GDPR에 따른 정당한 이해관계 이해

GDPR(일반 데이터 보호 규정) 블로그 시리즈에 대한 Dennis의 시작 게시물 에 언급된 것처럼 EU에서 설립되거나 운영되는 조직은 개인 데이터 처리에 대한 법적 근거가 있어야 합니다. GDPR은 이러한 처리를 위한 6가지 법적 근거(동의, 정당한 이익, 계약, 법적 의무, 중요한 이익 및 공공 업무)를 제공합니다. 새로운 고객 또는 사용자를 확보하려는 대부분의 조직은 처리의 허용 기준으로 동의 또는 정당한 이익을 고려할 것입니다. 지난 주에 우리는 개인정보 보호 전문가인 Elizabeth로부터 동의 에 대해 들었습니다 . 이번 주에는 "정당한 이익"에 대해 살펴보겠습니다. 정당한 이익과 관련하여 상당히 혼란스러운 부분이 있으므로 이에 대해 어떻게 생각하는지 명확히 하고 알려 드리겠습니다!

언어
먼저 정당한 이익에 대한 GDPR 6조 1항(f) 의 관련 표현을 살펴보겠습니다 .

처리는 다음 중 하나 이상이 적용되는 경우에만 합법적입니다.

(f) 개인정보 보호를 필요로 하는 정보주체의 이익 또는 기본적 권리와 자유에 의해 그러한 이익이 우선시되는 경우를 제외하고 컨트롤러 또는 제3자가 추구하는 정당한 이익의 목적을 위해 처리가 필요한 경우, 특히 여기서 데이터 주체는 어린이입니다.

정당한 이익을 사용하여 동의가 필요하지 않은 다양한 상황을 처리할 수 있다고 생각하기 쉽습니다. 그러나 이 섹션에 대한 광범위한 해석은 공개적으로 권장되지 않습니다. “GDPR 6조, 특히 Art. 6(f) GDPR(합법적 이익 근거)은 피해야 합니다.” 2017년 4월 4일 채택된 ePrivacy Regulation(2002/58/EC)에 대한 제안된 규정에 대한 29조 데이터 보호 작업반, 의견 01/2017을 참조하십시오 .

그렇다면 조직은 어디에 선을 긋나요?

놀이에 대한 정당한 관심
먼저 정당한 이익 이 무엇인지 살펴보겠습니다 . GDPR은 직원 및 고객과 관련된 내부 관리 목적을 위해 사기를 방지하고 네트워크 및 정보 보안을 보장하고 가능한 범죄 행위 또는 공공 보안 위협을 관할 기관에 보고하기 위해 개인 데이터를 처리하는 것과 같은 몇 가지 예를 제공합니다. 또한 내부 또는 외부 기업 거버넌스 또는 관련 법규 준수 요구 사항을 충족하는 데 필요한 데이터 처리는 정당한 이익으로 간주될 수 있습니다.

아마도 덜 분명한 예인 GDPR의 Recital 47 은 "직접 마케팅 목적을 위한 개인 데이터 처리"를 정당한 이익으로 지적합니다. 여기에서 우리가 겪었던 일반적인 오해는 이 언어가 모든 마케팅 및 소프트 옵트인을 정당화한다는 것입니다. 이것이 사실이 아닌 이유를 더 잘 이해하려면 먼저 이 문구 가 말하지 않는 것을 고려하는 것이 도움이 됩니다 . 이것이 모든 이메일 마케팅 또는 모든 직접 마케팅 자료 전송이 허용된다는 의미는 아닙니다.

둘째, GDPR은 진공 상태에서 작동하지 않는다는 점을 기억하는 것이 중요합니다. 직접 마케팅을 위해 조직과 마케팅 담당자는 전화, 팩스, 이메일, SMS 및 기타 전자 통신 채널을 통해 전송되는 마케팅에 대한 추가 동의 규칙을 제공 하는 개인정보 보호 및 전자 통신 지침 (ePrivacy 지침) 과 GDPR이 어떻게 작동하는지 염두에 두어야 합니다. , 현재 업데이트 중입니다. 현재 ePrivacy Directive에 따라 (i) 판매 시점에서 수집이 발생하고 (ii) 해당 시점에서 옵트아웃 옵션이 제공되지 않는 한 이메일 및 SMS 마케팅에 대한 옵트인 동의가 필요합니다. 따라서 일부 1단계 마케터는 판매 및 옵트아웃(현재로서는)을 기반으로 하는 직접 마케팅에 대한 합법적인 근거를 가지고 있지만, 다른 모든 경우에 마케터는 옵트인 동의 요구 사항을 준수해야 합니다. GDPR.

정당한 이익을 구성하는 것은 관련 기관의 더 많은 지침과 결정과 향후 개정된 ePrivacy Directive의 출판으로 시간이 지남에 따라 더 명확해질 것입니다. 그 동안 우리는 정당한 이익을 기반으로 한 처리 원칙을 준수하기 위한 프레임워크로 아래에 설명된 GDPR에 의해 설정된 매개변수와 이러한 예를 사용하고 있습니다.

정당한 이익의 함정 피하기
정당한 이익이 진정으로 존재한다는 확신을 가지기 위해 조직은 특정 처리 의 필요성 과 처리 이익 과 데이터 주체의 권리 사이의 균형을 맞춘 후 결론을 모두 분석하고 문서화해야 합니다. 이를 합법적인 이해관계 평가 ("LIA")라고 합니다. 처리의 필요성에 관해서 는 다음과 같은 질문을 습관화하는 것이 좋습니다. 개인 데이터를 처리하지 않고도 동일한 목표를 달성할 수 있습니까? 대답이 "예"인 경우 가장 좋은 방법은 정당한 이익을 처리의 근거로 삼고 동의를 얻는 것입니다.

대답이 "아니오"인 경우 다른 방법으로 목적을 달성할 수 없는 경우 좋은 다음 단계는 다음과 같은 질문을 하는 것입니다. 처리 필요성이 데이터 주체의 이익이나 권리를 능가합니까? 이 질문에 답할 때 데이터 주체는 처리의 근거로 정당한 이익에 대해 이의를 제기할 권리가 있다는 점을 기억하는 것이 중요합니다. 이러한 이의는 처리 조직에서 설정한 "강력한" 이유가 있는 경우에만 극복할 수 있습니다.

이러한 제약 조건을 감안할 때 정당한 이익을 처리 기준으로 삼을 때 필요성에 대한 서면 기록을 유지하고 결론의 균형을 유지하는 프로세스를 마련하는 것이 좋습니다. 이는 데이터 주체가 어린이인 경우 특히 중요합니다. 그리고 일반적인 관행으로서 정당한 이익의 함정을 피하고 처리의 필요성과 데이터가 처리되는 개인의 권리와 자유를 적절히 고려했음을 입증하는 데 도움이 될 것입니다.

주의사항
조직이 GDPR 처리의 근거로 정당한 이익에 의존하는 경우, 조직은 데이터를 수집하는 개인에게 정당한 이익이 무엇이며 반대할 권리가 있음을 알려야 합니다. 이는 데이터 수집 시점에서 수행할 수 있으며, 반대 통지의 경우 개인의 권리를 다루는 개인 정보 보호 고지 섹션에서 수행할 수 있습니다. GDPR 및 개인 정보 보호와 관련된 모든 것과 마찬가지로 이를 수행하는 가장 좋은 방법은 처리 활동에 대해 사전에 투명하게 공개하는 것입니다.