제79조 GDPR. 컨트롤러나 프로세서를 상대로 한 효과적인 사법구제권
2. 컨트롤러 또는 프로세서를 상대로 한 법적 절차는 해당 컨트롤러 또는 프로세서의 사업장이 있는 회원국의 법정에서 진행되어야 한다. 그렇지 않으면 컨트롤러 또는 프로세서가 공적 권한을 행사하는 회원국의 공공기관이 아닌 한 정보주체의 거주지가 있는 회원국의 법정에서 절차가 진행될 수도 있다.
2. 데이터 처리에 관여하는 컨트롤러는 본 규정을 침해하는 정보처리로 초래된 피해에 대하여 책임을 져야 한다. 프로세서는 프로세서들에게 구체적으로 지시된 본 규정의 의무사항을 준수하지 않은 경우 또는 컨트롤러의 합법적 지시를 벗어나거나 그 지시에 반대되는 행동을 한 경우에 한하여 데이터 처리로 초래된 피해에 대하여 책임을 져야 한다.
4. 하나 이상의 컨트롤러 또는 프로세서가 동일한 데이터 처리에 관여하고 제2항 및 제3항에 따라 해당 데이터 처리로 초래된 피해에 대하여 책임이 있는 경우, 각 컨트롤러나 프로세서는 정보주체의 유효한 보상을 보장하기 위해 피해 전체에 대하여 책임을 져야 한다.
Source: http://www.pipc.go.kr/cmt/not/ntc/selectBoardArticle.do?nttId=5969&bbsId=BBSMSTR_000000000121&bbsTyCode=BBST03&bbsAttrbCode=BBSA03&authFlag=Y&pageIndex=6
(146) 컨트롤러나 프로세서는 본 규정을 침해한 개인정보 처리의 결과로 개인이 감내해야 할지 모르는 피해 일체를 보상해야 한다. 컨트롤러나 프로세서는 해당 피해에 대해 어떠한 방식으로도 책임이 없음을 입증하는 경우 책임을 면제받아야 한다. 피해의 개념은 사법재판소의 판례법을 고려하여 본 규정의 목적을 전적으로 반영하는 방식으로 광범위하게 해석되어야 한다. 이는 유럽연합 또는 회원국 법률의 기타 규정의 위반으로 야기된 피해에 대한 배상 청구를 침해하지 않는다. 본 규정을 침해하는 개인정보 처리에는 본 규정서 및 본 규정서의 규정을 명시한 회원국 법률에 따라 채택된 위임·시행 법률을 침해하는 개인정보 처리도 포함된다. 정보주체는 본인이 겪은 피해에 대해 전액의 실질적인 보상을 받아야 한다. 컨트롤러나 프로세서가 동일한 정보처리에 연루된 경우, 각 컨트롤러나 프로세서는 전체 피해에 대해 책임을 져야 한다. 그러나 그들이 동일한 소송 절차에 연결된 경우로, 피해를 입은 정보주체에게 전액의 실질적인 보상이 보장된다면, 회원국 법률에 의거하여, 해당 정보처리로 야기된 피해에 대한 각 컨트롤러나 프로세서의 책임에 따라 보상이 배분될 수 있다. 전액 보상을 지급한 컨트롤러나 프로세서는 차후 동일한 정보처리 건에 관련된 기타 컨트롤러나 프로세서들에 대해 상소 절차를 개시할 수 있다.
(147) 사법권에 대한 특정 규정이 본 규정에 포함되어 있는 경우로 특히 컨트롤러나 프로세서로부터의 보상 등의 사법적 구제를 모색하는 절차와 관련한 경우, 유럽 의회 및 각료이사회 규정서 (EU) No 1215/2012의 규정 등 일반적인 사법권의 규정이 상기의 특정 규정의 적용을 침해해서는 아니 된다 [13].
[13] Regulation (EU) No 1215/2012 of the European Parliament and of the Council of 12 December 2012 on jurisdiction and the recognition and enforcement of judgments in civil and commercial matters (OJ L 351, 20.12.2012, p. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2012:351:TOC
Information Commissioner’s Office (ICO, Great Britain), Right of Access (2020).