국가정보_캐나다
행정처분 법적 근거
1PIPEDA는 법률 위반행위에 대해 직접적으로 행정 과징금을 부과하거나 시정명령을 내릴 권한을 커미셔너에 부여하지 않음
커미셔너는 제기된 민원에 대한 조사를 거쳐 권고사항을 담은 결과보고서를 작성하고, 개인은 결과보고서를 토대로 법원에 직접 소를 제기하여 권리 구제를 받아야 함
커미셔너는 제기된 민원에 대한 조사를 거쳐 권고사항을 담은 결과보고서를 작성하고, 개인은 결과보고서를 토대로 법원에 직접 소를 제기하여 권리 구제를 받아야 함
2커미셔너는 개인이 제기한 민원에 대해 조사에 착수한 후 1년 내에 조사결과 및 권고사항을 수록한 조사보고서를 작성해 민원인 및 민원 상대방인 조직에 송부 (제13조)
개인은 커미셔너가 작성한 조사보고서를 토대로 연방법원에 권고사항의 집행을 구하는 소송을 제기할 수 있음
법원은 ▲PIPEDA 제5조~제10조 등에 규정된 의무를 준수할 수 있도록 조직의 활동에 대한 시정을 명령하거나 ▲수행한 시정조치 혹은 제안된 시정조치 사실에 대해 공시를 명령하거나 ▲조직에 대해 민원인이 입은 인격적 모독에 대해 손해배상금을 지급할 것을 결정
개인은 커미셔너가 작성한 조사보고서를 토대로 연방법원에 권고사항의 집행을 구하는 소송을 제기할 수 있음
법원은 ▲PIPEDA 제5조~제10조 등에 규정된 의무를 준수할 수 있도록 조직의 활동에 대한 시정을 명령하거나 ▲수행한 시정조치 혹은 제안된 시정조치 사실에 대해 공시를 명령하거나 ▲조직에 대해 민원인이 입은 인격적 모독에 대해 손해배상금을 지급할 것을 결정
3커미셔너는 개인정보보호 의무 준수를 독려할 목적으로 조직과 계약을 체결할 수 있음
커미셔너는 조직이 작위 또는 부작위로 개인정보보호 의무를 준수하지 않는 경우 의무 준수를 보장하기 위해 조직과 규범준수 계약(compliance agreement)을 체결할 수 있음 (제17.1조)
커미셔너는 규범준수 계약이 지켜지고 있다고 보는 경우, 그 사실을 조직에 서면으로 통지하고 계약에 포함된 사항과 관련하여 법원에 제기된 모든 법적 절차를 철회해야 함
반대로, 규범준수 계약이 지켜지지 않고 있다고 커미셔너가 판단하는 경우에는 법원에 계약 조건의 이행명령을 구하는 소를 제기할 수 있음 (제17.2조)
커미셔너는 조직이 작위 또는 부작위로 개인정보보호 의무를 준수하지 않는 경우 의무 준수를 보장하기 위해 조직과 규범준수 계약(compliance agreement)을 체결할 수 있음 (제17.1조)
커미셔너는 규범준수 계약이 지켜지고 있다고 보는 경우, 그 사실을 조직에 서면으로 통지하고 계약에 포함된 사항과 관련하여 법원에 제기된 모든 법적 절차를 철회해야 함
반대로, 규범준수 계약이 지켜지지 않고 있다고 커미셔너가 판단하는 경우에는 법원에 계약 조건의 이행명령을 구하는 소를 제기할 수 있음 (제17.2조)
4한편, PIPEDA는 단순한 개인정보보호 위반을 넘어서는 행위를 형사범죄로 규정 (제28조)
PIPEDA는 ▲민원에 대한 조사나 감사 과정에서 커미셔너를 고의로 방해하는 행위 ▲조직이 보유하는 개인정보에 보안 침해 사고 발생 시 고의로 개인정보 감독기관에 보고하지 않거나 개인에게 통지하지 않는 행위 ▲조직이 보유하는 개인정보와 관련해 보안 침해 사고에 관한 기록을 고의로 보관 및 유지하지 않는 행위 등을 범죄로 분류
이 경우 경중에 따라 즉결재판으로 절차가 진행되는 경우 1만 캐나다 달러 이하, 정식기소되어 중범죄로 다루어지는 경우 10만 캐나다 달러 이하의 벌금에 처함
PIPEDA는 ▲민원에 대한 조사나 감사 과정에서 커미셔너를 고의로 방해하는 행위 ▲조직이 보유하는 개인정보에 보안 침해 사고 발생 시 고의로 개인정보 감독기관에 보고하지 않거나 개인에게 통지하지 않는 행위 ▲조직이 보유하는 개인정보와 관련해 보안 침해 사고에 관한 기록을 고의로 보관 및 유지하지 않는 행위 등을 범죄로 분류
이 경우 경중에 따라 즉결재판으로 절차가 진행되는 경우 1만 캐나다 달러 이하, 정식기소되어 중범죄로 다루어지는 경우 10만 캐나다 달러 이하의 벌금에 처함
4한편, PIPEDA는 단순한 개인정보보호 위반을 넘어서는 행위를 형사범죄로 규정 (제28조)
PIPEDA는 ▲민원에 대한 조사나 감사 과정에서 커미셔너를 고의로 방해하는 행위 ▲조직이 보유하는 개인정보에 보안 침해 사고 발생 시 고의로 개인정보 감독기관에 보고하지 않거나 개인에게 통지하지 않는 행위 ▲조직이 보유하는 개인정보와 관련해 보안 침해 사고에 관한 기록을 고의로 보관 및 유지하지 않는 행위 등을 범죄로 분류
이 경우 경중에 따라 즉결재판으로 절차가 진행되는 경우 1만 캐나다 달러 이하, 정식기소되어 중범죄로 다루어지는 경우 10만 캐나다 달러 이하의 벌금에 처함
PIPEDA는 ▲민원에 대한 조사나 감사 과정에서 커미셔너를 고의로 방해하는 행위 ▲조직이 보유하는 개인정보에 보안 침해 사고 발생 시 고의로 개인정보 감독기관에 보고하지 않거나 개인에게 통지하지 않는 행위 ▲조직이 보유하는 개인정보와 관련해 보안 침해 사고에 관한 기록을 고의로 보관 및 유지하지 않는 행위 등을 범죄로 분류
이 경우 경중에 따라 즉결재판으로 절차가 진행되는 경우 1만 캐나다 달러 이하, 정식기소되어 중범죄로 다루어지는 경우 10만 캐나다 달러 이하의 벌금에 처함
5국가기관(법무부 등)에 대한 개인정보보호법 적용 조항, 행정처분 및 권고 사례
정부기관 등 공공부문에 대해서는 PIPEDA 대신 프라이버시법이 적용
동법 제2조는 정부기관이 보유하고 있는 개인정보와 관련하여 개인의 프라이버시를 보호하고 개인에게 해당 정보에 대한 접근 권한을 제공하는 데에 동법의 목적이 있다고 규정
동법 제3조는 부칙에 기재된 정부부처, 기관, 부서, 사무소 및 정부 소유 국영기업 등으로 정부기관을 정의
커미셔너는 개인의 민원신청 혹은 자신의 재량에 따라 정부기관이 보유한 개인정보의 수집, 이용, 제공에 관한 조사를 수행할 수 있음 (프라이버시법 제29조 및 제37조)
그러나 커미셔너는 각 정부기관에 직접적인 처분권한을 행사할 수 없고, 커미셔너가 적절하다고 판단하는 권고사항 및 해당 권고사항을 이행하기 위해 취했거나 취할 예정인 조치를 커미셔너에 통지하라는 요청 등이 담긴 보고서만을 해당 기관에 제공하는 데에 그침 (프라이버시법 제35조)
따라서 정부기관에 대해 시정명령을 내리거나 특정 조치를 취하도록 강제할 수 없는 등 권한 행사의 한계가 뚜렷11)
OPC가 프라이버시법에 따라 정부기관을 조사하여 해당 기관을 상대로 권고를 내린 최신사례는 다음과 같음
권고 최신 사례 대상(처분일시)과 주요 내용
대상
(처분일시)
주요 내용
Department of National Defence12)(‘22.5.)
(사건 개요) 국방부(Department of National Defence)가 소속 직원의 직장 내 폭력 피해 사건과 관련해 해당 피해직원의 개인정보를 동의 없이 제3자에게 제공
민원신청인은 자신이 직장 내 폭력을 경험했다고 주장하면서 자신의 고용기관인 국방부에 민원을 제기
민원신청인은 사건 조사과정 중 자신의 정보를 특정 당사자에게 제공하는 것을 허용하는 동의양식에 서명한 후 해당 서류를 국방부에 제출했으며 국방부 소속 지휘관은 사건 담당자를 지정
사건 담당자는 조사를 마친 후 완료보고서를 국방부에 제출
지휘관은 보고서를 검토한 후 민원신청인에게도 귀책사유가 있을 수 있다고 판단하면서, 징계절차에 착수하기 위해 해당 보고서를 제3자인 고용관계담당관 및 후속 조사를 맡은 조사관과 공유하였는데, 보고서에 민원청구인의 이름이 그대로 표시
한편, 고용관계담당관에게 제공된 보고서는 해당 담당관의 상사 등과 차례로 공유됨
OPC는 국방부의 상기 행위에 대해 조사에 착수했는데, 프라이버시법 제8조제2항제a호(정보를 얻은 목적 또는 그 목적과 일치하는 사용을 위해 개인의 동의 없는 개인정보 제공 허용)를 주요 쟁점으로 판단
국방부는 민원신청인의 개인정보가 제3자에게 제공된 사실을 부인하지 않으면서도, 제3자 제공행위가 직장 내 폭력 사건을 해결하기 위해 민원신청인이 제출한 동의서를 바탕으로 이루어진 것이라고 항변
또한 국방부는 비록 동의서에 기재된 ‘특정 당사자’ 목록에는 고용관계담당관과 후속 사건 조사관이 포함되어 있지는 않았지만, 해당 개인정보 제공은 조사 수행 및 후속 조치를 용이하게 하기 위한 조치로서 ‘목적과 일치하는 사용’’에 해당한다고 주장
OPC는 고용관계담당관의 경우 직장 내 폭력 및 대인 갈등과 같은 직장 내 문제 해결을 담당하고 있다는 점을 비추어 볼 때 완료보고서가 내부적으로 공유될 수 있을 것이라는 점을 민원신청인이 예견할 수 있었다고 봄
그러나 후속 사건 조사관에 대한 제공행위의 경우, 자신의 피해 사건으로부터 수집된 개인정보를 자신의 징계절차에 활용할 것이라는 것을 민원신청인이 예견하기에는 무리가 있다고 봄
민원신청인으로부터 제출받은 개인정보 활용 동의서에는 직장 내 폭력 해결 목적 이외의 다른 목적으로의 사용 여부가 명시되지 않은 것은 사실이나, 이는 사건 해결 목적으로 개인정보를 제공하는 것을 제외하고는 국방부가 개인정보에 대한 기밀성 유지를 폭넓게 약속한 것이라고 이해하는 것이 타당
따라서 국방부의 완료보고서 공유 중 후속 사건 조사관에 대한 공유는 프라이버시법 제8조제2항제a호에서 규정한 ‘목적과 일치하는 사용’에 해당하지 않는다고 결론
(조치 내용) OPC는 국방부에 아래와 같은 권장사항을 담은 보고서를 제공
국방부는 앞으로 직장 내 폭력 사건 해결과 관련한 ‘목적과 일치하는 사용’에 해당하는 개인정보 제3자 제공 시 사건 피해자의 합리적인 기대를 벗어나지 않도록 보장해야 함
국방부는 9개월 내에 상기 권장사항이 일관성 있게 구현되도록 직장 내 폭력 해결 과정에서 피해자 등에게 제공되는 모든 제품 및 도구를 검토 및 보완한 뒤 해당 제품 및 도구를 OPC에 제출해야 함
‘목적과 일치하는 사용’이 발생하는 경우에도 관련자에게 내용을 통지하여 자신의 개인정보가 언제 또는 어떻게 활용되는지 알려야 함
11) https://www.priv.gc.ca/en/privacy-topics/investigations/gd_exp_pa/
12) https://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-into-federal-institutions/2021-22/pa_20220513_dnd/
정부기관 등 공공부문에 대해서는 PIPEDA 대신 프라이버시법이 적용
동법 제2조는 정부기관이 보유하고 있는 개인정보와 관련하여 개인의 프라이버시를 보호하고 개인에게 해당 정보에 대한 접근 권한을 제공하는 데에 동법의 목적이 있다고 규정
동법 제3조는 부칙에 기재된 정부부처, 기관, 부서, 사무소 및 정부 소유 국영기업 등으로 정부기관을 정의
커미셔너는 개인의 민원신청 혹은 자신의 재량에 따라 정부기관이 보유한 개인정보의 수집, 이용, 제공에 관한 조사를 수행할 수 있음 (프라이버시법 제29조 및 제37조)
그러나 커미셔너는 각 정부기관에 직접적인 처분권한을 행사할 수 없고, 커미셔너가 적절하다고 판단하는 권고사항 및 해당 권고사항을 이행하기 위해 취했거나 취할 예정인 조치를 커미셔너에 통지하라는 요청 등이 담긴 보고서만을 해당 기관에 제공하는 데에 그침 (프라이버시법 제35조)
따라서 정부기관에 대해 시정명령을 내리거나 특정 조치를 취하도록 강제할 수 없는 등 권한 행사의 한계가 뚜렷11)
OPC가 프라이버시법에 따라 정부기관을 조사하여 해당 기관을 상대로 권고를 내린 최신사례는 다음과 같음
| 대상 (처분일시) |
주요 내용 |
|---|---|
| Department of National Defence12)(‘22.5.) |
(사건 개요) 국방부(Department of National Defence)가 소속 직원의 직장 내 폭력 피해 사건과 관련해 해당 피해직원의 개인정보를 동의 없이 제3자에게 제공
(조치 내용) OPC는 국방부에 아래와 같은 권장사항을 담은 보고서를 제공
|
11) https://www.priv.gc.ca/en/privacy-topics/investigations/gd_exp_pa/
12) https://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-into-federal-institutions/2021-22/pa_20220513_dnd/
