모바일메뉴닫기
서브비쥬얼 서브비쥬얼

HOMEGDPR 신고 및 위반사례과징금 부과기준

과징금 부과기준

일반 위반 VS 심각한 위반

과징금 부과기준 일반 위반

일반 위반 : 전세계 연간 매출액 2% 또는 1천만 유로 중 높은 금액(최대 과징금의 경우)

컨트롤러 및 프로세서 의무 위반
(예: Data protection by design and by default, 처리활동의 기록 등)

제8조, 제11조, 제25조 부터 제39조

인증 기관 의무 위반

제42조, 제43조

행동규약 준수 모니터링 의무 위반

제41조 제4항
과징금 부과기준 심각한 위반

심각한 위반 : 전세계 연간 매출액 4% 또는 2천만 유로 중 높은 금액(최대 과징금의 경우)

동의의 조건을 포함하여, 개인정보 처리 기본원칙 위반

제5조부터 제7조, 제9조

정보주체의 권리 보장 의무 위반

제12조 ~ 제22조

제3국이나 국제조직의 수령인에게 개인정보 이전 시 준수 의무 위반

제44조 ~ 제49조

제 9장에 따라 채택된 EU 회원국 법률 의무 위반

-

감독기구가 내린 명령 또는 정보 처리의 제한 불복

제58조 제2항

개인정보 이동 중지 미준수 및 열람 기회 제공 의무 위반

제58조 제1항

과징금 부과의 11가지 기준

  • 01위반 행위의 성격, 심각성 및 지속 기간

    ① 정보주체의 수 : 위반 행위로 인해 영향을 받는 정보주체의 수로, 데이터베이스에 저장된 총 건수, 서비스 이용자의 수, 고객의 수 등이 해당

    ② 개인정보 처리 활동이 명시된 처리 목적과 일치 또는 연관성이 있는지 여부를 바탕으로 위반행위의 심각성을 평가하여야 함

    ③ 피해 수준 : 개인정보의 처리 결과가 개인에게 다양한 신체적‧물질적‧정신적 피해를 유발할 수 있는 경우에는 그 피해 수준에 따라 위반 행위의 심각성을 고려할 수 있음

    ④ 지속 기간 : 위반 행위의 지속 기간에 따라 적절한 예방 조치의 미실시, 필수 기술적‧관리적 조치 시행 역량 부재 여부 등을 판단할 수 있음

  • 02위반의 의도성 또는 태만

    위반의 의도성을 기준으로 의도적 위반과 비의도적 위반으로 구분할 수 있으며, 의도적 위반은 비의도적 위반보다 심각하게 받아들여지므로 과징금 부과 가능성 또한 높음. 의도적 위반 행위로는 최고 경영진의 승인에 따른 불법적 처리 또는 DPO의 의견을 무시한 개인정보 처리 등이 해당

  • 03정보주체의 피해를 경감하기 위한 조치

    컨트롤러와 프로세서는 규정 위반으로 인해 정보주체에게 피해가 발생한 경우, 해당 개인에 대한 위반의 영향을 줄이기 위하여 가능한 모든 수단을 동원하여야 함

    ex) 데이터 처리와 관련된 다른 컨트롤러 및 프로세서에게 연락, 위반 행위로 인한 피해 확대를 중단시키기 위한 조치 등

  • 04적절한 기술적·관리적 보호조치의 고려 여부

    위반 행위가 발생한 개인정보 처리에 대하여 ① 제25조에 따른 Data protection by design and default의 원칙을 고려하였는지, ② 제32조에 따른 적정 수준의 보안 조치를 실행하였는지, ③ 제24조 에 따른 기술적‧관리적 조치의 준수와 공인된 행동규약 및 인증 메커니즘을 고려하였는지 등을 통하여 적정 수준의 보호조치 여부를 평가할 수 있음

  • 05과거 위반 행위 확인 및 조치 여부

    동일한 유형의 위반 행위의 반복은 GDPR에 대한 컨트롤러‧프로세서의 불충분한 이해 또는 태만 여부를 보여줄 수 있기 때문에 감독기구의 과징금 산정 기준으로 활용될 수 있음

  • 06위반 행위 개선을 위한 감독기구와의 협조

    감독기구의 과징금 부과 여부 및 과징금 가액 결정 시 컨트롤러‧프로세서의 협조 수준에 대하여 상당한 고려가 이루어질 수 있음

  • 07위반으로 인해 영향을 받게 되는 개인정보의 종류

    위반 행위에 의해 영향을 받는 개인정보가 ① 민감정보 또는 범죄경력 및 범죄행위 관련 정보인 경우, ② 직접 또는 간접적으로 식별 가능한 경우, ③ 개인에게 즉각적인 피해와 고통을 야기할 경우 높은 수준의 과징금이 결정될 수 있음

  • 08감독기구에 위반 행위 발생 사실 통지 여부

    컨트롤러의 위반 행위에 대한 감독기구 통지는 법적 의무이므로 그 이행에 따라 처벌 수준이 경감될 수는 없으나, 그 의무를 미이행한 경우 중대한 제재 대상으로 판단될 수 있음

  • 09과거 동일한 사안에 대한 감독기구의 시정 조치 내역

    감독기구는 동일 위반 행위 발생 시 과거 조치 내역을 참조하여 과징금 부과 여부 및 부과액 등을 결정하게 되므로 과거 사례는 현재 위반 행위의 평가에 있어 참조 기준이 될 수 있음

  • 10승인된 행동규약 및 인증 메커니즘의 준수 여부

    승인된 행동규약 및 인증 메커니즘을 준수한 경우, 감독기구는 해당 컨트롤러‧프로세서가 자체적으로 적절한 개인정보 보호조치를 취한 것으로 판단할 수 있음. 따라서 행동규약에 대한 미준수는 특정 위반 행위가 의도적인 것인지 혹은 태만에 의한 것인지를 입증하는 근거로 작용할 수 있음

  • 11위반으로 인해 직·간접적으로 얻은 금전적 이익 또는 회피한 손실

    위반 행위에 의한 이익은 금전적 제재가 없는 조치를 통해서는 보정이 될 수가 없기 때문에 컨트롤러 프로세서가 위반 행위를 통해 금전적 이익을 얻었다는 사실은 벌금 부과의 당위성을 강하게 증명할 수 있음

GDPR 문의 : 061-820-1805