① 정보주체의 수 : 위반 행위로 인해 영향을 받는 정보주체의 수로, 데이터베이스에 저장된 총 건수, 서비스 이용자의 수, 고객의 수 등이 해당

② 개인정보 처리 활동이 명시된 처리 목적과 일치 또는 연관성이 있는지 여부를 바탕으로 위반행위의 심각성을 평가하여야 함

③ 피해 수준 : 개인정보의 처리 결과가 개인에게 다양한 신체적‧물질적‧정신적 피해를 유발할 수 있는 경우에는 그 피해 수준에 따라 위반 행위의 심각성을 고려할 수 있음

④ 지속 기간 : 위반 행위의 지속 기간에 따라 적절한 예방 조치의 미실시, 필수 기술적‧관리적 조치 시행 역량 부재 여부 등을 판단할 수 있음

위반의 의도성을 기준으로 의도적 위반과 비의도적 위반으로 구분할 수 있으며, 의도적 위반은 비의도적 위반보다 심각하게 받아들여지므로 과징금 부과 가능성 또한 높음. 의도적 위반 행위로는 최고 경영진의 승인에 따른 불법적 처리 또는 DPO의 의견을 무시한 개인정보 처리 등이 해당

컨트롤러와 프로세서는 규정 위반으로 인해 정보주체에게 피해가 발생한 경우, 해당 개인에 대한 위반의 영향을 줄이기 위하여 가능한 모든 수단을 동원하여야 함

ex) 데이터 처리와 관련된 다른 컨트롤러 및 프로세서에게 연락, 위반 행위로 인한 피해 확대를 중단시키기 위한 조치 등

위반 행위가 발생한 개인정보 처리에 대하여 ① 제25조에 따른 Data protection by design and default의 원칙을 고려하였는지, ② 제32조에 따른 적정 수준의 보안 조치를 실행하였는지, ③ 제24조 에 따른 기술적‧관리적 조치의 준수와 공인된 행동규약 및 인증 메커니즘을 고려하였는지 등을 통하여 적정 수준의 보호조치 여부를 평가할 수 있음

동일한 유형의 위반 행위의 반복은 GDPR에 대한 컨트롤러‧프로세서의 불충분한 이해 또는 태만 여부를 보여줄 수 있기 때문에 감독기구의 과징금 산정 기준으로 활용될 수 있음

감독기구의 과징금 부과 여부 및 과징금 가액 결정 시 컨트롤러‧프로세서의 협조 수준에 대하여 상당한 고려가 이루어질 수 있음

위반 행위에 의해 영향을 받는 개인정보가 ① 민감정보 또는 범죄경력 및 범죄행위 관련 정보인 경우, ② 직접 또는 간접적으로 식별 가능한 경우, ③ 개인에게 즉각적인 피해와 고통을 야기할 경우 높은 수준의 과징금이 결정될 수 있음

컨트롤러의 위반 행위에 대한 감독기구 통지는 법적 의무이므로 그 이행에 따라 처벌 수준이 경감될 수는 없으나, 그 의무를 미이행한 경우 중대한 제재 대상으로 판단될 수 있음

감독기구는 동일 위반 행위 발생 시 과거 조치 내역을 참조하여 과징금 부과 여부 및 부과액 등을 결정하게 되므로 과거 사례는 현재 위반 행위의 평가에 있어 참조 기준이 될 수 있음

승인된 행동규약 및 인증 메커니즘을 준수한 경우, 감독기구는 해당 컨트롤러‧프로세서가 자체적으로 적절한 개인정보 보호조치를 취한 것으로 판단할 수 있음. 따라서 행동규약에 대한 미준수는 특정 위반 행위가 의도적인 것인지 혹은 태만에 의한 것인지를 입증하는 근거로 작용할 수 있음

위반 행위에 의한 이익은 금전적 제재가 없는 조치를 통해서는 보정이 될 수가 없기 때문에 컨트롤러 프로세서가 위반 행위를 통해 금전적 이익을 얻었다는 사실은 벌금 부과의 당위성을 강하게 증명할 수 있음