제83조 📖 GDPR. 행정 과태료 부과에 관한 일반 조건

제83조 GDPR. 행정 과태료 부과에 관한 일반 조건

1. 각 감독기관은 제4항, 제5항 및 제6항에 명시된 본 규정의 침해와 관련하여, 본 조문에 따른 행정 과태료의 부과가 개별 사례에서 유효하고 비례적이며 (침해행위를 하지 않도록 하는) 설득력이 있도록 해야 한다.

2. 행정 과태료는 각 개별 사례의 정황에 따라 제58조(2)의 (a)-(h)호 및 (j)호에 언급된 조치에 추가로 부과되거나 그 대신 부과되어야 한다. 각 개별 사례에서 행정 과태료 부과 여부를 결정하거나 행정 과태료 액수를 결정할 때 다음 사항을 면밀히 고려해야 한다.

관련 교과서

제58조 GDPR. 권한

[…]

2. 각 감독기관은 다음의 시정 권한을 모두 보유한다.

(a) 예정된 처리작업(들)이 본 규정의 조문을 위반할 가능성이 높은 것에 대해 컨트롤러 또는 프로세서에게 경고 발령

(b) 예정된 처리작업(들)이 본 규정의 조문을 위반한 경우, 컨트롤러 및 프로세서를 견책

(c) 컨트롤러 및 프로세서가 본 규정에 따라 본인의 권리를 행사하고자 하는 정보주체의 요청을 따를 것을 지시

(d) 컨트롤러 또는 프로세서에게 처리작업(들)이 본 규정의 조문을 준수하도록 지시하며, 적절한 경우, 구체적인 방식과 구체적인 기간 내에 하도록 지시

(e) 정보주체에게 개인정보 침해에 대해 통지하도록 프로세서에게 지시

(f) 처리에 대한 금지 등, 임시 또는 확정적 제한 부과

(g) 제16조, 제17조, 제18조에 따른 처리의 수정이나 삭제 또는 제한을 지시하고, 제17조(2) 및 제19조에 따라 개인정보를 제공받는 수령인들에게 이러한 행동조치에 대한 통지를 지시

(h) 인증의 요건이 충족되지 않거나 더 이상 충족되지 않는 경우, 인증을 철회하거나 인증기관에게 제42조 및 제42조에 의거하여 발급된 인증을 철회하라고 지시하거나 인증기관에게 인증을 발급하지 않도록 지시

[…]

(j) 제3국 또는 국제기구의 수령인으로의 정보 이동의 중지를 지시

(a) 관련 데이터 처리의 성격, 범위 또는 목적을 고려한 침해의 성격, 중대성 및 기간, 그리고 영향을 받은 정보주체의 수와 피해 정도

관련 교과서

(b) 고의적이거나 태만한 침해 특성

관련 교과서

(c) 정보주체가 입은 피해를 완화하기 위해 컨트롤러나 프로세서가 취한 조치

(d) 제25조 및 제32조에 의거하여 컨트롤러 또는 프로세서가 이행한 기술 및 관리적 대책을 고려한 컨트롤러 또는 프로세서의 책임의 정도

관련 교과서

제25조 GDPR. 설계 및 기본설정에 의한 개인정보 보호

제32조 GDPR. 처리의 보안

(e) 컨트롤러 또는 프로세서의 이전의 관련 침해건

관련 교과서

(f) 침해를 구제하고 침해의 악영향을 완화하기 위한 감독기관과의 협력 수준

(g) 침해로 영향을 받은 개인정보의 범주

관련 교과서

(h) 컨트롤러 또는 프로세서가 침해를 통보했는지 여부 및 그런 경우 통보의 정도 등 침해 사실이 감독기관에 알려지게 된 방식

(i) 동일한 사안에 대하여 관련 컨트롤러나 프로세서에 제58조(2)의 조치를 사전에 명한 경우, 해당 조치의 준수 여부

관련 교과서

제58조 GDPR. 권한

[…]

2. 각 감독기관은 다음의 시정 권한을 모두 보유한다.

(a) 예정된 처리작업(들)이 본 규정의 조문을 위반할 가능성이 높은 것에 대해 컨트롤러 또는 프로세서에게 경고 발령

(b) 예정된 처리작업(들)이 본 규정의 조문을 위반한 경우, 컨트롤러 및 프로세서를 견책

(c) 컨트롤러 및 프로세서가 본 규정에 따라 본인의 권리를 행사하고자 하는 정보주체의 요청을 따를 것을 지시

(e) 정보주체에게 개인정보 침해에 대해 통지하도록 프로세서에게 지시

(f) 처리에 대한 금지 등, 임시 또는 확정적 제한 부과

(i) 각 개별 상황별 정황에 따라 본 조항에 규정된 조치를 부과하거나, 이와 함께 또는 이것 대신, 제83조에 따른 행정적 벌금을 부과

(j) 제3국 또는 국제기구의 수령인으로의 정보 이동의 중지를 지시

[…]

(j) 제40조에 따른 공인 행동강령 또는 제42조에 따른 공인 인증 메커니즘의 준수

관련 교과서

제40조 GDPR. 행동강령

제42조 GDPR. 인증

(k) 침해를 통해 직접 또는 간접적으로 획득한 재정적 이익이나 회피한 손실과 같이, 해당 사례의 정황에 적용 가능한 기타의 악화 또는 완화 요인

3. 컨트롤러나 프로세서가 의도적으로 또는 부주의하여 동일하거나 연계된 데이터 처리 작업에 대해 본 규정의 여러 조문을 침해하는 경우, 행정 과태료의 총액은 가장 중대한 침해에 대해 명시된 금액을 초과할 수 없다.

4. 다음과 같은 조문의 침해는 제2항에 따라 10 000 000 유로에 이르는 행정 과태료 또는 사업체의 경우 직전 회계연도의 연간 전 세계 총 매출의 22%에 이르는 행정 과태료 중 높은 금액의 처분을 받는다.

지침 및 사례 법률

(EN)

In order to impose fines that are effective, proportionate and dissuasive, the supervisory authority shall use for the definition of the notion of an undertaking as provided for by the CJEU for the purposes of the application of Article 101 and 102 TFEU, namely that the concept of an undertaking is understood to mean an economic unit, which may be formed by the parent company and all involved subsidiaries. In accordance with EU law and case-law*, an undertaking must be understood to be the economic unit, which engages in commercial/economic activities, regardless of the legal person involved (Recital 150)

* The ECJ case law definition is: «the concept of an undertaking encompasses every entity engaged in an economic activity regardless of the legal status of the entity and the way in which it is financed” (Case Höfner and Elsner, para 21, ECLI:EU:C:1991:161). An undertaking «must be understood as designating an economic unit even if in law that economic unit consists of several persons, natural or legal» (Case Confederación Española de Empresarios de Estaciones de Servicio [para 40, ECLI:EU:C:2006:784)

Art29WP, Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679, wp253 (2017)

(a) 제8, 11, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 42조 및 제43조에 따른 컨트롤러 및 프로세서의 의무

관련 교과서

제11조 GDPR. 신원확인을 요하지 않는 개인정보의 처리

제25조 GDPR. 설계 및 기본설정에 의한 개인정보 보호

제26조 GDPR. 공동 컨트롤러

제27조 GDPR. 유럽연합 내에 설립되지 않은 컨트롤러 또는 프로세서의 대리인

제28조 GDPR. 프로세서

제29조 GDPR. 컨트롤러 및 프로세서의 권한에 따른 처리

제30조 GDPR. 처리 활동의 기록

제31조 GDPR. 감독기관과의 협력

제32조 GDPR. 처리의 보안

제33조 GDPR. 감독기관에 대한 개인정보 침해 통지

제34조 GDPR. 정보주체에 대한 개인정보 침해 통지

제35조 GDPR. 개인정보보호 영향평가

제36조 GDPR. 사전 자문

제37조 GDPR. 데이터보호 담당관의 지정

제38조 GDPR. 데이터보호담당관의 지위

제39조 GDPR. 데이터보호담당관의 업무

제42조 GDPR. 인증

제43조 GDPR. 인증기관

(b) 제42조 및 제43조에 따른 인증기관의 의무

관련 교과서

제42조 GDPR. 인증

제43조 GDPR. 인증기관

(c) 제41조(4)에 따른 모니터링 기관의 의무

관련 교과서

제41조 GDPR. 승인된 행동강령의 모니터링

[…]

4. 관련 감독기관의 업무와 권한 및 제VIII장의 조문을 침해하지 않고, 제1항에 규정된 기관은 컨트롤러 또는 프로세서가 강령을 위반하는 경우 적정한 안전조치에 따라 강령 이행의 중지나 배제 등의 적절한 조치를 취해야 한다. 해당 기관은 해당 조치와 해당 조치 사유를 감독기관에 통지해야 한다.

[…]

5. 다음과 같은 조문의 침해는 제2항에 따라 20 000 000 유로에 이르는 행정 과태료 또는 사업체의 경우 직전 회계연도의 연간 전 세계 총 매출의 42%에 이르는 행정 과태료 중 높은 금액의 처분을 받는다.

지침 및 사례 법률

(EN)

In order to impose fines that are effective, proportionate and dissuasive, the supervisory authority shall use for the definition of the notion of an undertaking as provided for by the CJEU for the purposes of the application of Article 101 and 102 TFEU, namely that the concept of an undertaking is understood to mean an economic unit, which may be formed by the parent company and all involved subsidiaries. In accordance with EU law and case-law*, an undertaking must be understood to be the economic unit, which engages in commercial/economic activities, regardless of the legal person involved (Recital 150)

* The ECJ case law definition is: «the concept of an undertaking encompasses every entity engaged in an economic activity regardless of the legal status of the entity and the way in which it is financed” (Case Höfner and Elsner, para 21, ECLI:EU:C:1991:161). An undertaking «must be understood as designating an economic unit even if in law that economic unit consists of several persons, natural or legal» (Case Confederación Española de Empresarios de Estaciones de Servicio [para 40, ECLI:EU:C:2006:784)

Art29WP, Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679, wp253 (2017)

(a) 제5조, 제6조, 제7조 및 제9조에 따른 동의 조건을 비롯한 데이터 처리의 기본 원칙

관련 교과서

제5조 GDPR. 개인정보 처리 원칙

제6조 GDPR. 처리의 적법성

제7조 GDPR. 동의의 조건

제9조 GDPR. 특별 범주의 개인정보의 처리

(b) 제12조-제22조에 따른 정보주체의 권리

관련 교과서

제12조 GDPR. 정보주체의 권리 행사를 위한 투명한 정보, 통지 및 형식

제13조 GDPR. 개인정보가 정보주체로부터 수집되는 경우 제공되는 정보

제15조 GDPR. 정보주체의 열람권

제16조 GDPR. 정정권

제17조 GDPR. 삭제권(‘잊힐 권리’)

제18조 GDPR. 처리에 대한 제한권

제19조 GDPR. 개인정보의 정정이나 삭제 또는 처리의 제한에 관한 고지 의무

제20조 GDPR. 개인정보 이동권

제21조 GDPR. 반대할 권리

제22조 GDPR. 프로파일링 등 자동화된 개별 의사결정

(c) 제44조-제49조에 따른 제3국이나 국제기구의 수령인에게로의 개인정보 이전

관련 교과서

제44조 GDPR. 이전을 위한 통칙

제45조 GDPR. 적정성 결정에 따른 이전

제46조 GDPR. 적정한 안전조치에 의한 이전

제47조 GDPR. 의무적 기업 규칙

제48조 GDPR. 유럽연합 법률로 승인되지 않은 정보의 이전 또는 제공

제49조 GDPR. 특정 상항에 대한 적용의 일부 제외

(d) IX장에 따라 채택된 회원국 법률에 따른 의무

(e) 제58조(2)에 따라 감독기관이 내린 명령, 또는 데이터 처리의 한시적 또는 확정적 제한, 또는 개인정보 이동의 중지를 준수하지 않거나 열람의 기회를 제공하지 않아 제58조(1)를 위반

관련 교과서

제58조 GDPR. 권한

1. 각 감독기관은 아래의 조사 권한을 모두 보유한다.

2. 각 감독기관은 다음의 시정 권한을 모두 보유한다.

(a) 예정된 처리작업(들)이 본 규정의 조문을 위반할 가능성이 높은 것에 대해 컨트롤러 또는 프로세서에게 경고 발령

(b) 예정된 처리작업(들)이 본 규정의 조문을 위반한 경우, 컨트롤러 및 프로세서를 견책

(c) 컨트롤러 및 프로세서가 본 규정에 따라 본인의 권리를 행사하고자 하는 정보주체의 요청을 따를 것을 지시

(e) 정보주체에게 개인정보 침해에 대해 통지하도록 프로세서에게 지시

(f) 처리에 대한 금지 등, 임시 또는 확정적 제한 부과

(i) 각 개별 상황별 정황에 따라 본 조항에 규정된 조치를 부과하거나, 이와 함께 또는 이것 대신, 제83조에 따른 행정적 벌금을 부과

(j) 제3국 또는 국제기구의 수령인으로의 정보 이동의 중지를 지시

[…]

6. 제58조(2)에 명시된 바와 같이 감독기관의 명령 불복은 제2항에 따라 20 000 000 유로에 이르는 행정 과태료 또는 사업체의 경우 직전 회계연도의 연간 전 세계 총 매출의 42%에 이르는 행정 과태료 중 높은 금액의 처분을 받는다.

관련 교과서

제58조 GDPR. 권한

2. 각 감독기관은 다음의 시정 권한을 모두 보유한다.

(a) 예정된 처리작업(들)이 본 규정의 조문을 위반할 가능성이 높은 것에 대해 컨트롤러 또는 프로세서에게 경고 발령

(b) 예정된 처리작업(들)이 본 규정의 조문을 위반한 경우, 컨트롤러 및 프로세서를 견책

(c) 컨트롤러 및 프로세서가 본 규정에 따라 본인의 권리를 행사하고자 하는 정보주체의 요청을 따를 것을 지시

(e) 정보주체에게 개인정보 침해에 대해 통지하도록 프로세서에게 지시

(f) 처리에 대한 금지 등, 임시 또는 확정적 제한 부과

(i) 각 개별 상황별 정황에 따라 본 조항에 규정된 조치를 부과하거나, 이와 함께 또는 이것 대신, 제83조에 따른 행정적 벌금을 부과

(j) 제3국 또는 국제기구의 수령인으로의 정보 이동의 중지를 지시

7. 각 회원국은 제58조(2)에 따른 감독기관의 시정 권한을 침해하지 아니하여 해당 회원국에 설립된 공공기관 및 기구에 행정 과태료를 부과할 수 있는지, 그리고 어느 정도의 행정 과태료를 부과할 수 있는지를 규정할 수 있다.

관련 교과서

제58조 GDPR. 권한

[…]

2. 각 감독기관은 다음의 시정 권한을 모두 보유한다.

(a) 예정된 처리작업(들)이 본 규정의 조문을 위반할 가능성이 높은 것에 대해 컨트롤러 또는 프로세서에게 경고 발령

(b) 예정된 처리작업(들)이 본 규정의 조문을 위반한 경우, 컨트롤러 및 프로세서를 견책

(c) 컨트롤러 및 프로세서가 본 규정에 따라 본인의 권리를 행사하고자 하는 정보주체의 요청을 따를 것을 지시

(e) 정보주체에게 개인정보 침해에 대해 통지하도록 프로세서에게 지시

(f) 처리에 대한 금지 등, 임시 또는 확정적 제한 부과

(i) 각 개별 상황별 정황에 따라 본 조항에 규정된 조치를 부과하거나, 이와 함께 또는 이것 대신, 제83조에 따른 행정적 벌금을 부과

(j) 제3국 또는 국제기구의 수령인으로의 정보 이동의 중지를 지시

[…]

8. 본 조문에 따른 감독기관의 권한 행사는 유효한 사법 구제책 및 정당한 절차 등 유럽연합 또는 회원국 법률에 따라 적절한 절차상의 안전조치의 적용을 받는다.

9. 회원국의 법제가 행정 과태료를 규정하지 않는 경우, 본 조문은 관할 감독기관이 벌금을 발의하고 관할 국가 법원이 이를 부과하며 그 같은 법적 구제책이 유효하고 감독기관이 부과하는 과태료와 동등한 효력을 갖는 방식으로 적용될 수 있다. 어떠한 경우에도 부과되는 과태료는 유효하고 비례적이며 억지력이 있어야 한다. 해당 회원국은 2018년 5월 25일까지, 그리고 지체 없이 본 항에 따라 채택하는 자국법의 조문을 집행위원회에 통보하고, 이에 영향을 미치는 차후의 개정법이나 개정안을 집행위원회에 통보해야 한다.

유럽연합 일반 데이터 보호 규칙(EU GDPR)

Source: http://www.pipc.go.kr/cmt/not/ntc/selectBoardArticle.do?nttId=5969&bbsId=BBSMSTR_000000000121&bbsTyCode=BBST03&bbsAttrbCode=BBSA03&authFlag=Y&pageIndex=6

전문 (Recitals) 지침 및 사례 법률 코멘트를 남겨주세요

전문 (Recitals)

(148) 본 규정서의 규정의 시행을 강화하기 위해, 본 규정에 따라 감독기관이 취한 적절한 조치에 더하거나 혹은 이를 대신하여 본 규정의 침해에 대한 행정 과태료 등 처벌이 부과되어야 한다. 경미한 침해의 경우나 부과될 것으로 예상되는 과태료가 개인에게 불균형한 부담이 되는 경우, 과태료 대신 징계를 내릴 수 있다. 그러나 침해의 성격, 중대성 및 지속기간, 침해의 의도성, 피해 완화를 위해 취한 조치, 책임의 정도나 관련 침해행위의 전례 여부, 침해 사실이 감독기관에 통지된 방식, 컨트롤러나 프로세서에게 명한 조치의 준수, 행동강령 준수 및 기타 악화 또는 완화의 요인을 특히 고려해야 한다. 행정 과태료 등 벌금의 부과는 유효한 사법적 보호 및 정당한 법 절차 등 유럽연합 법률 및 헌장의 일반 원칙에 부합하는 적정한 절차적 안전조치를 따라야 한다.

(150) 본 규정의 침해에 대한 행정 과태료를 강화하고 통일시키기 위해, 각 감독기관은 행정 과태료를 부과할 권한을 가져야 한다. 본 규정은 침해행위 및 관련 행정 과태료를 정하기 위한 상한선과 기준을 명시해야 한다. 관련 행정 과태료를 정하기 위한 상한선 및 기준은 각 개별 사건별로, 해당 감독기관이 특정 상황에 대한 모든 관련 정황을 고려하여 결정해야 하고, 특히 침해 및 침해결과의 성격, 중대성과 지속기간, 그리고 본 규정에 따른 의무의 준수를 보장하고 침해로 인한 피해를 예방하거나 완화하기 위한 조치를 고려해야 한다. 행정 과태료가 한 사업체에 부과되는 경우, 사업체는 상기의 목적을 위해, 유럽연합 기능에 관한 조약(TFEU) 제101 및 102조에 따른 사업체로 이해되어야 한다. 행정 과태료가 사업체가 아닌 개인에 부과될 경우, 감독기관은 과태료의 적정 금액을 고려할 시 해당인의 경제적 여건과 회원국의 전반적 소득 수준을 참작해야 한다. 행정 과태료의 일관된 적용을 도모하는데 일관성 메커니즘이 활용될 수도 있다. 공공기관이 행정 과태료의 적용을 받는지 여부 및 적용범위는 회원국이 결정해야 한다. 행정 과태료를 부과하거나 경고장을 발부하는 것은 감독기관이 가진 기타 권한 또는 본 규정에 따른 기타 처벌의 적용에 영향을 미치지 않는다.

(151) 덴마크와 에스토니아의 법제도는 본 규정서가 정한 행정 과태료를 고려하지 않는다. 행정 과태료에 대한 규정은 덴마크에서는 관할국의 법정이 형사처벌로서 과태료를 부과하고 에스토니아에서는 경범죄의 프레임워크 내에서 감독기관이 과태료를 부과하는 방식으로 적용될 수 있다. 단, 상기 회원국에서의 이러한 규정의 적용이 감독기관이 부과하는 행정 과태료에 상응하는 효력을 지닐 경우에 그러하다. 따라서 관할국의 법정은 과태료를 상정한 감독기관의 제안을 고려하여야 한다. 어떠한 경우에서도, 부과된 과태료는 유효하고 온당하며 (침해행위를 하지 않도록 하는) 억지력이 있어야 한다.

지침 및 사례 법률

(EN)

Document

Article 29 Working Party, Guidelines on the Application and Setting of Administrative Fines for the Purposes of the Regulation 2016/679 (2017).

Dutch data protection authority (Autoriteit Persoonsgegevens), Policy rules of 19 February 2019 with regard to determining the level of administrative fines (In Dutch, 2019).

코멘트를 남겨주세요

[js-disqus]