일반 위반 VS 심각한 위반
일반 위반 : 전세계 연간 매출액 2% 또는 1천만 유로 중 높은 금액(최대 과징금의 경우) |
|
---|---|
컨트롤러 및 프로세서 의무 위반 |
제8조, 제11조, 제25조 부터 제39조 |
인증 기관 의무 위반 |
제42조, 제43조 |
행동규약 준수 모니터링 의무 위반 |
제41조 제4항 |
심각한 위반 : 전세계 연간 매출액 4% 또는 2천만 유로 중 높은 금액(최대 과징금의 경우) |
|
---|---|
동의의 조건을 포함하여, 개인정보 처리 기본원칙 위반 |
제5조부터 제7조, 제9조 |
정보주체의 권리 보장 의무 위반 |
제12조 ~ 제22조 |
제3국이나 국제조직의 수령인에게 개인정보 이전 시 준수 의무 위반 |
제44조 ~ 제49조 |
제 9장에 따라 채택된 EU 회원국 법률 의무 위반 |
- |
감독기구가 내린 명령 또는 정보 처리의 제한 불복 |
제58조 제2항 |
개인정보 이동 중지 미준수 및 열람 기회 제공 의무 위반 |
제58조 제1항 |
과징금 부과의 11가지 기준
- 01위반 행위의 성격, 심각성 및 지속 기간
① 정보주체의 수 : 위반 행위로 인해 영향을 받는 정보주체의 수로, 데이터베이스에 저장된 총 건수, 서비스 이용자의 수, 고객의 수 등이 해당
② 개인정보 처리 활동이 명시된 처리 목적과 일치 또는 연관성이 있는지 여부를 바탕으로 위반행위의 심각성을 평가하여야 함
③ 피해 수준 : 개인정보의 처리 결과가 개인에게 다양한 신체적‧물질적‧정신적 피해를 유발할 수 있는 경우에는 그 피해 수준에 따라 위반 행위의 심각성을 고려할 수 있음
④ 지속 기간 : 위반 행위의 지속 기간에 따라 적절한 예방 조치의 미실시, 필수 기술적‧관리적 조치 시행 역량 부재 여부 등을 판단할 수 있음
- 02위반의 의도성 또는 태만
위반의 의도성을 기준으로 의도적 위반과 비의도적 위반으로 구분할 수 있으며, 의도적 위반은 비의도적 위반보다 심각하게 받아들여지므로 과징금 부과 가능성 또한 높음. 의도적 위반 행위로는 최고 경영진의 승인에 따른 불법적 처리 또는 DPO의 의견을 무시한 개인정보 처리 등이 해당
- 03정보주체의 피해를 경감하기 위한 조치
컨트롤러와 프로세서는 규정 위반으로 인해 정보주체에게 피해가 발생한 경우, 해당 개인에 대한 위반의 영향을 줄이기 위하여 가능한 모든 수단을 동원하여야 함
ex) 데이터 처리와 관련된 다른 컨트롤러 및 프로세서에게 연락, 위반 행위로 인한 피해 확대를 중단시키기 위한 조치 등
- 04적절한 기술적·관리적 보호조치의 고려 여부
위반 행위가 발생한 개인정보 처리에 대하여 ① 제25조에 따른 Data protection by design and default의 원칙을 고려하였는지, ② 제32조에 따른 적정 수준의 보안 조치를 실행하였는지, ③ 제24조 에 따른 기술적‧관리적 조치의 준수와 공인된 행동규약 및 인증 메커니즘을 고려하였는지 등을 통하여 적정 수준의 보호조치 여부를 평가할 수 있음
- 05과거 위반 행위 확인 및 조치 여부
동일한 유형의 위반 행위의 반복은 GDPR에 대한 컨트롤러‧프로세서의 불충분한 이해 또는 태만 여부를 보여줄 수 있기 때문에 감독기구의 과징금 산정 기준으로 활용될 수 있음
- 06위반 행위 개선을 위한 감독기구와의 협조
감독기구의 과징금 부과 여부 및 과징금 가액 결정 시 컨트롤러‧프로세서의 협조 수준에 대하여 상당한 고려가 이루어질 수 있음
- 07위반으로 인해 영향을 받게 되는 개인정보의 종류
위반 행위에 의해 영향을 받는 개인정보가 ① 민감정보 또는 범죄경력 및 범죄행위 관련 정보인 경우, ② 직접 또는 간접적으로 식별 가능한 경우, ③ 개인에게 즉각적인 피해와 고통을 야기할 경우 높은 수준의 과징금이 결정될 수 있음
- 08감독기구에 위반 행위 발생 사실 통지 여부
컨트롤러의 위반 행위에 대한 감독기구 통지는 법적 의무이므로 그 이행에 따라 처벌 수준이 경감될 수는 없으나, 그 의무를 미이행한 경우 중대한 제재 대상으로 판단될 수 있음
- 09과거 동일한 사안에 대한 감독기구의 시정 조치 내역
감독기구는 동일 위반 행위 발생 시 과거 조치 내역을 참조하여 과징금 부과 여부 및 부과액 등을 결정하게 되므로 과거 사례는 현재 위반 행위의 평가에 있어 참조 기준이 될 수 있음
- 10승인된 행동규약 및 인증 메커니즘의 준수 여부
승인된 행동규약 및 인증 메커니즘을 준수한 경우, 감독기구는 해당 컨트롤러‧프로세서가 자체적으로 적절한 개인정보 보호조치를 취한 것으로 판단할 수 있음. 따라서 행동규약에 대한 미준수는 특정 위반 행위가 의도적인 것인지 혹은 태만에 의한 것인지를 입증하는 근거로 작용할 수 있음
- 11위반으로 인해 직·간접적으로 얻은 금전적 이익 또는 회피한 손실
위반 행위에 의한 이익은 금전적 제재가 없는 조치를 통해서는 보정이 될 수가 없기 때문에 컨트롤러 프로세서가 위반 행위를 통해 금전적 이익을 얻었다는 사실은 벌금 부과의 당위성을 강하게 증명할 수 있음