(Penalties)
(제84조)
개별 EU 회원국의 법률상 차이로 인해 서로 다른 수준의 벌칙이 존재할 것으로 예상된다. 특히 GDPR을 위반하였을 때 개별 회원국이 사법 제재(criminal sanctions)를 규정할 수 있어 컨트롤러 또는 프로세서에게 직접적인 벌칙이 이루어질 수도 있다.
개별 EU 회원국은 GDPR에 따라 각국 법률에 반영하는 조치를 2018년 5월 25일까지 EU 집행위원회에 통보하여야 한다.
• 제84조(벌칙) GDPR 관련 규정
• 제9장(벌칙)
개인정보보호법 관련 규정
Ⅸ 피해
구제 및 제재 규정 더 알아보기 10
과징금 부과 및 가액 평가 기준
감독기구는 과징금 부과 및 가액을 평가할 때 개별 사안별 모든 정황을 고려하여야 하며, 이 때 제83조에 명시된 부과 및 가액 결정에 대한 조문뿐 아니라, 제58조제2항에 따른 시정 조치, 전문 제148항에 따른 징계 등 다양한 제재 방안을 고려하여야 합니다.
#1 위반 행위의 성격, 심각성 및 지속 기간
위반 행위의 성격
위반 행위의 성격에 따라 최대 과징금은 서로 다르게 규정됩니다. 감독기구는 제83조제2항에 규정된 기준을 고려하여 과징금 부과 수준을 결정할 수 있는데, 이 때 최대 과징금이 높은 규정에 명시된 위반 행위가 상대적으로 낮은 규정의 위반 행위보다 반드시 높은 과징금을 부과 받는 것은 아닙니다.
또한 경미한 위반의 경우 또는 컨트롤러가 개인이고 과징금이 부담이 되는 경우 구체적인 평가를 통하여 전문 제148항에 따른 징계로 대체될 수 있습니다.
위반 행위의 심각성 및 지속 기간
GDPR은 위반 행위별 상세 과징금 부과 금액을 규정하고 있지 않고 있습니다. 다만 최대 금액에 대한 규정을 통하여 최대 과징금 부과 금액이 상대적으로 낮은 조항의 위반 행위인 경우 그 심각성(gravity)이 낮은 것으로 볼 수도 있습니다. 또한 위반의 성격, 정보주체의 수, 개인정보 처리의 범위와 목적, 피해 수준, 위반 행위의 지속 기간 등도 심각성 평가의 요소로 볼 수 있습니다.
① 정보주체의 수
위반 행위로 인해 영향을 받는 정보주체의 수로, 데이터베이스에 저장된 총 건수, 서비스 이용자의 수, 고객의 수 또는 국가 총 인구수 등이 해당합니다.
② 목적
명시된 정보 처리의 목적과 그 목적에 따른 적합한 처리 여부의 측면에서 개인정보 처리 작업을 평가하고, 위반 행위의 심각성을 평가하여야 합니다.
③ 피해 수준
전문 제74항에 따라 개인정보의 처리 결과가 개인에게 다양한 신체적·물질적·정신적 피해를 유발할 수 있는 경우에는 위반 행위의 심각성을 고려할 수 있습니다.
④ 지속 기간
위반 행위의 지속 기간은 심각성 평가의 주요 고려 사항입니다. 지속 기간에 따라 컨트롤러의 의도적 위반 행위, 적절한 예방 조치의 미실시, 필수적인 기술적·관리적 조치 시행 역량의 부재 여부 등을 판단할 수도 있습니다.
#2 위반의 의도성 또는 태만
의도성(intent)이란 위반 행위에 대한 지식과 고의성을 의미합니다. 비의도적 (unintentional) 위반은 법규 의무를 위반하였으나 위반을 유발할 의도가 없었음을 의 미합니다.
의도적 위반은 비의도적 위반보다 심각하게 받아들여지므로 과징금 부과 가능성 또한 높습니다. 의도적 위반 행위는 최고 경영진의 승인에 따른 불법적 개인정보 처리 또는 DPO의 의견을 무시한 개인정보 처리 등이 해당됩니다.
태만 행위는 현행 정책 미준수, 인적 오류(human error), 공개 정보 내 개인정보 포함 여부 미확인, 적정 시점의 기술적 업데이트 실패, (단순 정책 미적용이 아닌) 정책 자체의 미수립 등이 해당됩니다.
#3 정보주체의 피해를 경감하기 위한 조치
컨트롤러와 프로세서는 규정 위반 행위로 인해 정보주체에게 피해가 발생한 경우,
Ⅸ 피해
구제 및 제재 규정
책임 있는 당사자로서 해당 개인에 대한 부정적 영향을 줄이기 위하여 가능한 모든 수단을 동원하여야 합니다.
※ 예 : 데이터 처리와 관련된 다른 컨트롤러·프로세서에게 연락, 이미 발생한 것 보다 심각한 영향을 미칠 수 있는 수준 또는 단계로 피해 확대를 중단시키기 위한 조치 등
#4 적절한 기술적·관리적 보호조치의 고려 여부
감독기구는 위반 행위가 발생한 개인정보 처리에 대하여 ① 제25조에 따른 data protection by design and by default의 원칙을 고려하였는지, ② 제32조에 따른 적정 수준의 보안 조치를 실행하였는지, ③ 제24조에 따른 기술적·관리적 조치의 준수와 공인된 행동규약 및 인증 메커니즘을 고려하였는지 등을 통하여 적정 수준의 보호조치 여부를 평가할 수 있습니다.
#5 과거 위반 행위 확인 및 조치 여부
감독기구는 ① 컨트롤러·프로세서의 동일 위반 행위 발생 여부, ② 컨트롤러·프로세 서의 동일 방식의 규정 위반 행위 발생 여부 확인을 통하여 현재 개인정보 처리 위반 행 위와의 관련성을 평가할 수 있습니다.
#6 위반 행위 개선을 위한 감독기구와의 협조
GDPR 제83조제2항은 과징금 부과 여부 및 과징금 가액 결정시 컨트롤러·프로세서 의 협조 수준에 따라 상당한 고려가 이루어질 수 있다고 규정하고 있습니다.
#7 위반으로 인해 영향을 받게 되는 개인정보의 종류
위반 행위를 통하여 영향을 받는 개인정보가 다음에 해당하는지 여부에 따라 과징금 가액 결정은 상이할 수 있습니다. ① 민감정보 또는 범죄경력 및 범죄행위 관련 정보인
경우, ② 처리되는 정보가 직접 또는 간접적으로 식별 가능한 경우, ③ 처리되는 정보의 유출이 개인에게 즉각적인 피해와 고통을 야기할 경우, ④ 개인정보 접근통제를 위한 기술적 보호조치가 적용된 경우
#8 감독기구에 위반 행위 발생 사실 통지 여부
컨트롤러의 위반 행위에 대한 감독기구 통지는 법적 의무이므로 그 이행에 따라 처벌 수준이 경감될 수는 없습니다. 다만 그 의무를 미이행한 컨트롤러·프로세서는 보다 중대한 제재 대상으로 판단될 수 있습니다.
#9 과거 동일한 사안에 대한 감독기구의 시정 조치 내역
감독기구는 동일 위반 행위 발생 시 컨트롤러·프로세서의 과거 조치 내역을 참조하여 과징금 부과 여부 및 과징금 결정 가액 등을 결정하게 되므로 과거 사례는 현재 위반 행위의 평가에 있어 참조 기준이 될 수 있습니다.
#10 승인된 행동규약 및 인증 메커니즘의 준수 여부
감독기구는 제57조제1항(a)에 따른 GDPR의 감시 및 집행 의무의 이행을 위하여 컨트롤러·프로세서에게 승인된 행동규약을 준수하도록 할 수 있습니다. 이때 컨트롤러와 프로세서는 모니터링 기구에 의해 행동규약의 준수 여부가 감시되며, 이러한 메커니즘을 통하여 감독기구는 추가 조치 필요 여부를 판단 할 수 있습니다.
#11 위반으로 인해 직·간접적으로 얻은 금전적 이익 또는 회피한 손실
위반 행위를 통하여 얻은 이익에 대한 정보는 과징금 부과의 강력한 근거가 될 수 있습니다. 따라서 기업이 위반 행위를 통하여 얻은 직·간접적 이익이나 회피한 손실 등을 검토하는 것은 중요합니다.
Ⅸ 피해
구제 및 제재 규정 더 알아보기 11
GDPR의 제재 규정
제재 종류 주요 내용 관련 조문
손해배상 (제82조)
• GDPR 위반의 결과로 물질적 또는 비물질적 손해를 입은 정보주체는 그 손해에 대하여 컨트롤러나 프로세서로부터 배상을 받을 수 있다.
-• 컨트롤러는 GDPR을 위반하는 처리가 일으킨 손해에 대하여 책임을 져야 한다.
• 다만 손해를 일으킨 사건에 대하여 책임이 없음을 입증하면, 컨트롤러 또는 프로세서의 책임 면제가 가능하다.
• 복수의 컨트롤러 또는 프로세서가 일으킨 손해에 대하여 책임이 있는 경우 정보주체의 실효적 배상을 위하여 모든 손해에 대한 책임을 부담한다.
• 이 경 우 하 나 의 컨 트 롤 러 나 프 로 세 서 가 완 전 한 배 상 을 하 면 다 른 컨트롤러나 프로세서에 대한 구상권 행사가 가능하다.
과징금 (제83조)
• EU 회원국 감독기구는 과징금 부과 권한이 있다.
• EU 회원국의 법체계에 과징금 부과 근거가 없는 경우, 회원국의 법원이 해당 과징금을 부과할 수도 있다.
• 컨 트 롤 러 나 프 로 세 서 가 고 의 또 는 과 실 로 G D P R 의 여러 규 정 을 위반한다면, 과징금 총액은 가장 중한 위반에 규정된 금액을 초과하여서는 안 된다.
-전세계 연간 매출액 2% 또는 1천만 유로 중 더 큰 금액 부과
• 컨트롤러 및 프로세서 의무 위반
제8조, 제11조, 제25~39조, 제42조, 제43조
• 인증기관 의무 위반 제42조, 제43조
• 공인된 행동규약 준수에 대한 모니터링 의무 위반 제41조제4항 전세계 연간 매출액 4% 또는 2천만 유로 중 더 큰 금액 부과
• 동의의 조건을 포함하여 개인정보 처리 기본 원칙 위반 제5~7조, 제9조
• 정보주체의 권리 보장 의무 위반 제12~22조
• 제3국이나 국제기구의 수령인에게 개인정보 이전 시 준수 의무 위반 제44~49조
• 제24~43조에 따라 채택된 EU 회원국 법률 의무 위반
-• 감독기구가 내린 명령 또는 정보 처리의 제한 불복
• 감독기구의 개인정보 이동 중지 명령 미준수 및 정보주체의 열람권 보장 의무 위반
제58조제2항 제58조제1항
벌칙 (제84조)
• 회원국의 과징금이 부과되지 않는 위반에 대한 벌칙 규정 신설 의무(제1항)
• 각 회원국은 제1항에 따라 채택하는 법 규정을 2018년 5월 25일까지, 그리고 해당 법 규정에 영향을 미치는 후속 개정을 지체 없이 유럽 집행위원회에 통보하여야 한다.
-1. GDPR 적용 대상 국가의 감독기구 현황 2. 주요 질의 및 답변(Q&A) 3. 사업자를 위한 EU 집행위원회의 7단계 체크리스트