행정처분 법적 근거
UK GDPR은 제58조에서 ICO의 조사 시정권한을 부여하고, 제83조에서는 행정 과징금 처분의 근거를 제공
| 조항 | 의무사항 세부 내용 |
제58조 조사 및 시정권한 | • 감독기구는 ,컨트롤러·프로세서에 대한 정보 제공 명령 ,개인정보보호 감사 수행 ,인증 검토 ,컨트롤러·프로세서에 대한 위반 혐의 통지 ,컨트롤러·프로세서에 대한 각종 정보 열람권 취득 등 다양한 조사 권한을 보유 • 또한 감독기구는 컨트롤러·프로세서에 대해 아래와 같은 시정 권한 행사 가능 - ,법률 위반 가능성에 대한 경고 발령 ,법률을 위반한 개인정보 처리활동에 대한 견책 ,정보주체의 권리 행사 요청에 대한 수행 지시 ,개인정보 처리 작업 시 법률을 준수하도록 지시 ,개인정보 침해 시 정보주체에 통지하도록 지시 |
제83조 행정 과징금 부과 | • 감독기구는 컨트롤러 또는 프로세서의 다음 위반에 대해 최대 1,750만 파운드 또는 전년도 전 세계 총 매출의 최대 4% 중 더 높은 금액의 과징금 처분을 내릴 수 있음 - ,제5조, 제6조, 제7조, 제9조에 따른 동의 조건을 비롯한 처리의 기본원칙 ,정보주체의 권리(제12조~제22조) ,제3국 또는 국제기구로의 개인정보 이전(제44조~제49조) ,직원 개인정보 처리와 같은 특수한 경우에 대해 ‘18년 정보보호법(DPA)에서 부과하는 의무(DPA Schedule 2의 제5부 및 제6부 등) ,제58조제2항에 따른 개인정보 처리 제한 및 이전 중지 준수 의무, 제58조제1항에 따른 정보 열람권 제공 의무 • 감독기구는 컨트롤러 또는 프로세서의 다음 위반에 대해 최대 870만 파운드 또는 전년도 전 세계 총 매출의 최대 2% 중 더 높은 금액의 과징금 처분을 내릴 수 있음 - ,제8조, 제11조, 제25조~제39조, 제42조, 제43조에 규정된 컨트롤러 및 프로세서의 의무 ,인증 기관의 의무(제42조~제43조) ,모니터링 기관의 의무(제41조제4항) |
또한, DPA 2018은 제6장(제142조 이하)에서 ICO의 집행권한을 구체화하고 UK GDPR에서 규정하지 않는 형사 범죄를 별도로 규정
• ICO는 DPA 2018에 규정된 네 종류의 통지를 활용하여 감독기구의 집행 권한을 행사할 수 있음
- (정보통지) ICO는 조직의 기능을 수행하기 위해 컨트롤러 또는 프로세서로 하여금 합리적인 범위 내에서 정보를 제공해 줄 것을 서면으로 통지할 수 있음 (제142조)
- (평가통지) ICO는 컨트롤러 및 프로세서에 ICO가 조직의 정보보호 법률 준수 여부에 대한 평가를 수행할 수 있도록 허락할 것을 서면으로 통지할 수 있음(제146조)
- (집행통지) ICO는 조직이 UK GDPR상의 특정 요건을 준수하지 못했거나 이행하지 못한 경우, 특정 조치를 취하도록 요구하거나 특정 조치를 자제하도록 요구하는 통지를 할 수 있음(제149조)
- (벌칙통지) ICO는 정보통지, 평가통지, 집행통지 등을 준수하지 않는 자에 대해, 서면으로 금액을 명시하여 이를 ICO에 납부하도록 요구할 수 있음(제155조)(ICO가 GDPR 제58조제2항제(i)호 및 제83조에 따른 행정 과징금 처분을 부과하기 위해서는 제155조에 따른 벌칙통지가 선행되어야 함(제115조제9항))
• 한편, DPA 2018은 다음의 행위를 범죄로 규정
- ICO의 국제적 의무에 따라 자동화된 수단을 통해 처리되는 개인정보를 검사하는 ICO의 업무를 의도적으로 방해하거나 지원하지 않는 행위(제119조제6항)
- ICO 직원이 직무를 수행하는 동안 얻은 정보를 고의 또는 무모하게 공개하는 행위 (제132조제3항)
- ICO의 기능 수행 등을 위해 컨트롤러 또는 프로세서에 대해 정보 제공을 요청하는 통지를 발행했으나, 이에 대한 응답으로 누군가가 거짓 진술을 하는 행위(제144조)
- ICO가 정보 통지 등을 통해 요구하는 정보, 문서, 장비, 자료 등을 파괴, 파기, 은폐, 차단 또는 위조하거나, 이를 유발 또는 허용하는 행위(제148조제2항)
- 컨트롤러의 동의 없이 고의 또는 무모하게 개인정보를 획득, 공개, 보유 및 타인에게 판매 또는 판매 제안하는 행위(제170조)
- 컨트롤러의 동의 없이 고의 또는 무모하게 비식별화된 개인정보를 재식별화하는 행위 및 재식별화된 개인정보를 처리하는 행위(제171조)
- UK GDPR 제15조에 따른 열람권 및 UK GDPR 제20조에 따른 이동권 등을 통해 개인정보를 수령할 자격을 갖춘 정보주체에 대해 정보 공개를 방지할 목적으로 컨트롤러 또는 컨트롤러의 지시에 따르는 자가 개인정보를 변경, 훼손, 차단, 삭제, 파괴 또는 은폐하는 행위(제173조)
- 고용, 직원 채용, 서비스 제공 계약, 또는 공공에 대한 재화·시설·서비스 제공에 연관되어 있는 자가 타인에게 관련 기록을 제공해 줄 것을 요구하거나 열람 권한을 요구하는 행위(제184조)
- Schedule 15에 따라 발부된 수색 영장의 집행을 고의로 방해하거나 영장을 집행하는 자에게 필요한 지원을 제공하지 않는 행위 및 수색 과정에서 요청된 정보 또는 정보에 대한 진술을 고의 또는 무모하게 허위로 제공하는 행위(Schedule 15, 제15조)
• DPA 2018은 범죄로 규정된 조항의 위반에 대해서 징역형을 규정하지 않으며 체포 권한도 부여하지 않음 1)
- 위 조항을 위반한 자는 형사 벌금으로만 처벌될 수 있으며(제196조), 이 때 형사 처벌을 결정하는 주체는 ICO가 아닌 법원
국가기관(법무부 등)에 대한 개인정보보호법 적용 조항, 행정처분 및 권고 사례
• UK GDPR 제4조제7항에서는 컨트롤러를 단독으로 또는 제3자와 공동으로 개인정보 처리의 목적 및 방법을 결정하는 자연인 또는 법인, 공공기관, 기관, 기타 기구로 정의함으로써, 정부와 같은 공공 부문을 이 법의 적용을 받는 컨트롤러에서 제외하지 않음
- DPA 2018에서도 제6조에서 ‘GDPR의 목적상, 개인정보가 법령에 따라 처리되어야 할 목적으로만 처리되는 경우 또는 법령에 따라 처리되어야 하는 수단으로만 처리되는 경우, 해당 법령에 의해 개인정보 처리 의무가 부과되는 자’를 컨트롤러로 정의
• UK GDPR 제51조는 ICO를 개인정보 처리와 관련된 자연인의 기본적인 권리와 자유를 보호하고 개인정보의 자유로운 흐름을 촉진하기 위해 본 규정의 적용을 감독할 책임이 있는 감독기구로 규정
- DPA 2018 제115조제1항에서도 ICO를 GDPR 제51조의 목적을 위한 영국의 감독기구로 명시
• ICO의 업무 및 집행권한은 UK GDPR 및 DPA 2018의 일련의 조항을 통해 부여
- ICO는 GDPR 적용을 감독하고 집행하는 업무를 수행하고 (UK GDPR 제57조), 법률 위반 사실을 컨트롤러에 통지할 수 있는 권한을 보유 (UK GDPR 제58조제1항제(d)호)
- ICO는 UK GDPR 제58조제2항제(i)호에 따라 동조에 규정한 시정조치 외에 제83조에 따른 과징금을 부과할 수 있는 권한을 가짐
- ICO는 컨트롤러 및 프로세서가 GDPR상의 특정 의무를 준수하지 못한 경우 특정 조치를 취하거나 또는 취하지 않도록 요구하는 통지를 발생할 수 있음(DPA 2018 제149조)
- ICO는 컨트롤러가 DPA 2018 제149조제2항 이하에서 규정하는 사항을 위반한 경우 서면 통지로써 금액을 특정하여 과징금을 납부하도록 요구할 수 있음(DPA 2018 제155조)
• ICO가 법률상 권한을 행사하여 정부부처 등에 대해 최근 행정처분을 내린 사례는 다음과 같음
| 대상 (처분일시) | 주요 내용 |
법무부 (Ministry of Justice)(‘23.5.) 2) | • ‘22년 2월, 교도소 내 보안되지 않은 구금 구역에서 14개의 기밀 폐기물 봉투가 수감자와 직원이 모두 접근할 수 있는 곳에서 발견 - 해당 봉투는 파쇄기 트럭이 할당된 시간 내에 봉투를 수거하지 않아, 총 18일 동안 보안이 유지되지 않은 채 방치된 것으로 확인 - 일부 봉투는 제대로 봉인되지 않은 상태였으며, 봉투에 담겨져 있던 정보에는 교도소 직원과 수감자 의료 및 보안 정보가 포함 - 조사 결과, ICO는 최소 44명의 수감자와 직원이 해당 정보에 접근할 수 있었음을 확인 - ICO는 교도소 직원들이 개인정보 보안을 위해 사전에 아무런 조치를 취하지 않았다고 지적 - 이를 토대로 ICO는 법무부가 UK GDPR상의 개인정보 무단 공개를 방지하기 위한 적절한 기술 및 관리적 조치를 취하지 않았으며, 무결성 및 기밀성 원칙을 위반한 것으로 결론
• ICO는 컨트롤러의 UK GDPR 제5조제1항제f호 및 제32조 의무 위반을 이유로 법무부에 견책 조치 - 법무부는 ’23년 10월 말까지 ICO에 시행조치 경과 보고서를 제출해야 함
|
1) https://www.cps.gov.uk/legal-guidance/data-protection-act-2018-criminal-offences
2) https://ico.org.uk/action-weve-taken/enforcement/ministry-of-justice-1/
이 누리집은 대한민국 공식 전자정부 누리집입니다.
