August 16, 2025
2 min read
개인정보보호규정(GDPR) 제6조에 따라, “정당한 이익” 은(는) 개인 데이터 처리를 위한 6가지 적법한 근거 중 하나로 규정되어 있습니다. 이 개념은 컨트롤러가 유효한 이유를 가지고 있고 특정 조건이 충족되는 경우 처리를 허용합니다. 유럽연합 사법재판소(CJEU)는 Case C-13/16 에서 세 가지 누적 요건을 제시했습니다:
이익은 정당해야 합니다:
컨트롤러의 이익은 합법적이고 명확하게 표현되어야 하며, 법률이나 공공 정책에 위배되지 않아야 합니다. 예를 들어, GDPR 전문 47항에서는 “직접 마케팅 목적의 개인 데이터 처리는 정당한 이익을 위해 수행되는 것으로 간주될 수 있다” 고 인정합니다(GDPR, 전문 47항).
데이터 처리의 필요성:
처리는 명시된 정당한 이익을 위해 반드시 필요해야 하며, 정보 주체의 권리를 덜 침해하는 대체 수단이 없어야 합니다. 개인 데이터를 처리하지 않고도 목표를 달성할 수 있다면, 정당한 이익에 의존할 수 없습니다.
이익형량 심사:
컨트롤러의 이익이 정보 주체의 기본적인 권리와 자유를 침해해서는 안 됩니다. 이 이익형량 심사는 다음 사항에 대한 평가를 요구합니다:
여러 연구에서는 “이익형량 심사는 여전히 주관적인 작업으로 남아 컨트롤러에게 불확실성을 야기한다” 고 강조합니다(Voigt & von dem Bussche, 2017, p. 55). 특히, 직접 마케팅은 잠재적인 정당한 이익으로 명시적으로 언급되지만, 이것이 컨트롤러가 이익형량 심사를 수행하거나 정보 주체에게 투명성을 제공할 의무를 면제하는 것은 아닙니다.
연구에 따르면 “정당한 이익은 동의를 얻는 것이 비현실적인 상황에서 종종 사용되지만, 컨트롤러는 자신의 평가를 적절히 문서화하고 지속적인 검토를 보장해야 한다” 고 합니다(Kamarinou, Millard & Singh, 2016). 제29조 작업반(WP29)의 가이드라인은 정당한 이익의 사용이 포괄적인 정당화 사유가 아니며, 항상 GDPR 책임성의 더 넓은 틀 안에서 고려되어야 함을 강조합니다(WP29 의견서 06/2014).
요약하자면, GDPR에 따른 정당한 이익은 데이터 처리를 위한 유연한 근거를 제공하지만, 컨트롤러는 필요성과 비례성을 입증하고, 강력한 이익형량 심사 및 투명성 조치를 통해 정보 주체의 권리를 존중해야 합니다.
