행정처분 법적 근거
BDSG는 제5장(제41~43조) 이하에서 행정처분의 근거에 대해 규정
• 제41조는 행정 과징금에 관한 구체화 조항인 GDPR 제83조(행정 과징금 부과에 관한 일반 조건)을 준용함으로써 BDSG의 행정처분 근거를 구성
• 제42조는 고의로 행한 비공개 개인정보보호 위반행위에 대해 형벌을 규정하고 있으며, 제43조는 개인의 신용정보보호 위반 시 과징금을 처분하는 BDSG의 특칙을 규정
국가기관(법무부 등)에 대한 개인정보보호법 적용 조항, 행정처분 및 권고 사례
• 독일 개인정보보호 법률의 두 축인 GDPR 및 BDSG는 권력기관에 대한 BfDI의 통제권을 법률상으로 보장
• BDSG 제1조제1항은 동법이 연방 공공기관이 수행한 개인정보 처리 및 주(州) 개인정보 보호법이 적용되지 않는 주 공공기관의 개인정보 처리에 적용된다고 규정
- 또한 동법 제1조제4항에서는 동법이 연방 공공기관을 적용대상으로 하고 있음을 명시
• BDSG 제2조는 연방 공공기관에 대해 구체적인 정의를 내림으로써, 연방 공공기관이 BDSG의 적용대상에 해당함을 명확히 하고 있음
- 연방 공공기관은 법적 형태에 관계없이 연방정부 당국(Behörden), 사법기관, 기타 공법기관, 공법에 따라 설립된 법정 기관 및 재단 등을 의미
- 당국(Behörden)의 정의는 독일 행정절차법(Verwaltungsverfahrensgesetz) 제1조 제4항에서 명시하고 있는데, “공공행정 업무를 수행하는 모든 기관”으로 규정
• GDPR 제4조제7항에서는 컨트롤러를 단독으로 또는 제3자와 공동으로 개인정보 처리의 목적 및 방법을 결정하는 자연인 또는 법인, 공공기관, 기관, 기타 기구로 정의함으로써, 정부와 같은 연방 공공부문을 동법의 적용을 받는 컨트롤러에서 제외하지 않음
• BDSG 제9조는 BfDI가 연방 공공기관을 감독할 책임이 있는 연방 개인정보 감독기관임을 밝히고 있음
- 다만 BfDI는 연방 법원이 사법절차상의 직무로서 수행하는 처리를 감독할 책임은 없다고 명시하고 있는데, 이는 연방 법원이 행하는 사법절차상의 직무 이외의 개인정보의 처리 활동에 대해서는 감독할 권한이 있다고 반대해석 할 수 있음
• BDSG 제16조에서는 BfDI가 GDPR 제58조에 따른 권한을 가진다고 명시함으로써, BfDI가 개인정보보호와 관련한 집행권한을 연방 공공기관에 행사할 수 있도록 하는 법률적 근거로써 작용
- 감독기관은 법률 위반 사실을 컨트롤러에 통지할 수 있는 권한을 보유 (GDPR 제58조 제1항제(d)호)
- 감독기관은 GDPR 제58조제2항제(i)호에 따라 동조에 규정한 시정조치 외에 제83조에 따른 과징금을 부과할 수 있는 권한을 가짐
• 독일의 권력기관이 GDPR 및 BDSG 위반에 따른 과징금 등의 처분을 받는 사례는 알려지지 않고 있음
- 단, 이에 준하는 사례로서 ’20년에 독일 공보험기관 AOK의 과징금 처분 사례가 보도자료를 통해 일부 공개된 바 있음
대상 (처분일시) | 주요 내용 |
독일 공보험기관 Allgemeine Ortskrankenkasse(AOK)1) (‘20.6.) | • 경품(복권) 행사에 참여한 참가자의 개인정보를 동의 없이 마케팅 목적에 이용 - 독일 공보험기관 중 하나인 AOK의 바덴 뷔르템베르크주 지부는 ’15년~‘19년까지 공보험 가입자들 대상으로 수차례 경품 행사 진행 - AOK는 내부 지침을 마련하여 참가지가 동의한 경우 마케팅 목적으로 해당 개인정보를 사용하고자 하였으며, 일부 참가자는 이에 동의 - 이 과정에서 마케팅 이용 목적에 동의한 적이 없는 500명의 이벤트 참가자 개인정보가 마케팅 목적으로 활용됨 - AOK의 관할지역인 바덴 뷔르템베르크주 개인정보 감독기관은 해당 위반 건에 대한 조사에 돌입했으며, AOK가 기밀성, 무결성을 보장하기 위한 기술적 관리적 조치를 적절히 취하지 못했음을 지적 - AOK는 즉시 관련 행사를 전면 중지하고 개인정보보호를 위한 회사 내부의 특별팀을 마련한 후, 보안 시스템에 대한 점검에 나섬 - AOK의 노력 끝에 보안 시스템 강화가 빠른 시간 내에 감독기관이 요구하는 수준에 도달 - 감독기관은 AOK가 독일의 중요한 공보험기관 중 하나이고 현재 코로나19 위기 상황임을 고려했지만, 과징금 책정은 효과적이고 비례적이어야 한다는 과징금 부과 원칙을 준수해 과징금 부과 • 바덴 뷔르템베르크주 개인정보 감독기관은 AOK가 개인정보보호 관리시스템을 적절히 구현하지 않았음을 이유로 과징금 124만 유로 부과 |
1) https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-bussgeld-gegen-aok-baden-wuerttemberg-wirksamer-datenschutz-erfordert-regelmaessige-kontrolle-und-anpassung/