• Legalinsight
  • Legaledu
  • 법률신문 법률정보

    화우

    EU 개인정보 보호 작업반, 「GDPR에 따른 과징금 적용 및 설정에 대한 가이드라인」발표

    입력 :
    글자크기 : 확대 최소
  • 인쇄
  • 메일보내기
  • 기사스크랩
  • 스크랩 보기
  • [ 2017.11.29 ]


    화우는 2018. 5.부터 시행될 EU 개인정보 보호법(GDPR)에 대하여 소개해드린 바 있습니다. 본 법의 본격적인 시행을 앞두고, EU 산하 개인정보 보호 관련 자문기구인 제29조 개인정보 보호작업반(Article 29 Working party)에서「GDPR에 따른 과징금 적용 및 설정에 대한 가이드라인」을 발표하였습니다. 본 가이드라인은 GDPR 제83조 제2항에 따른 과징금 산정 시 고려시항에 대한 구체적 해석지침을 제시하였는데, 주요시항을 대략적으로 소개하면 다음과 같습니다.

     

     

     (a) 침해의 성격, 심각성, 지속성

    ■ 침해의성격

    - 원칙적으로 컨트롤러/프로세서의 침해는 제83조 제4항 내지 제6항에 규정된 침해의 성격에 따라 분류됨

    - 제83조제2항의 일반 기준에 비추어, 구체적 사실관계를 평가하여 과징금 및 시정조치의 수위가 달라질 수 있음

    ■ 침해의심각성

    - 처리 정보의 범위, 처리 목적, 영향을 받은 정보주체의 수, 피해 수준을 고려

    ■ 침해의 지속성을 평가하는 요소

    - 컨트롤러의 고의적 행위인지

    - 적절한 예방조치를 취하지 못하였는지

    - 필요한 기술적 및 조직적 조치를 취할 능력이 없는 지


    (b) 침해의 고의 또는 과실여부

    ■ 고의를 암시하는 경우

    - 컨트롤러의 최고 경영진의 명시적 승인 등

    ■ 과실을 암시하는 경우

    - 기존 정책을 확인하고 준수하는 것을 실패한 경우 등


    (c) 정보주체의 피해를 완화하기 위한 컨트롤러 또는 프로세서의 조치

    ■ 침해 발생 후 컨트롤러가 아래와 같은 사후 조치를 한 사정이 고려됨

    - 데이터 컨트롤러/프로세서가 해당 침해가 그 이상의 심각한 영향을 미칠 수준이나 단계로 확장시키는 것을 중단하기 위하여 적시에 조치를 취한 것 등


    (d) 기술적·조직적 조치를 고려한 컨트롤러 또는 프로세서의 책임 정도

    ■ 적절한 기술적·조직적 보호조치를 취했는지 평가하는 기준

    - 컨트롤러가 설계상 또는 기본적인 개인정보 보호원칙을 따른 기술적 조치를 실행하였는가(제25조) 등


    (e) 컨트롤러 또는 프로세서에 의한 과거의 침해사고 실적

    ■ 컨트롤러/프로세서가 이전에 동일한 침해를 저지른 적 있는지 등


    (f) 위반행위를 시정하고 침해 가능성을 완화하기 위한 행정 당국과의 협력 정도

    ■ 기관이 침해를 현저하게 완화시킨 경우, 해당 기관이 행정당국이 요구하는 “특정한 방식”으로 협조 의무를 이행하였는지


    (g) 침해의 영향을 받는 개인정보의 범주

    ■ 침해가 제9조, 제10조의 특수한 개인정보(민감정보, 범죄정보)처리와 관련이 있는지 등


    (h) 침해가 감독 당국에 알려진 방식(특히 컨트롤러/프로세서가 침해 사실을 통지하였는지)

    ■ 컨트롤러/프로세서는 개인정보 침해에 대한 통지할 의무가 있음

    ■ 통지 의무를 이행하지 않고 부주의하게 행동한 경우, 경미한 위반으로 분류되기 어려움


    (i) 이전에 동일한 문제에 대하여 과금 부과를 받은 적이 있는 경우

    ■ (e)의 기준과는 구별되는 것으로, 이 평가기준은 동일한 컨트롤러/프로세서가 단지 “동일한 문제”에 관하여 내려진 조치를 고려함


    (j) 승인된 행동강령(제40조) 및 인증제도(제42조) 준수

    ■ 행동강령이나 인증제도는 의무적인 것은 아니나, GDPR은 기업의 GDPR 준수 입증을 위해 승인된 행동강령과 인증제도(approved codes of conduct and certification mechanisms)를 이용할 것을 권장하고 있음


    (k) 위반으로 인해 직접 또는 간접적으로 얻은 재정적인 이익 또는 회피된 손해와 같이 침해사건의 상황에 적용 가능한 기타 가중 또는 감경 요소

    ■ 침해결과로 얻어진 이익에 관한 정보는 특히 중요


    화우는 개인정보 관련 자문 및 소송에 관하여 풍부한 경험을 갖고 있어 언제든 고객에게 신속하고 정확한 자문을 제공할 수 있습니다. 도움이 필요하거나 궁금한 사항이 있으면 연락 주십시오.



    이숭기 변호사 (soongki@hwawoo.com)

    이광욱 변호사 (kwlee@hwawoo.com)

    이근우 변호사 (klee@hwawoo.com)