개인정보 보호위원회

피해 구제 체계

Ⅰ. 데이터 컨트롤러

(감독기관에 대한 통지) 컨트롤러는 UK GDPR에 따라 개인정보 침해가 발생한 경우 ICO에 해당 사실을 통지해야 함

 • UK GDPR은 제33조에 따라 개인정보 침해 발생시 컨트롤러는 ICO에 통지해야 할 의무가 있고, 개인정보 침해를 문서화해야 함

    - 문서화할 때 침해와 관련된 사실, 침해의 영향, 그리고 취해진 시정 조치에 대한 내용이 포함되어야 함

 • 개인정보 침해 통지에 관한 세부 규칙 및 절차를 수립할 때 컨트롤러는 다음 사항을 충분히 고려해야 함

    - 개인정보가 적절한 기술적 보호 조치에 의해 보호되었는지 여부를 포함하여 신원 사기 또는 다른 형태의 오용 가능성을 효과적으로 제한하는 침해 상황 고려

    - 개인정보 침해 상황에 대한 조사를 불필요하게 방해할 수 있는 법 집행 당국의 정당한 이익을 고려

 • 개인정보 침해가 발생할 경우, 컨트롤러는 부당한 지체 없이, 가급적 이를 알게 된 후 72시간 내에 ICO에 해당 개인정보의 침해를 통지해야 함

    - 이때 컨트롤러가 위반사실을 인지한 후 72시간 내에 ICO에 통보하지 않을 경우, 컨트롤러는 지연 사유를 통지에 포함해야 함

    - 통지에는 관련 정보주체의 범주 및 대략적인 수, 관련 개인정보 기록의 범주 및 대략적인 수 등을 포함한 개인정보 침해의 성격에 대한 설명, DPO 또는 기타 연락 가능한 개인의 이름 및 상세연락처, 개인정보 침해로 인해 발생할 수 있는 결과에 대한 설명, 적절한 경우, 개인정보 침해로 인한 부작용을 완화하기 위한 조치 등 해당 개인정보 침해 해결을 위해 컨트롤러가 취하거나 취하도록 제안되는 조치에 대한 설명 등이 포함되어야 함

 • 컨트롤러가 ICO에 통지시 개인정보 침해에 대한 정보를 한꺼번에 제공할 수 없는 경우, 과도한 지체 없이 단계적으로 정보를 제공할 수 있음

    - 통지가 과도한 지체 없이 이루어졌다는 사실은 개인정보 침해의 성격과 심각성, 그로 인한 결과 및 정보주체에 대한 부정적 영향을 고려하여 입증되어야 함

    - 개인정보 침해가 '자연인의 권리와 자유에 위험을 초래할 가능성이 없는' 경우에는 통지가 면제되며, 어떠한 경우에도 컨트롤러는 책임 원칙에 따라 면제 사유에 해당하는 조건을 입증할 수 있어야 함

 • 한편, ICO는 침해 통지 시 컨트롤러가 활용할 수 있도록 통지 양식1)

을 제공하고, 개인정보 침해를 초래하는지 여부를 관리자가 식별하도록 도움을 주는 자체 툴킷2)을 발행

    - 개인정보 침해 통지 방식은 ,작성한 통지 양식을 ICO 주소로 우편 발송하는 방식 ,icocasework@ico.org.uk로 이메일 전송(이메일 제목을 “Personal data breach notification’으로 작성하여 전송할 것)하는 방식 등이 있음

(정보주체에 대한 통지) 컨트롤러는 개인정보 침해가 발생할 경우 정보주체에게 그 사실을 통보해야 함

 • 컨트롤러는 개인정보 침해가 자연인의 권리와 자유에 높은 위험을 초래할 가능성이 있는 경우 영향을 받는 정보주체에게 개인정보 침해 사실을 통지해야 함(UK GDPR 제34조)

 • 정보주체에 대한 통지는 해당 개인정보 유출의 성격을 명확하고 평이한 언어로 기술하고, 해당 통지에는 ,DPO 또는 기타 연락 가능한 개인의 이름 및 상세연락처 ,개인정보 침해로 인해 발생할 수 있는 결과에 대한 설명 ,적절한 경우, 개인정보 침해로 인한 부작용을 완화하기 위한 조치 등 해당 개인정보 침해 해결을 위해 컨트롤러가 취하거나 취하도록 제안되는 조치에 대한 설명 등을 포함해야 함(UK GDPR 제33조)

 • 정보주체에 대한 통지에 관한 예외 사유를 동법 제34조제3항에서 추가적으로 규정

    - 컨트롤러가 적절한 기술적 및 조직적 보호 조치를 시행했으며, 이러한 조치가 개인정보 유출의 영향을 받은 개인정보에 적용되었으며, 특히 암호화와 같이 개인정보에 접근할 권한이 없는 사람이 해당 개인정보를 이해할 수 없도록 하는 조치를 취한 경우

    - 컨트롤러가 제34조제1항에 언급된 중대한 위험이 더 이상 존재하지 않도록 보장하는 후속 조치를 취한 경우

    - 불균형적 노력(disproportionate effort)을 한 경우, 정보주체에게 동등하게 효과적인 방식으로 알리기 위해 공개 커뮤니케이션을 하거나 이와 유사한 조치를 취해야 함

Ⅱ. 정보주체

EU의 GDPR 제77조와 마찬가지로 DPA 2018 제165조는 정보주체가 권리 침해에 대한 민원을 ICO에 제기할 권리를 규정하고 있음

 • 정보주체는 자신과 관련된 개인정보와 관련하여 DPA 2018에서 규정한 침해 DPA 2018 제3장, 제4장에 규정

가 있다고 판단하는 경우 ICO에 민원을 제기할 수 있음(DPA 2018 제165조제2항)

    - 다만, 정보주체가 개인정보 침해를 야기한 컨트롤러에게 직접 불만을 제기했고, 정보주체가 이해하지 못하는 답변을 받았을 경우 그에 대한 설명을 요구했음에도 불구하고 30일 후에도 응답을 받지 못했을 시에 ICO에 민원 제기가 가능 https://ico.org.uk/make-a-complaint/data-protection-complaints/what-to-expect/

 • 정보주체가 ICO에 제165조제2항에 따른 민원을 접수한 경우, ICO는 ,민원에 대응하기 위한 적절한 조치 ,민원 제기자에게 민원 제기 결과 통지 ,민원 제기자에게 제166조에 따른 권리 통지 ,민원 제기자가 요청하는 경우 민원 제기자에게 민원 제기 방법에 대한 추가 정보를 제공해야 함(DPA 2018 제165조제4항)

 • ICO는 전자적 방법 및 기타 방법으로 작성할 수 있는 민원 제기 양식을 제공하는 등의 조치를 취하여 동법 제165조제2항에 따른 민원 제기를 용이하게 해야 함(DPA 2018 제165조제3항)

    - 정보주체는 ICO가 제공하고 있는 온라인 양식 https://ico.org.uk/make-a-complaint/data-protection-complaints/data-protection-complaints/을 통해 민원을 제기할 수 있으며, 민원 처리결과에 불복할 경우 라이브 채팅이나 전화로 이의 제기가 가능 https://ico.org.uk/global/contact-us/contact-us-public/public-advice/

1) https://icosearch.ico.org.uk/s/redirect?collection=ico-meta&url=https%3A%2F%2Fico.org.uk%2Fmedia%2Freport-a-concern%2Fforms%2F4019685%2Freport-a-personal-data-breach-form.doc&auth=bnVk5h7QJrj%2FKDww5yIHXg&profile=_default&rank=2&query=personal+data+breach+form

2) https://ico.org.uk/for-organisations/report-a-breach/personal-data-breach-assessment/