주체의 명백한 동의에 근거하는 경우

(c) is based on the data subject’s explicit consent.

관련 교과서

3. 제2항 (a)호 및 (c)호의 사례의 경우, 컨트롤러는 정보주체의 권리와 자유 및 정당한 이익, 최소한 컨트롤러의 인적 개입을 확보하고 본인의 관점을 피력하며 결정에 대해 이의를 제기할 수 있는 권리를 보호하는 데 적절한 조치를 시행해야 한다.

3. In the cases referred to in points (a) and (c) of paragraph 2, the data controller shall implement suitable measures to safeguard the data subject’s rights and freedoms and legitimate interests, at least the right to obtain human intervention on the part of the controller, to express his or her point of view and to contest the decision.

4. 제2항의 결정은 제9조(2)의 (a)호와 (g)호가 적용되고, 정보주체의 권리와 자유 및 정당한 이익을 보호하는 적절한 조치가 갖추어진 경우가 아니라면 제9조(1)의 특별 범주의 개인정보를 근거로 해서는 안 된다.

4. Decisions referred to in paragraph 2 shall not be based on special categories of personal data referred to in Article 9(1), unless point (a) or (g) of Article 9(2) applies and suitable measures to safeguard the data subject’s rights and freedoms and legitimate interests are in place.

관련 교과서
전문가 해설 ISO 27701 전문 (Recitals) 지침 및 사례 법률 코멘트를 남겨주세요
전문가 해설

(EN)

Data Subject Request Letter Sample

Concern: Request to object to automated decision

Dear Madam, Dear Sir,

I am subject to a decision made by your [company | organization | etc.] based solely on [automated processing | profiling | etc.].


전체 텍스트에 액세스하려면

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 22 GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.


전체 텍스트에 액세스하려면

전문 (Recitals)

(71) 정보주체는 온라인 신용신청의 자동 거절이나 인적개입 없이 이루어지는 전자채용 관행 등 자동화 처리에만 근거하여 본인에 관한 개인적인 면을 평가하고 본인에게 법적인 영향 또는 유사하게 중대한 영향을 초래하는 조치를 포함할 수 있는 결정에 따르지 않을 권리를 가진다. 그 처리에는 개인에 관한 개인적인 측면을 평가하는 모든 형태의 개인정보 자동화 처리로 구성된 ‘프로파일링’이 포함되고, 특히 정보주체의 업무능력, 경제적 상황, 건강, 개인의 선호나 관심사, 신뢰성 또는 행동, 위치나 움직임에 관한 측면을 분석 또는 예측하며, 정보주체에게 법적인 영향이나 이에 상응하는 중대한 영향을 미치는 경우 그러하다. 그러나 프로파일링 등 그러한 처리에 근거한 의사결정은 컨트롤러가 적용받는 유럽연합 또는 회원국 법률에서 명시적으로 승인하는 경우 허용되어야 하며, 유럽연합 산하기구 또는 회원국 감독기구의 규정, 기준 및 권고에 따라 실시되는 사기 및 탈세의 감시·예방 목적으로나 컨트롤러가 제공하는 서비스의 보안 및 신뢰성을 보장하기 위해, 또는 정보주체와 컨트롤러 간의 계약 체결이나 이행에 필요하거나 정보주체가 명시적인 동의를 제공하였을 때 등이 이에 해당한다. 어떠한 경우에도, 그러한 처리는 정보주체에게 제공되는 특정 정보, 인적개입을 획득할 권리, 견해를 표현할 권리, 상기 평가 후 내려진 결정에 대한 설명을 얻을 권리, 해당 결정에 이의를 제기할 권리 등 적절한 안전장치를 적용받아야 한다. 그 같은 조치에 아동은 관여되지 않는다.

(71) The data subject should have the right not to be subject to a decision, which may include a measure, evaluating personal aspects relating to him or her which is based solely on automated processing and which produces legal effects concerning him or her or similarly significantly affects him or her, such as automatic refusal of an online credit application or e-recruiting practices without any human intervention. Such processing includes ‘profiling’ that consists of any form of automated processing of personal data evaluating the personal aspects relating to a natural person, in particular to analyse or predict aspects concerning the data subject's performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, where it produces legal effects concerning him or her or similarly significantly affects him or her. However, decision-making based on such processing, including profiling, should be allowed where expressly authorised by Union or Member State law to which the controller is subject, including for fraud and tax-evasion monitoring and prevention purposes conducted in accordance with the regulations, standards and recommendations of Union institutions or national oversight bodies and to ensure the security and reliability of a service provided by the controller, or necessary for the entering or performance of a contract between the data subject and a controller, or when the data subject has given his or her explicit consent. In any case, such processing should be subject to suitable safeguards, which should include specific information to the data subject and the right to obtain human intervention, to express his or her point of view, to obtain an explanation of the decision reached after such assessment and to challenge the decision. Such measure should not concern a child.

정보주체와 관련하여 공정하고 투명한 처리를 보장하기 위해서, 컨트롤러는 개인정보가 처리되는 특정 상황과 맥락을 고려하여 프로파일링을 위한 적절한 수학적 또는 통계적 절차를 사용하고, 특히 개인정보를 부정확하게 만드는 요인을 시정하고 오류의 위험을 최소화시키는 데 적절한 기술적 및 관리적 조치를 이행하며, 정보주체의 이익과 권리를 위해 관련된 잠재적 위험을 고려하고 특히 인종이나 민족출신, 정견, 종교나 신념, 노동조합의 가입여부, 유전적 상태나 건강 상태, 또는 성적취향에 근거하여 개인에 미치는 차별을 방지하는 방식 또는 그 같은 효과를 지니는 조치가 이루어지는 방식으로 개인정보를 보호해야 한다. 특별 범주의 개인정보에 근거한 자동 의사결정 및 프로파일링은 특정 조건에 따라서만 허용되어야 한다.

In order to ensure fair and transparent processing in respect of the data subject, taking into account the specific circumstances and context in which the personal data are processed, the controller should use appropriate mathematical or statistical procedures for the profiling, implement technical and organisational measures appropriate to ensure, in particular, that factors which result in inaccuracies in personal data are corrected and the risk of errors is minimised, secure personal data in a manner that takes account of the potential risks involved for the interests and rights of the data subject and that prevents, inter alia, discriminatory effects on natural persons on the basis of racial or ethnic origin, political opinion, religion or beliefs, trade union membership, genetic or health status or sexual orientation, or that result in measures having such an effect. Automated decision-making and profiling based on special categories of personal data should be allowed only under specific conditions.

(72) 프로파일링은 처리의 법적 근거 또는 데이터 보호원칙 등 개인정보 처리와 관련한 본 규정의 규칙을 적용받는다. 본 규정에 따라 설립된 유럽 데이터보호이사회(‘이사회’)는 그 같은 맥락에서 지침을 발간할 수 있어야 한다.

(72) Profiling is subject to the rules of this Regulation governing the processing of personal data, such as the legal grounds for processing or data protection principles. The European Data Protection Board established by this Regulation (the ‘Board’) should be able to issue guidance in that context.

지침 및 사례 법률 코멘트를 남겨주세요
[js-disqus]