GDPR EU개인정보보호 가이드: Automated Decision Making

장건 변호사(한국/미국)

BNL Law

상담신청: https://www.bnl.legal/contacts

기타문의: official@bnl.legal

 

GDPR에 따르면, 개인은 전적으로 자동화된 처리(a decision that is based solely on automated processing, 예: 알고리즘 기반 처리)에 따라 내려진 결정에 따라 법적 구속력이 있거나 개인에게 중대한 영향을 미치는 결과를 받아서는 안 됩니다.

 

그리고 해당 결정이 개인의 법적 권리나 법적 지위에 영향을 미치는 경우(예: 투표권 등)에는 법적 효과를 발생시키는 것으로 간주될 수 있습니다.

또한, 자동처리가 개인의 상황, 행동 또는 선택에 중대한 영향을 미치는 경우에도 적용됩니다. 예를 들어, 자동화 처리 결과로 온라인 대출 신청이 거부되는 경우가 이에 해당합니다.

 

다만, 다음의 경우에 한해 자동화된 처리를 기반으로 한 의사결정이 허용됩니다:

1. 개인과의 계약 체결 또는 계약 이행을 위해 반드시 필요한 경우.
   예: 온라인 대출 신청 등, 같은 목적을 달성할 다른 수단이 없을 때.
2. 특정한 EU 또는 국가 법령이 알고리즘 사용을 허용하며, 개인의 권리, 자유 및 정당한 이익을 보호하기 위한 적절한 보호조치를 규정하는 경우.
   예: 조세 회피 방지를 위한 법령 등.
3. 개인이 알고리즘 기반 결정에 대해 명시적으로 동의한 경우.

단, 위와 같은 경우에도 해당 결정은 개인의 권리, 자유, 정당한 이익을 보호해야 하며, 다음과 같은 보호 조치를 시행해야 합니다:

• 알고리즘이 사용된 의사결정의 논리에 대해 정보를 제공해야 합니다.
• 개인은 사람의 개입을 요청할 권리가 있습니다.
• 처리의 잠재적 결과에 대해 설명해야 합니다.
• 개인은 결정에 대해 이의를 제기할 권리를 가져야 합니다.

회사는 위와 같은 권리를 보장하기 위해, 개인이 자신의 견해를 표현하고 결정을 다툴 수 있는 절차적 장치를 마련해야 합니다.

 

특히, 민감정보 등 특수한 범주의 개인정보를 사용하는 경우에는 특별한 주의가 필요합니다.

 

이 경우 다음의 경우가 아닌 한, 자동화된 결정에서 특수한 범주의 개인정보를 사용하는 것은 허용되지 않습니다:

• 개인이 명시적으로 동의한 경우.
• EU 또는 국가 법률상 중대한 공익을 이유로 처리가 필요한 경우.

 

이에 더하여, 아동의 경우 자동화된 처리를 통해 법적 효과나 그에 상응하는 중대한 영향을 초래하는 결정을 내리는 것은 피해야 합니다.

 

예시

A회사는 온라인으로 대출을 제공하는 인터넷은행이며, 고객이 개인정보를 입력하면 알고리즘이 대출 제공 여부 및 적용할 이자율을 결정합니다.

 

이 경우, 회사는 해당 알고리즘의 결과를 고객에게 통보하기 전에 해당 결정을 검토하고, 고객에게 자신의 의견을 표현할 수 있으며, 결정에 이의를 제기할 수 있는 권리가 있음을 안내해야 합니다.

 

즉, 고객은 알고리즘 기반 결정의 대상이 되지 않을 권리를 가집니다.

 

References

• Article 4(4) and Article 22 and Recitals (71) and (72) of the GDPR
• EDPB Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation (EU) 2016/679

 

 

상담신청: https://www.bnl.legal/contacts

기타문의: official@bnl.legal

관련글: https://kunchang.tistory.com/142

GDPR EU개인정보보호 가이드: 적용대상

관련글: https://kunchang.tistory.com/59

미국 Privacy Policy 체크리스트 (캘리포니아주)

관련글: https://kunchang.tistory.com/121

한국 개인정보처리방침 체크리스트