IT/미디어/과학기술 분야 법률자문

 

IT/미디어/과학기술
분야 법률자문

 
제목EU GDPR(유럽 일반 개인정보 보호법) 안내서 ④ GDPR 규정 위반 시 손해배상 의무, 과징금 및 처벌2017-12-27 10:19
작성자

 

http://blog.naver.com/it-is-law/221092451711

 

지난 EU GDPR(유럽 일반 개인정보 보호법) 안내서 편 포스팅에서는, ‘컨트롤러와’ ‘프로세서의 의무 및 책임에 대해 알려드렸었죠.

 

컨트롤러는 우리나라 개인정보 보호 법령상의 위탁자와 유사한 개념으로, 개인정보의 처리 목적과 수단을 단독 또는 제3자와 공동으로 결정하는 자연인, 법인, 공공기관, 에이전시, 기타 단체를 의미하는데요.

 

컨트롤러는 개인정보 처리의 성격, 범위, 목적, 위험성 등을 고려하여, GDPR 준수 하에 개인정보 처리가 수행되는 것을 보장하고, 이를 입증할 수 있는 적절한 기술적·조직적 조치를 이행해야 합니다. 이를 통해 컨트롤러는 개인정보 처리에 관한 모든 1차적인 책임을 진다고 하겠습니다.

 

한편 프로세서는 우리나라 개인정보 보호 법령상의 수탁자와 유사한 개념으로, 컨트롤러를 대신하여 개인정보를 처리하는 자연인, 법인, 공공기관, 에이전시, 기타 단체를 의미합니다.

 

프로세서는 컨트롤러를 대신하여 개인정보를 처리하는 만큼 업무수행에 있어 컨트롤러에게 일정 부분 구속을 받게 되며, 주어진 권한 밖의 개인정보 처리는 금지되는데요.

 

GDPR에서는 이러한 프로세서의 의무를 비교적 구체적으로 명시하고 있는 바, 프로세서는 원칙적으로 컨트롤러의 문서화된 지시사항에 의해서만 개인정보를 처리해야 하고, 자신이 아닌 다른 프로세서를 업무에 관여시키고자 할 경우에는 컨트롤러의 서면 승인을 받아야 하며, 컨트롤러가 위임한 감사자의 감사를 받아야 하는 등 개인정보를 처리함에 있어 다소 제약을 받습니다.

 

 

http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&oid=081&aid=0002852159&sid1=001

 

방송통신위원회는 지난 3월 개인정보 유출 사고가 발생했던 숙박앱 여기어때의 운영사 위드이노베이션에 31천만 원의 과징금과 2,500만원의 과태료를 부과하고 책임자 징계를 권고했습니다. 개인정보 유출에 대해 이와 같은 중징계 조치가 내려진 것은 상당히 이례적인데요.

 

이는 방송통신위원회가 위드이노베이션의 개인정보 보호조치 규정 위반을 매우 중대한 사안으로 보고 지난해 3월부터 시행된 정보통신망법에 따른 책임자 징계권고 제재를 개인정보 유출사고에서 처음으로 적용하기로 했기 때문입니다.

 

GDPR은 개인정보 처리원칙, 동의요건, 국외이전 등 심각한 위반사안이 발생할 경우, 최대 2천만 유로(260억 원) 혹은 전 세계 매출의 4% 중 더 큰 금액을 과징금으로 부과하도록 규정하고 있습니다. 앞서 말씀드린 여기어때사례처럼 우리나라도 점점 개인정보 유출 사건에 대해 강도 높은 징계를 내리고 있는데다, 앞으로의 개인정보 보호정책에 대한 가이드라인으로 GDPR이 제시되고 있어 규제강도가 훨씬 강해질 가능성이 높아 보이는데요.

 

따라서 해외 사업을 하고 있거나 예정인 국내외 기업들이라면, 앞서 말씀드린 컨트롤러프로세서의 의무 및 책임에 대해 알아둠으로써 GDPR에서 규정한 손해배상 의무, 과징금 및 처벌을 피할 필요가 있습니다.

 

 

 

1. 손해배상권 및 책임

 

1) 컨트롤러와 프로세서의 손해배상 의무

 

GDPR 규정 위반으로 물질적 또는 비물질적 피해를 입은 사람은 누구든지 컨트롤러 또는 프로세서에게 손해배상을 받을 권리가 있습니다.

 

개인정보 처리에 관여하는 컨트롤러는 위법한 정보처리로 인해 발생한 피해에 대해 책임을 부담합니다. 이때 비금전적 손해에 대해서도 손해배상 책임을 부담해야 한다는 점을 유의해야 합니다.

 

프로세서 자신 또는 서브 프로세서의 개인정보처리와 관련하여 GDPR에 명시된 의무의 위반 또는 컨트롤러의 지시사항 위반으로 발생한 손해에 대해 책임을 부담합니다.

 

동일한(하나의) 개인정보 처리에 복수의 컨트롤러 또는 프로세서가 관여하여 손해가 발생한 경우, 이에 관여된 모든 당사자는 발생한 손해 전체에 대해 책임을 부담합니다. 만약 특정 손해에 대해 공동 컨트롤러가 책임을 부담하는 상황에서 그 중 하나의 컨트롤러가 전체 손해액을 배상한다면 그는 다른 컨트롤러에 대해 구상권을 행사할 수 있습니다.

 

2) 프로세서의 손해배상 의무

 

다만 프로세서는 다음의 경우에 한해, 발생한 손해에 대한 책임을 부담합니다,

 

GDPR에서 규정한 프로세서의 의무를 준수하지 않은 경우

 

컨트롤러의 합법적인 지시에 반하거나 합법적 지시의 범위를 벗어난 행위를 한 경우

 

3) 책임 면제

 

책임부담의 일반원칙에 의거, 컨트롤러나 프로세서가 손해를 야기한 사건에 대해 책임이 없음을 증명하면 해당 책임으로부터 면제됩니다.

 

< 개인정보보호법 관련 규정 39>

 

 

 

2. 과징금

 

심각한 위반의 경우, 전 세계 연간 매출액의 4% 또는 2천만 유로 중 높은 금액을 과징금으로 부과합니다.

 

일반 위반의 경우, 전 세계 연간 매출액의 2% 또는 1천만 유로 중 높은 금액을 과징금으로 부과합니다.

 

과징금의 부과 여부 및 금액에 대한 결정 권한은 회원국 감독기구에 부여합니다.

 

1) 원칙(안건별 부과)

 

과징금의 부과는 유효하고 비례적이며 설득력이 있어야 한다는 원칙에 따라, 자동 적용되지 않고 개별 사례별로 부과됩니다.

 

다만 동일하거나 관련된 처리가 GDPR의 여러 규정 위반을 수반할 경우, 과징금은 가장 중한 침해에 지정되는 액수를 초과할 수 없습니다.

 

2) 최대 과징금

 

GDPR 규정을 심각하게 위반한 사안의 경우, 직전 회계연도의 전 세계 연간 매출액의 4% 또는 2천만 유로 중 더 큰 금액의 과징금이 부과됩니다.

 

여기에서 심각한 위반이란 다음의 경우를 의미합니다.

 

동의를 비롯한 정보처리의 기본 원칙을 위반한 경우

 

정보주체의 권리를 보장하지 않은 경우

 

3국이나 국제기구의 수령인에게로 개인정보를 이전할 때 준수해야 할 규정을 위반한 경우

 

9장에 따라 채택된 회원국 법률에 따른 의무를 위반한 경우

 

58조제2항에 따라 감독기구가 내린 명령 또는 정보처리의 임시적·확정적 제한, 또는 개인정보 이동의 중지를 준수하지 않거나 열람 기회를 제공하지 않아 제58조제1항을 위반한 경우

 

3) 전 세계 연간 매출액의 2% 또는 1천만 유로 중 높은 금액

 

다음의 경우에는 1천만 유로 또는 직전 회계연도의 연간 전 세계 총 매출의 2%에 이르는 과징금 중 더 높은 금액의 처분을 받게 됩니다.

 

컨트롤러, 프로세서의 의무를 위반한 경우

 

인증 기구의 의무를 위반한 경우

 

모니터링 기구의 의무를 위반한 경우

 

9장에 따라 채택된 회원국 법률에 따른 의무를 위반한 경우

 

58조제2항에 따라 감독기구가 내린 명령 또는 정보처리의 임시적·확정적 제한, 또는 개인정보 이동의 중지를 준수하지 않거나 열람 기회를 제공하지 않아 제58조제1항을 위반한 경우

 

< 개인정보보호법 관련 규정 34조의2 >

 

 

 

3. 처벌

 

과징금 대상에 해당하지 않는 GDPR 위반 사항에 대해, 각 회원국은 추가적인 처벌을 규정할 수 있습니다. 각 회원국은 또한 GDPR 위반 행위에 대해 사법 제재 관련 규칙을 제정할 수 있으며, 특정 회원국에서 사업을 수행하는 경우 해당 국가의 법률을 지속적으로 모니터링해야 합니다.

 

개별 EU 회원국의 법률상의 차이로 인해 상이한 수준의 처벌이 존재할 수 있습니다. 특히, 개별 회원국이 GDPR 위반에 대한 제재를 규정한다면 컨트롤러 또는 프로세서에게 직접적인 처벌이 이뤄질 수도 있습니다.

 

< 개인정보보호법 관련 규정 9>

 

http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&oid=025&aid=0002753604&sid1=001

 

구글이 인간의 수명을 150세까지 끌어올리는 도전에 나섰습니다. 자회사 칼리코를 통해 100만 명 이상의 유전자 데이터를 분석, 노화의 비밀을 플고 난치병 치료법을 찾고 있는데요. 또 다른 자회사 베릴리딥마인드 테크놀로지도 이를 거들고 있으며, 암세포를 탐색하는 나노 로봇, 원격 진료가 가능한 의료 모바일 앱 개발도 진행 중입니다.

 

이처럼 구글같은 글로벌 기업들은 현재 빅데이터를 적극 활용한 신산업을 미래의 먹거리로 내다보고 있습니다. 따라서 우리나라도 빅데이터를 이용한 신산업을 국가 대계로 삼을 필요가 있는데요.

 

그러나 유독 우리나라 빅데이터 시장은 개인정보 보호와 관련된 논란과 지나친 규제로 인해 타 산업과의 융합에 제동이 걸려있는 상태입니다.

 

http://blog.naver.com/it-is-law/221082146521

 

빅데이터는 4차 산업혁명 시대의 쌀이라 불리는, 4차 산업의 근간이 되는 주재료입니다. 따라서 비식별조치를 통해 개인을 특정할 수 없도록 가공된 정보를 적극적으로 수집·분석·활용하고, ‘의제허가제도를 개인정보를 수집·활용하는 사업 분야에 도입하는 등 개인정보 보호와 활용을 동시에 꾀할 수 있는 최소한의 법제도를 마련함으로써 빅데이터를 적극 활용할 필요가 있는데요.

 

GDPR 제정 역시 개인정보와 그 집합체인 빅데이터를 적극 활용함으로써, 관련 신산업을 발전시키겠다는 데 그 의의가 있습니다. 다시 말해 단순히 정보주체의 개인정보자기결정권이나 프라이버시를 보호하는 데만 초점을 맞춘 것이 아니라, 개인정보의 국외이전 및 정보의 유통을 보장하는, 즉 개인정보를 보다 폭넓게 활용하겠다는 의미를 담고 있죠.

 

4차 산업혁명 시대에서는 인공지능, 사물인터넷, 클라우드컴퓨팅 등의 확산에 따라 데이터의 폭발적 증가와 광범위한 유통 현상이 나타날 것이며, 국경을 초월해 정보가 처리되는 개인정보의 국외이전이 활발하게 이루어질 것입니다.

 

http://biz.chosun.com/site/data/html_dir/2017/07/25/2017072500123.html

 

구글, 페이스북 등 글로벌 기업들은 국내는 물론 전 세계에서 빅데이터 독점논란을 일으킬 정도로 빅데이터 수집에 열을 올리고 있습니다. 뒤이어 알리바바같은 중국 기업마저 가세하고 있어, 자칫하다간 우리 국내 기업들이 세계 데이터 기업들의 하도급업체로 전락할 가능성마저 제기되고 있는데요.

 

적절한 비유인지는 모르겠으나, 조선이 쇄국정책을 펼치며 외국과의 교류를 일체 거부한 반면
일본이 활발한 교류를 통해 국력을 키운 뒤 주변국을 하나하나 식민지화했던 상황이 오버랩되는 듯합니다. 시대의 흐름을 읽지 못해 암울한 시대를 겪어야만 했던 그 아픈 역사가 되풀이되지 않아야 할 것입니다.