국가정보_아일랜드
법률체계
1개요
아일랜드의 개인정보보호관련 법적 근거는 ▲헌법 ▲EU 개인정보보호법(General Data
Protection Regulation 2016/679, 이하 GDPR) ▲2018년 개인정보보호법(Data Protection Act
2018) 등 크게 3개의 법이 핵심이다.
가. 헌법
아일랜드 헌법에 명시적으로 개인정보 보호 받을 권리를 규정하고 있지는 않으나,
제40조제 3항제1호에서 ‘국가는 국민 개인의 권리를 존중하고 법률로써 그 권리를 보호할 것을 법률로
보장한다.’라고 규정함으로써 개인의 권리를 헌법에서 폭넓게 보장하고 있다.
판례의 경우, 개인정보보호에 관한 직접적인 사례는 아니지만 프라이버시에 관한 다양한
권리를 헌법 제40조제3항제1호에 의해 보호되는 묵시적인 권리로 인정한 바 있다.1)
1)
McGee v. Attorney General [1974] IR 284 사례에서는 혼인 사생활에 대한 권리를 헌법에 의해 보호되는
개인의 권리로 인정하고, 국가는 사생활 영역에서 이루어진 결정에 대해 정당한 사유 없이 간섭할 수 없다고
판시했으며, Kennedy and Arnold v. Attorney General [1987] IR 587 사례에서는 국가 요원의 개인에 대한
불법 전화 도청이 사생활을 침해하는 행위라고 판시한 바 있음
나. 개인정보보호법(Data Protection Act 2018, 이하 DPA 2018)
아일랜드 개인정보보호법은 ‘88년 최초 제정된 후 여러 차례 개정을 거쳐 현재의 모습을
갖추게 되었다. ’88년 아일랜드 최초로 제정된 개인정보보호법(Data Protection Act 1988,
보호법 1988)은 ‘81년 1월 유럽평의회에서 채택한 ’개인정보 자동처리와 관련한 개인의
보호에 관한 협약2)(유럽평의회 제108호 협약)에 근간을 두고 있으며, 아일랜드 개인정보
감독기구(Office of the Data Protection Commissioner, 現 Data Protection Commission의
전신)는 보호법 1988에 근거하여 ’89년 설립되었다.
이후 ‘03년‘95년 개인정보보호 지침(Directive 95/46/EC)을 자국법에 반영하기 위해 기존
보호법 1988의 개정을 단행 (Data Protection (Amendment) Act 2003)하였고, ‘18년 5월 GDPR에
따라 기존 개인정보보호 법률과의 충돌을 방지하고 GDPR의 원활한 시행을 위해 기존 ’03년
법률의 개정안을 확정(‘18.5.24)3)(Data Protection Act 2018, 이하 DPA 2018)DPA 2018에서
별도로 규정하고 있지 않은 부분은 GDPR을 그대로 적용하고 있다.
DPA 2018은 총 8장 232개 조항으로 이루어져 있으며, ▲개인정보 감독기구(제2장)
▲개인정보 보호규정(제3장) ▲‘88년 법률의 특정조항 폐지에 따른 규정(제4장)
▲형사사법지침(Directive (EU) 2016/680)과 관련한 개인정보 처리(제5장)4) ▲집행(제6장)
등으로 구성되어 있다.
2)
The Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data
(CETS No. 108) (‘81. 1. 28.)
3)
https://www.oireachtas.ie/en/bills/bill/2018/10/
4)
DPA 2018은 GDPR(Regulation (EU) 2016/679)과 형사사법지침(Directive (EU) 2016/680)을 통합하여 하나의 법률 체계로 구성한 것이 특징
다. 그 외 관련 법령 – e-프라이버시 규정(ePrivacy Regulations S.I.No.336/20115))
아일랜드 e-프라이버시 규정은 EU의 e-프라이버시 지침(Directive 2002/58/EC, ePrivacy
Directive)을 국내법으로 구현한 법률로 ‘11년에 제정되었다. 동 법률은 통신 회사 및 인터넷
서비스 제공업체(ISP), 통신 및 전자 통신 네트워크를 활용하여 이용자와 통신하는 모든
법인에 적용되며, 전자 통신 분야에서 개인정보와 관련한 다양한 사항을 규율하고 있다.
또한, e-Privacy 규정은 개인정보보호 위반 시 감독기구에 보고 의무 부과, 쿠키 사용을
위한 이용자의 동의 필수 수집, 다이렉트 마케팅 전화 등을 상대방의 사전 동의 없이
걸었을 경우 과징금 부과 등에 대해서도 규정하고 있다.
5)
정식 명칭은 S.I. No. 336/2011 - European Communities (Electronic Communications Networks and Services)(Privacy and Electronic Communications) Regulations 2011.
아일랜드의 개인정보보호관련 법적 근거는 ▲헌법 ▲EU 개인정보보호법(General Data Protection Regulation 2016/679, 이하 GDPR) ▲2018년 개인정보보호법(Data Protection Act 2018) 등 크게 3개의 법이 핵심이다.
가. 헌법
아일랜드 헌법에 명시적으로 개인정보 보호 받을 권리를 규정하고 있지는 않으나, 제40조제 3항제1호에서 ‘국가는 국민 개인의 권리를 존중하고 법률로써 그 권리를 보호할 것을 법률로 보장한다.’라고 규정함으로써 개인의 권리를 헌법에서 폭넓게 보장하고 있다.
판례의 경우, 개인정보보호에 관한 직접적인 사례는 아니지만 프라이버시에 관한 다양한 권리를 헌법 제40조제3항제1호에 의해 보호되는 묵시적인 권리로 인정한 바 있다.1)
1) McGee v. Attorney General [1974] IR 284 사례에서는 혼인 사생활에 대한 권리를 헌법에 의해 보호되는 개인의 권리로 인정하고, 국가는 사생활 영역에서 이루어진 결정에 대해 정당한 사유 없이 간섭할 수 없다고 판시했으며, Kennedy and Arnold v. Attorney General [1987] IR 587 사례에서는 국가 요원의 개인에 대한 불법 전화 도청이 사생활을 침해하는 행위라고 판시한 바 있음
나. 개인정보보호법(Data Protection Act 2018, 이하 DPA 2018)
아일랜드 개인정보보호법은 ‘88년 최초 제정된 후 여러 차례 개정을 거쳐 현재의 모습을 갖추게 되었다. ’88년 아일랜드 최초로 제정된 개인정보보호법(Data Protection Act 1988, 보호법 1988)은 ‘81년 1월 유럽평의회에서 채택한 ’개인정보 자동처리와 관련한 개인의 보호에 관한 협약2)(유럽평의회 제108호 협약)에 근간을 두고 있으며, 아일랜드 개인정보 감독기구(Office of the Data Protection Commissioner, 現 Data Protection Commission의 전신)는 보호법 1988에 근거하여 ’89년 설립되었다.
이후 ‘03년‘95년 개인정보보호 지침(Directive 95/46/EC)을 자국법에 반영하기 위해 기존 보호법 1988의 개정을 단행 (Data Protection (Amendment) Act 2003)하였고, ‘18년 5월 GDPR에 따라 기존 개인정보보호 법률과의 충돌을 방지하고 GDPR의 원활한 시행을 위해 기존 ’03년 법률의 개정안을 확정(‘18.5.24)3)(Data Protection Act 2018, 이하 DPA 2018)DPA 2018에서 별도로 규정하고 있지 않은 부분은 GDPR을 그대로 적용하고 있다.
DPA 2018은 총 8장 232개 조항으로 이루어져 있으며, ▲개인정보 감독기구(제2장) ▲개인정보 보호규정(제3장) ▲‘88년 법률의 특정조항 폐지에 따른 규정(제4장) ▲형사사법지침(Directive (EU) 2016/680)과 관련한 개인정보 처리(제5장)4) ▲집행(제6장) 등으로 구성되어 있다.
2)
The Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data
(CETS No. 108) (‘81. 1. 28.)
3)
https://www.oireachtas.ie/en/bills/bill/2018/10/
4)
DPA 2018은 GDPR(Regulation (EU) 2016/679)과 형사사법지침(Directive (EU) 2016/680)을 통합하여 하나의 법률 체계로 구성한 것이 특징
다. 그 외 관련 법령 – e-프라이버시 규정(ePrivacy Regulations S.I.No.336/20115))
아일랜드 e-프라이버시 규정은 EU의 e-프라이버시 지침(Directive 2002/58/EC, ePrivacy Directive)을 국내법으로 구현한 법률로 ‘11년에 제정되었다. 동 법률은 통신 회사 및 인터넷 서비스 제공업체(ISP), 통신 및 전자 통신 네트워크를 활용하여 이용자와 통신하는 모든 법인에 적용되며, 전자 통신 분야에서 개인정보와 관련한 다양한 사항을 규율하고 있다. 또한, e-Privacy 규정은 개인정보보호 위반 시 감독기구에 보고 의무 부과, 쿠키 사용을 위한 이용자의 동의 필수 수집, 다이렉트 마케팅 전화 등을 상대방의 사전 동의 없이 걸었을 경우 과징금 부과 등에 대해서도 규정하고 있다.
5) 정식 명칭은 S.I. No. 336/2011 - European Communities (Electronic Communications Networks and Services)(Privacy and Electronic Communications) Regulations 2011.
2개인정보 처리자 의무사항
(1) 데이터 컨트롤러
정보주체 권리강화와 관련하여 DPA 2018에서는 아동 정보 삭제권(제33조) 이외에 GDPR
제Ⅲ장에 해당하는 정보주체의 권리강화를 위한 조항을 별도로 두지 않고 해당 권리를 제한하는
규정(제60조~제61조) 및 컨트롤러의 의무를 면제하는 조항(제43조)만을 두고 있는 것이 특징이다.
DPA 2018에서는 정보주체 권리와 관련하여 별도의 규정을 가지고 있지 않아, 정보주체의
권리는 GDPR 규정을 적용, 아동에게 이루어지는 정보사회서비스 제공과 관련하여 아동의 요청
에 따라 해당 개인정보를 지체 없이 삭제해야 한다는 특칙을(DPA 2018 제33조) 두고 있다.
[GDPR상의 정보주체 권리강화 규정]
GDPR상의 정보주체 권리강화 규정
조항
권리
의무사항 세부 내용
GDPR 제12조
정보를 제공받을 권리
컨트롤러는 정보주체로부터 개인정보를 수집하였거나
정보주체로부터 개인정보를 수집되지 않은 경우에도,
▲컨트롤러 및 그 대리인의 신원 ▲처리 목적 및 처리의 법적 근거
▲개인정보 수령인의 범주 및 관련 개인정보의 범주 ▲GDPR
제15조에서 제22조 사이에 규정된 정보주체의 개인정보 관련 권리
▲GDPR 제34조상의 개인정보 침해 통지 등을 정확하고,
투명하며, 이해하기 쉬운 형식으로 제공해야 함
제15조
열람권
컨트롤러는 정보주체가 개인정보 처리 여부에 대해 확답을
얻을 권리를 행사할 경우, ▲처리 목적 ▲관련된 개인정보
범주 ▲개인정보를 제공받았거나 제공받을 수령인
▲개인정보에 대해 행사할 수 있는 일체의 권리(정정권·
삭제권·처리제한권·반대권 등) ▲감독기관에 민원을 제기할
수 있는 권리 ▲정보주체로부터 개인정보를 수집하지 않은
경우, 수집된 개인정보의 출처 등에 대한 정보를
정보주체에게 제공해야 함
제16조
정정권
컨트롤러는 정보주체가 본인에 대한 부정확한 개인정보를
지체 없이 정정하도록 요구할 경우, 요구사항에 맞게 이를
보완할 의무를 지님
제17조
삭제권
정보주체는 본인에 관한 개인정보를 부당한 지체 없이
삭제하도록 컨트롤러에게 요청할 권리를 가지며, 컨트롤러는
▲수집된 개인정보가 더 이상 필요하지 않은 경우
▲정보주체가 동의를 철회하여 개인정보 처리에 대한 법적
근거가 없어진 경우 ▲정보주체가 개인정보 처리에 반대할
경우 ▲개인정보가 불법적으로 처리된 경우 ▲아동에게 직접
이루어지는 정보사회서비스의 제공과 관련하여 개인정보가
수집된 경우, 부당한 지체 없이 개인정보를 삭제할 의무를
가짐 (GDPR 제17조)
DPA 2018 제33조
아동의 삭제권
GDPR 제17조에 따라, 컨트롤러는 GDPR 제8조 제1항에
따른 정보사회서비스의 제공과 관련하여 (아동의) 개인정보를
수집한 경우 (아동인) 정보주체의 요청에 따라 해당
개인정보를 과도한 지체 없이 삭제해야 함 (DPA 2018 제33조)
제18조
처리제한권
컨트롤러는 ▲정보주체가 개인정보의 정확성에 대해 이의를
제기하는 경우 ▲처리가 불법적이고 정보주체가 해당
개인정보의 삭제에 반대하고 대신 개인정보에 대한 이용제한을
요청하는 경우 ▲처리가 불법적으로 이루어지고, 정보주체가
개인정보의 삭제에 반대하면서 대신 그 개인정보의 이용
제한을 요청한 경우 ▲더 이상 개인정보가 필요하지 않지만,
정보주체가 법적 청구권의 입증, 행사 및 방어를 위하여 그
정보를 요구한 경우 ▲정보주체가 GDPR 제21조제1항에 따라 처리에 반대한 경우에는 컨트롤러의 정당한 근거가 정보주체의
정당한 근거에 우선하는지 여부가 확인될 때까지 개인정보
처리 제한 의무를 지님
제20조
이동권
정보주체가 컨트롤러에게 제공한 본인에 관한 개인정보를
다른 컨트롤러에게 이전하고자 할 경우, 컨트롤러는
정보주체의 요구에 따라 개인정보를 다른 컨트롤러에
이전해야 함
제21조
반대권
정보주체가 프로파일링 등 본인과 관련된 개인정보 처리에
반대할 권리를 행사할 경우, 컨트롤러는 정당한 이익을
입증하지 못하는 한, 더 이상 정보주체의 개인정보를
처리하여서는 안 됨
다음의 경우는 DPA 2018 적용이 제외된다.
(표현의 자유) 언론·학술·예술 또는 문학적 표현을 위한 개인정보 처리, 표현의 자유와
정보의 자유에 대한 권리 행사 (제43조)
(공익적 목적 Ⅰ) 국가안보 목적, 범죄 예방 및 형벌의 집행, 세금·관세, 등 경제적 이익
보호, 사법절차 보호 및 민법 청구 집행 등 (제60조)
(공익적 목적 Ⅱ) 정보주체의 개인정보가 정당한 이해관계에 있는 자에게 기밀로 제공된 경우 (제60조)
공익 기록 보존 목적, 과학·역사적 연구 목적 또는 통계 목적을 위한 권리 제한 (제61조)
▶ (컨트롤러 의무사항) GDPR의 컨트롤러 관련 조항을 적용
컨트롤러 관련 조항
조항
의무사항 세부 내용
GDPR 제24조 적절한 기술적 관리적 조치
컨트롤러는 개인정보의 처리가 자연인의 권리 및 자유에 미치는
위험의 다양한 가능성 및 정도와 함께 최신 기술, 실행 비용, 처리의
성격, 범위, 상황 및 목적을 고려하여, 그 처리가 본 규정에 따라
이루어졌음을 보장하고 입증할 수 있도록 적절한 기술 및 관리적
조치를 취해야 함
GDPR 제25조 특별한 설계 및 기본설정에 의한 개인정보보호
컨트롤러는 가명처리 등 기술적·관리적 조치를, 개인정보 처리 방법을
결정한 시점 및 개인정보 처리가 이루어지는 시점에서 이행할 의무가 있음
GDPR 제30조 처리 활동의 기록
컨트롤러는 자신이 책임지는 처리 활동에 대한 기록을 보관해야 하며,
이 때 아래의 정보를 포함해야 함
▲컨트롤러·공동 컨트롤러·컨트롤러의 대리인·DPO의 이름과 연락처
▲처리의 목적 ▲정보주체의 범주 및 개인정보의 범주에 대한 설명
등 ▲제3국 또는 국제기구의 수령인 등 개인정보를 제공받았거나
제공받을 예정인 수령인의 범주 등
GDPR 제35조 개인정보 영향평가
개인정보 처리의 성격과 범위, 상황, 목적을 고려하여, 특히 새로운
기술을 사용하는 처리 유형이 개인의 권리와 자유에 중대한 위험을
초래할 가능성이 있는 경우, 컨트롤러는 처리에 앞서, 예정된 처리
작업이 개인정보 보호에 미치는 영향에 대한 평가를 수행해야 함
GDPR 재37조 DPO 지정
컨트롤러와 프로세서는 다음 중 하나 이상을 충족하는 경우 DPO를
임명할 의무가 있음
법원이 사법 권한을 행사하는 경우를 제외하고, 공공기관이 개인정보 처리를 수행
컨트롤러와 프로세서의 핵심 활동이 정보주체에 대한 대규모의 정기적
/체계적 모니터링이 필요한 처리 작업에 해당
컨트롤러와 프로세서의 핵심 활동이 GDPR 제9조에 따른 특수범주
개인정보의 대규모 처리 또는 GDPR 제10조에 따른 형사범죄 경력
또는 범죄행위와 관련된 대규모 처리에 해당
▶ (아동 관련) DPA 2018 기준 아동의 연령은 18세(DPA 2018 제29조)로 GDPR의 16세와 상이
단, GDPR 제8조 관련 정보사회서비스에서의 아동의 동의 요건에 한정하여 16세 적용(DPA
2018 제31조제1항)
(1) 데이터 컨트롤러
정보주체 권리강화와 관련하여 DPA 2018에서는 아동 정보 삭제권(제33조) 이외에 GDPR 제Ⅲ장에 해당하는 정보주체의 권리강화를 위한 조항을 별도로 두지 않고 해당 권리를 제한하는 규정(제60조~제61조) 및 컨트롤러의 의무를 면제하는 조항(제43조)만을 두고 있는 것이 특징이다. DPA 2018에서는 정보주체 권리와 관련하여 별도의 규정을 가지고 있지 않아, 정보주체의 권리는 GDPR 규정을 적용, 아동에게 이루어지는 정보사회서비스 제공과 관련하여 아동의 요청 에 따라 해당 개인정보를 지체 없이 삭제해야 한다는 특칙을(DPA 2018 제33조) 두고 있다.
[GDPR상의 정보주체 권리강화 규정]
| 조항 | 권리 | 의무사항 세부 내용 |
|---|---|---|
| GDPR 제12조 | 정보를 제공받을 권리 |
컨트롤러는 정보주체로부터 개인정보를 수집하였거나 정보주체로부터 개인정보를 수집되지 않은 경우에도, ▲컨트롤러 및 그 대리인의 신원 ▲처리 목적 및 처리의 법적 근거 ▲개인정보 수령인의 범주 및 관련 개인정보의 범주 ▲GDPR 제15조에서 제22조 사이에 규정된 정보주체의 개인정보 관련 권리 ▲GDPR 제34조상의 개인정보 침해 통지 등을 정확하고, 투명하며, 이해하기 쉬운 형식으로 제공해야 함 |
| 제15조 | 열람권 |
컨트롤러는 정보주체가 개인정보 처리 여부에 대해 확답을 얻을 권리를 행사할 경우, ▲처리 목적 ▲관련된 개인정보 범주 ▲개인정보를 제공받았거나 제공받을 수령인 ▲개인정보에 대해 행사할 수 있는 일체의 권리(정정권· 삭제권·처리제한권·반대권 등) ▲감독기관에 민원을 제기할 수 있는 권리 ▲정보주체로부터 개인정보를 수집하지 않은 경우, 수집된 개인정보의 출처 등에 대한 정보를 정보주체에게 제공해야 함 |
| 제16조 | 정정권 |
컨트롤러는 정보주체가 본인에 대한 부정확한 개인정보를 지체 없이 정정하도록 요구할 경우, 요구사항에 맞게 이를 보완할 의무를 지님 |
| 제17조 | 삭제권 |
정보주체는 본인에 관한 개인정보를 부당한 지체 없이 삭제하도록 컨트롤러에게 요청할 권리를 가지며, 컨트롤러는 ▲수집된 개인정보가 더 이상 필요하지 않은 경우 ▲정보주체가 동의를 철회하여 개인정보 처리에 대한 법적 근거가 없어진 경우 ▲정보주체가 개인정보 처리에 반대할 경우 ▲개인정보가 불법적으로 처리된 경우 ▲아동에게 직접 이루어지는 정보사회서비스의 제공과 관련하여 개인정보가 수집된 경우, 부당한 지체 없이 개인정보를 삭제할 의무를 가짐 (GDPR 제17조) |
| DPA 2018 제33조 | 아동의 삭제권 |
GDPR 제17조에 따라, 컨트롤러는 GDPR 제8조 제1항에 따른 정보사회서비스의 제공과 관련하여 (아동의) 개인정보를 수집한 경우 (아동인) 정보주체의 요청에 따라 해당 개인정보를 과도한 지체 없이 삭제해야 함 (DPA 2018 제33조) |
| 제18조 | 처리제한권 |
컨트롤러는 ▲정보주체가 개인정보의 정확성에 대해 이의를 제기하는 경우 ▲처리가 불법적이고 정보주체가 해당 개인정보의 삭제에 반대하고 대신 개인정보에 대한 이용제한을 요청하는 경우 ▲처리가 불법적으로 이루어지고, 정보주체가 개인정보의 삭제에 반대하면서 대신 그 개인정보의 이용 제한을 요청한 경우 ▲더 이상 개인정보가 필요하지 않지만, 정보주체가 법적 청구권의 입증, 행사 및 방어를 위하여 그 정보를 요구한 경우 ▲정보주체가 GDPR 제21조제1항에 따라 처리에 반대한 경우에는 컨트롤러의 정당한 근거가 정보주체의 정당한 근거에 우선하는지 여부가 확인될 때까지 개인정보 처리 제한 의무를 지님 |
| 제20조 | 이동권 |
정보주체가 컨트롤러에게 제공한 본인에 관한 개인정보를 다른 컨트롤러에게 이전하고자 할 경우, 컨트롤러는 정보주체의 요구에 따라 개인정보를 다른 컨트롤러에 이전해야 함 |
| 제21조 | 반대권 |
정보주체가 프로파일링 등 본인과 관련된 개인정보 처리에 반대할 권리를 행사할 경우, 컨트롤러는 정당한 이익을 입증하지 못하는 한, 더 이상 정보주체의 개인정보를 처리하여서는 안 됨 |
다음의 경우는 DPA 2018 적용이 제외된다.
(표현의 자유) 언론·학술·예술 또는 문학적 표현을 위한 개인정보 처리, 표현의 자유와 정보의 자유에 대한 권리 행사 (제43조)
(공익적 목적 Ⅰ) 국가안보 목적, 범죄 예방 및 형벌의 집행, 세금·관세, 등 경제적 이익 보호, 사법절차 보호 및 민법 청구 집행 등 (제60조)
(공익적 목적 Ⅱ) 정보주체의 개인정보가 정당한 이해관계에 있는 자에게 기밀로 제공된 경우 (제60조)
공익 기록 보존 목적, 과학·역사적 연구 목적 또는 통계 목적을 위한 권리 제한 (제61조)
▶ (컨트롤러 의무사항) GDPR의 컨트롤러 관련 조항을 적용
| 조항 | 의무사항 세부 내용 |
|---|---|
| GDPR 제24조 적절한 기술적 관리적 조치 |
컨트롤러는 개인정보의 처리가 자연인의 권리 및 자유에 미치는 위험의 다양한 가능성 및 정도와 함께 최신 기술, 실행 비용, 처리의 성격, 범위, 상황 및 목적을 고려하여, 그 처리가 본 규정에 따라 이루어졌음을 보장하고 입증할 수 있도록 적절한 기술 및 관리적 조치를 취해야 함 |
| GDPR 제25조 특별한 설계 및 기본설정에 의한 개인정보보호 |
컨트롤러는 가명처리 등 기술적·관리적 조치를, 개인정보 처리 방법을 결정한 시점 및 개인정보 처리가 이루어지는 시점에서 이행할 의무가 있음 |
| GDPR 제30조 처리 활동의 기록 |
컨트롤러는 자신이 책임지는 처리 활동에 대한 기록을 보관해야 하며, 이 때 아래의 정보를 포함해야 함 ▲컨트롤러·공동 컨트롤러·컨트롤러의 대리인·DPO의 이름과 연락처 ▲처리의 목적 ▲정보주체의 범주 및 개인정보의 범주에 대한 설명 등 ▲제3국 또는 국제기구의 수령인 등 개인정보를 제공받았거나 제공받을 예정인 수령인의 범주 등 |
| GDPR 제35조 개인정보 영향평가 |
개인정보 처리의 성격과 범위, 상황, 목적을 고려하여, 특히 새로운 기술을 사용하는 처리 유형이 개인의 권리와 자유에 중대한 위험을 초래할 가능성이 있는 경우, 컨트롤러는 처리에 앞서, 예정된 처리 작업이 개인정보 보호에 미치는 영향에 대한 평가를 수행해야 함 |
| GDPR 재37조 DPO 지정 |
컨트롤러와 프로세서는 다음 중 하나 이상을 충족하는 경우 DPO를 임명할 의무가 있음 법원이 사법 권한을 행사하는 경우를 제외하고, 공공기관이 개인정보 처리를 수행 컨트롤러와 프로세서의 핵심 활동이 정보주체에 대한 대규모의 정기적 /체계적 모니터링이 필요한 처리 작업에 해당 컨트롤러와 프로세서의 핵심 활동이 GDPR 제9조에 따른 특수범주 개인정보의 대규모 처리 또는 GDPR 제10조에 따른 형사범죄 경력 또는 범죄행위와 관련된 대규모 처리에 해당 |
3데이터 프로세서
▶ DPA 2018은 데이터 프로세서에 대한 별도의 의무조항이 존재하지 않아, GDPR에서 규정하고
있는 데이터 프로세서에 관한 의무사항이 아일랜드 내에 직접 적용된다.
데이터 프로세서는 GDPR에 따라 처리활동의 기록(GDPR 제30조), 개인정보 처리 보안
기준 적용(GDPR 제32조), 개인정보 영향평가 수행(GDPR 제35조), 제3국 및 국제기구로의
개인정보 역외 이전(GDPR 제44조~제48조) 등과 같은 다양한 의무를 부담한다.
또한, 데이터 프로세서는 GDPR 제83조 및 DPA 2018 제141조 이하에 근거하여 제재의
직접 대상이 된다.
▶ DPA 2018은 데이터 프로세서에 대한 별도의 의무조항이 존재하지 않아, GDPR에서 규정하고 있는 데이터 프로세서에 관한 의무사항이 아일랜드 내에 직접 적용된다.
데이터 프로세서는 GDPR에 따라 처리활동의 기록(GDPR 제30조), 개인정보 처리 보안 기준 적용(GDPR 제32조), 개인정보 영향평가 수행(GDPR 제35조), 제3국 및 국제기구로의 개인정보 역외 이전(GDPR 제44조~제48조) 등과 같은 다양한 의무를 부담한다.
또한, 데이터 프로세서는 GDPR 제83조 및 DPA 2018 제141조 이하에 근거하여 제재의 직접 대상이 된다.
4행정처분 법적 근거
▶ DPA 2018은 DPC의 조사 및 집행권한에 관해 여러 조문에 걸쳐 상세히 규정하고 있으며,
제141조에서는 행정 과징금 처분의 근거를 제공한다.
데이터 프로세서는 GDPR에 따라 처리활동의 기록(GDPR 제30조), 개인정보 처리 보안
기준 적용(GDPR 제32조), 개인정보 영향평가 수행(GDPR 제35조), 제3국 및 국제기구로의
개인정보 역외 이전(GDPR 제44조~제48조) 등과 같은 다양한 의무를 부담한다.
또한, 데이터 프로세서는 GDPR 제83조 및 DPA 2018 제141조 이하에 근거하여 제재의
직접 대상이 된다.
행정처분 법적 근거
조항
세부 내용
제110조 집행 및 조사 권한
DPC는 GDPR 또는 DPA 2018 위반 여부를 확인하기 위해, 민원에
근거하여 또는 자체적 의사결정으로 권한을 행사(제129조~제136조)
하거나 조사를 시작(제137조~제140조)할 수 있음(제110조)
민원에 근거하여 또는 자체적 의사결정으로 조사를 수행한 후 컨트롤러
또는 프로세서의 법률 위반행위가 발생했다고 판단할 경우, DPC는
결정에 따라 컨트롤러 또는 프로세서에 GDPR 제58조제2항에 따른
시정 권한을 행사할 수 있음 (제111조, 제112조, 제115조)
제129조~제130조 세부 집행 권한
DPC는 임직원 중 적절한 자를 임명하여 집행 권한을 행사할 수
있도록 하며, 권한을 받은 임직원은 ▲장소 진입 ▲문서, 기록, 진술
또는 기타 정보의 검색·검사·발췌·복사 ▲문서 및 기록의 제거 및 보관
등을 수행할 수 있음
또한 권한을 받은 임직원은 특정 장소로의 진입이 거부된 경우
법원에 수색 영장을 신청할 수 있고, 발부된 영장에 근거해 아일랜드
경찰을 동반할 수 있음
제137조~제138조 세부 조사 권한
DPC는 한 명 이상의 권한 있는 임직원에게 조사를 수행하고
보고하도록 지시할 수 있음
권한 있는 임직원은 컨트롤러 또는 프로세서 등에 기록 또는 문서를
제공하도록 요구할 수 있으며, 권한 있는 임직원의 요구에 따라 해당
당사자들은 출두하여 권한 있는 임직원에게 정보, 기록 또는 문서를
제공하거나 선서 하에 권한 있는 임직원의 질문에 대답해야 함
제141조 행정 과징금 부과
DPC는 행정 과징금을 부과할지 여부 및 과징금 액수 등을 결정할 때,
동조 및 GDPR 제83조에 따라야 함
단, 컨트롤러가 공공기관에 해당할 경우 과징금은 100만 유로를
초과할 수 없음
▶ 또한, DPA 2018은 제144조 이하에서 GDPR에서 규정하지 않은 형사 범죄를 별도로 규정 하고 있다.
프로세서, 프로세서의 직원 및 대리인 등이 컨트롤러의 사전 허가 없이 프로세서가
처리한 개인정보를 고의 또는 무모하게 공개하는 경우 ▲약식 기소 시 A급 벌금(5,000
유로 이하의 벌금6)) 또는/그리고 12개월 이하의 징역 ▲정식 기소 시 5만 유로 이하의
벌금 또는/그리고 5년 이하의 징역에 처함 (제144조)
컨트롤러 또는 프로세서의 사전 허가 없이 개인정보를 취득하고 이를 타인에게 공개한 자는
▲약식 기소 시 A급 벌금(5,000유로 이하의 벌금) 또는/그리고 12개월 이하의 징역
▲정식 기소 시 5만 유로 이하의 벌금 또는/그리고 5년 이하의 징역에 처함 (제145조제1항)
동조 제1항을 위반하여 자신에게 공개된 개인정보를 판매하는 자 및 컨트롤러 또는 프로세서의 사전 허가 없이
취득한 개인정보를 판매하겠다고 제안하는 자도
▲약식 기소 시 A급 벌금(5,000유로 이하의 벌금) 또는/그리고 12개월 이하의 징역
▲정식 기소 시 5만 유로 이하의 벌금 또는/그리고 5년 이하의 징역에 처함 (제145조 제3항 및 제4항)
6)
Fines Act 2010 제3조에 따라 "A급 벌금"은 €5,000 이하의 벌금을 의미, 이하 상동
▶ 국가기관(법무부 등)에 대한 개인정보보호법 적용 조항, 행정처분 및 권고 사례
DPA 2018은 컨트롤러 및 프로세서 등에 대한 정의를 별도로 내리고 있지 않으므로
컨트롤러 및 프로세서에 관한 정의는 GDPR 제4조를 그대로 따르는 것으로 해석하고 있다.
GDPR 제4조제7항이 컨트롤러를 단독으로 또는 제3자와 공동으로 개인정보 처리의
목적 및 방법을 결정하는 자연인 또는 법인, 공공기관, 기관, 기타 기구로 정의하고
있으므로 국가기관도 DPA 2018의 적용을 받는 컨트롤러에 포함된다.
DPA 2018 제11조는 DPC를 GDPR에 명시된 의미와 목적을 위한 감독기구로 규정함으로써,
국가기관의 개인정보보호 준수 여부에 대한 감독 기능을 법률에 근거하여 수행한다.
DPC는 DPA 2018 제110조에 따라 GDPR 또는 DPA 2018 위반 여부를 확인하기 위해,
민원에 근거하여 또는 자체적 의사결정으로 권한을 행사하거나 조사를 시작할 수
있으며, 경우에 따라 GDPR 제58조제2항에 따른 시정 권한을 행사할 수 있다.
단, GDPR 제58조제2항제(i)호에 따라 컨트롤러인 국가기관에 행정 과징금을 부과
하더라도 그 가액은 100만 유로를 초과할 수 없다. (DPA 2018 제141조)
DPC는 GDPR 시행 이후 정부부처 등 국가기관에 대해 GDPR 혹은 DPA 2018 위반을
이유로 권한을 행사한 사례가 총 세 차례 존재한다.
국가기관(법무부 등)에 대한 개인정보보호법 적용 조항, 행정처분 및 권고 사례
대상(처분일시)
주요 내용
Health Service Executive7)(‘21.1.)
(사건 개요) 아일랜드 보건서비스행정부(Health Service Executive,
이하 HSE)가 환자들의 개인정보가 담긴 문서를 무단으로 폐기 및 방치
HSE는 지역 내 대학병원에서 생산한 총 78명의 개인정보(그 중 6명은 특별 범주의 개인정보를 포함)가
수록된 하드카피 문서를 지역 공공 재활용 센터에 폐기하였고, 이 문서를 일반 시민이 발견
또한, 지역 내 병원에서 작성된 15명의 개인정보가 포함된 문서를 해당
병원 앞마당에서 방치하여 일반 시민이 이 문서를 발견
HSE가 위 개인정보 침해 사고를 DPC에 통보함으로써 DPC가 조사에
착수하였으며, 주로 개인정보의 적정한 보안 수준 준수 여부가 쟁점이 됨
DPC는 HSE가 민감한 문서 파쇄 정책을 마련하여 시행하고 있었으나
각급 병원들이 해당 정책을 채택 및 실행하도록 하는 적절한 조치를
취하지 못했음을 발견
이는 결국 HSE의 조치가 환자의 개인정보보호를 위해 적절한 수준의
보안을 위한 기술적·관리적 조치를 취하지 못한 것으로, DPC는 HSE가
GDPR 제5조제1항제(f)호 및 제32조제1항을 위반한 것으로 결론
(조치 내용) DPC는 HSE의 개인정보 침해행위에 대해 6만 5,000유로의
과징금을 부과
DPA 2018 제141조제4항에 따르면 공공기관에는 100만 유로를 초과하는
과징금을 부과할 수 없으나, 동조동항제(b)호의 단서에 따라 사업자로서
활동8)하는 경우 해당 과징금의 적용을 받지 않는다고 규정
HSE은 공공기관이지만 이 사안의 경우 대가의 지급에 따른 서비스
제공 활동으로서 이익을 위한 활동으로 간주된다는 점에서 과징금의
상한에 대한 고려 없이 과징금 액수를 결정
Teaching Council9)(‘21.12.)
(사건 개요) 교사위원회 직원 2명이 피싱 이메일에 접속하여 위원회
메일 시스템에 악성코드 설치
해당 악성코드는 위원회 메일 계정에서 악성 전자메일 계정으로
자동 포워딩하는 알고리즘으로 구성
‘20년 2월 17일부터 ’20년 3월 6일까지 323개의 이메일이 인가 없이
외부 메일 주소로 포워딩 되었으며, 해당 이메일에는 9,735명의
개인정보와 1명의 민감 개인정보가 포함
결과적으로 교사위원회가 적절한 수준의 개인정보 보안을 위한
기술적·관리적 조치를 취하지 못한 것으로서 GDPR 제5조제1항 및
제32조제1항을 위반
그밖에, 위원회는 개인정보 침해가 발생했음에도 DPC에 해당 사실을
통지하지 않아 GDPR 제33조제1항을 추가적으로 위반
(조치 내용) DPC는 교사위원회의 개인정보 침해행위에 대해 6만
유로의 과징금을 부과
DPA 2018 제141조제4항에 따라, 공공기관이면서 이익을 위해
활동하는 사업자가 아니라는 점에서 100만 유로의 상한이 적용되어
과징금 액수가 결정됨
Limerick City and County Council10)(‘21.12.)
(사건 개요) 리머릭주의회는 교통 관리 목적으로 CCTV를 설치 및 운영
DPC는 자체적으로 해당 의회의 개인정보보호 위반 여부에 대한 조사에 착수
조사 결과, 의회는 CCTV로 개인정보를 처리하는 것에 대한 법적 근거가
없었으나 교통 관리를 위해 CCTV로 개인정보 처리
또한, 정보주체로부터 교통 관리용 CCTV가 수집한 정보에 대해 열람을
요청받았으나 해당 요청을 거부한 것으로 드러남
그밖에도, CCTV 촬영 및 운영에 관한 표지 없이 CCTV를 운영했으며,
CCTV 운영 관련 정책을 접근이 용이하거나 투명하게 공개하지 않았음
DPC는 결과적으로 리머릭주의회의 일련의 행위에 대해 각각 GDPR
제15조(열람권 거부), 제13조(CCTV 운영에 관한 표지 미구현 및 웹사이트를
통한 필수 정보 미제공), 제12조(투명한 정보 제공 의무 위반)를 위반했다고 결론
7)
https://www.dataprotection.ie/sites/default/files/uploads/2021-02/Inquiries%20Health%20Service%20Executive.docx.pdf
https://www.dataprotection.ie/sites/default/files/uploads/2021-02/18.08.2020%26_29.09.2020_Decisions_IN-19-9-1_%26_IN-19-9-2_HSE.pdf
8)
2002년 경쟁법(Competition Act, 2002) 제3조에서 사업자(undertakings)를 공공기관이 상품 생산, 공급, 분배 또는 서비스 제공으로부터 이익을 얻기 위해 활동하는 개인, 법인, 단체 등을 의미한다고 규정
9)
https://www.dataprotection.ie/sites/default/files/uploads/2022-01/IN-20-04-01%20Teaching%20Council%20Inquiry%20Decision%20EN.pdf
https://www.dataprotection.ie/sites/default/files/uploads/2022-01/Redacted%20Final%20Decision%20The%20Teaching%20Council_20-04-01.pdf
10)
https://www.dataprotection.ie/sites/default/files/uploads/2022-01/Limerick%20Council%20Decision%20Summary%20EN.pdf
https://www.dataprotection.ie/sites/default/files/uploads/2022-01/REDACTED_091221_Final%20DecisionLimerick_03-SIU-2018%20PDF%20FINAL.pdf
▶ DPA 2018은 DPC의 조사 및 집행권한에 관해 여러 조문에 걸쳐 상세히 규정하고 있으며, 제141조에서는 행정 과징금 처분의 근거를 제공한다.
데이터 프로세서는 GDPR에 따라 처리활동의 기록(GDPR 제30조), 개인정보 처리 보안 기준 적용(GDPR 제32조), 개인정보 영향평가 수행(GDPR 제35조), 제3국 및 국제기구로의 개인정보 역외 이전(GDPR 제44조~제48조) 등과 같은 다양한 의무를 부담한다.
또한, 데이터 프로세서는 GDPR 제83조 및 DPA 2018 제141조 이하에 근거하여 제재의 직접 대상이 된다.
| 조항 | 세부 내용 |
|---|---|
| 제110조 집행 및 조사 권한 |
DPC는 GDPR 또는 DPA 2018 위반 여부를 확인하기 위해, 민원에 근거하여 또는 자체적 의사결정으로 권한을 행사(제129조~제136조) 하거나 조사를 시작(제137조~제140조)할 수 있음(제110조) 민원에 근거하여 또는 자체적 의사결정으로 조사를 수행한 후 컨트롤러 또는 프로세서의 법률 위반행위가 발생했다고 판단할 경우, DPC는 결정에 따라 컨트롤러 또는 프로세서에 GDPR 제58조제2항에 따른 시정 권한을 행사할 수 있음 (제111조, 제112조, 제115조) |
| 제129조~제130조 세부 집행 권한 |
DPC는 임직원 중 적절한 자를 임명하여 집행 권한을 행사할 수 있도록 하며, 권한을 받은 임직원은 ▲장소 진입 ▲문서, 기록, 진술 또는 기타 정보의 검색·검사·발췌·복사 ▲문서 및 기록의 제거 및 보관 등을 수행할 수 있음 또한 권한을 받은 임직원은 특정 장소로의 진입이 거부된 경우 법원에 수색 영장을 신청할 수 있고, 발부된 영장에 근거해 아일랜드 경찰을 동반할 수 있음 |
| 제137조~제138조 세부 조사 권한 |
DPC는 한 명 이상의 권한 있는 임직원에게 조사를 수행하고 보고하도록 지시할 수 있음 권한 있는 임직원은 컨트롤러 또는 프로세서 등에 기록 또는 문서를 제공하도록 요구할 수 있으며, 권한 있는 임직원의 요구에 따라 해당 당사자들은 출두하여 권한 있는 임직원에게 정보, 기록 또는 문서를 제공하거나 선서 하에 권한 있는 임직원의 질문에 대답해야 함 |
| 제141조 행정 과징금 부과 |
DPC는 행정 과징금을 부과할지 여부 및 과징금 액수 등을 결정할 때, 동조 및 GDPR 제83조에 따라야 함 단, 컨트롤러가 공공기관에 해당할 경우 과징금은 100만 유로를 초과할 수 없음 |
▶ 또한, DPA 2018은 제144조 이하에서 GDPR에서 규정하지 않은 형사 범죄를 별도로 규정 하고 있다.
프로세서, 프로세서의 직원 및 대리인 등이 컨트롤러의 사전 허가 없이 프로세서가 처리한 개인정보를 고의 또는 무모하게 공개하는 경우 ▲약식 기소 시 A급 벌금(5,000 유로 이하의 벌금6)) 또는/그리고 12개월 이하의 징역 ▲정식 기소 시 5만 유로 이하의 벌금 또는/그리고 5년 이하의 징역에 처함 (제144조)
컨트롤러 또는 프로세서의 사전 허가 없이 개인정보를 취득하고 이를 타인에게 공개한 자는 ▲약식 기소 시 A급 벌금(5,000유로 이하의 벌금) 또는/그리고 12개월 이하의 징역 ▲정식 기소 시 5만 유로 이하의 벌금 또는/그리고 5년 이하의 징역에 처함 (제145조제1항)
동조 제1항을 위반하여 자신에게 공개된 개인정보를 판매하는 자 및 컨트롤러 또는 프로세서의 사전 허가 없이 취득한 개인정보를 판매하겠다고 제안하는 자도 ▲약식 기소 시 A급 벌금(5,000유로 이하의 벌금) 또는/그리고 12개월 이하의 징역 ▲정식 기소 시 5만 유로 이하의 벌금 또는/그리고 5년 이하의 징역에 처함 (제145조 제3항 및 제4항)
6) Fines Act 2010 제3조에 따라 "A급 벌금"은 €5,000 이하의 벌금을 의미, 이하 상동
▶ 국가기관(법무부 등)에 대한 개인정보보호법 적용 조항, 행정처분 및 권고 사례
DPA 2018은 컨트롤러 및 프로세서 등에 대한 정의를 별도로 내리고 있지 않으므로 컨트롤러 및 프로세서에 관한 정의는 GDPR 제4조를 그대로 따르는 것으로 해석하고 있다.
GDPR 제4조제7항이 컨트롤러를 단독으로 또는 제3자와 공동으로 개인정보 처리의 목적 및 방법을 결정하는 자연인 또는 법인, 공공기관, 기관, 기타 기구로 정의하고 있으므로 국가기관도 DPA 2018의 적용을 받는 컨트롤러에 포함된다.
DPA 2018 제11조는 DPC를 GDPR에 명시된 의미와 목적을 위한 감독기구로 규정함으로써, 국가기관의 개인정보보호 준수 여부에 대한 감독 기능을 법률에 근거하여 수행한다.
DPC는 DPA 2018 제110조에 따라 GDPR 또는 DPA 2018 위반 여부를 확인하기 위해, 민원에 근거하여 또는 자체적 의사결정으로 권한을 행사하거나 조사를 시작할 수 있으며, 경우에 따라 GDPR 제58조제2항에 따른 시정 권한을 행사할 수 있다.
단, GDPR 제58조제2항제(i)호에 따라 컨트롤러인 국가기관에 행정 과징금을 부과 하더라도 그 가액은 100만 유로를 초과할 수 없다. (DPA 2018 제141조)
DPC는 GDPR 시행 이후 정부부처 등 국가기관에 대해 GDPR 혹은 DPA 2018 위반을 이유로 권한을 행사한 사례가 총 세 차례 존재한다.
| 대상(처분일시) | 주요 내용 |
|---|---|
| Health Service Executive7)(‘21.1.) |
(사건 개요) 아일랜드 보건서비스행정부(Health Service Executive, 이하 HSE)가 환자들의 개인정보가 담긴 문서를 무단으로 폐기 및 방치 HSE는 지역 내 대학병원에서 생산한 총 78명의 개인정보(그 중 6명은 특별 범주의 개인정보를 포함)가 수록된 하드카피 문서를 지역 공공 재활용 센터에 폐기하였고, 이 문서를 일반 시민이 발견 또한, 지역 내 병원에서 작성된 15명의 개인정보가 포함된 문서를 해당 병원 앞마당에서 방치하여 일반 시민이 이 문서를 발견 HSE가 위 개인정보 침해 사고를 DPC에 통보함으로써 DPC가 조사에 착수하였으며, 주로 개인정보의 적정한 보안 수준 준수 여부가 쟁점이 됨 DPC는 HSE가 민감한 문서 파쇄 정책을 마련하여 시행하고 있었으나 각급 병원들이 해당 정책을 채택 및 실행하도록 하는 적절한 조치를 취하지 못했음을 발견 이는 결국 HSE의 조치가 환자의 개인정보보호를 위해 적절한 수준의 보안을 위한 기술적·관리적 조치를 취하지 못한 것으로, DPC는 HSE가 GDPR 제5조제1항제(f)호 및 제32조제1항을 위반한 것으로 결론 (조치 내용) DPC는 HSE의 개인정보 침해행위에 대해 6만 5,000유로의 과징금을 부과 DPA 2018 제141조제4항에 따르면 공공기관에는 100만 유로를 초과하는 과징금을 부과할 수 없으나, 동조동항제(b)호의 단서에 따라 사업자로서 활동8)하는 경우 해당 과징금의 적용을 받지 않는다고 규정 HSE은 공공기관이지만 이 사안의 경우 대가의 지급에 따른 서비스 제공 활동으로서 이익을 위한 활동으로 간주된다는 점에서 과징금의 상한에 대한 고려 없이 과징금 액수를 결정 |
| Teaching Council9)(‘21.12.) |
(사건 개요) 교사위원회 직원 2명이 피싱 이메일에 접속하여 위원회 메일 시스템에 악성코드 설치 해당 악성코드는 위원회 메일 계정에서 악성 전자메일 계정으로 자동 포워딩하는 알고리즘으로 구성 ‘20년 2월 17일부터 ’20년 3월 6일까지 323개의 이메일이 인가 없이 외부 메일 주소로 포워딩 되었으며, 해당 이메일에는 9,735명의 개인정보와 1명의 민감 개인정보가 포함 결과적으로 교사위원회가 적절한 수준의 개인정보 보안을 위한 기술적·관리적 조치를 취하지 못한 것으로서 GDPR 제5조제1항 및 제32조제1항을 위반 그밖에, 위원회는 개인정보 침해가 발생했음에도 DPC에 해당 사실을 통지하지 않아 GDPR 제33조제1항을 추가적으로 위반 (조치 내용) DPC는 교사위원회의 개인정보 침해행위에 대해 6만 유로의 과징금을 부과 DPA 2018 제141조제4항에 따라, 공공기관이면서 이익을 위해 활동하는 사업자가 아니라는 점에서 100만 유로의 상한이 적용되어 과징금 액수가 결정됨 |
| Limerick City and County Council10)(‘21.12.) |
(사건 개요) 리머릭주의회는 교통 관리 목적으로 CCTV를 설치 및 운영 DPC는 자체적으로 해당 의회의 개인정보보호 위반 여부에 대한 조사에 착수 조사 결과, 의회는 CCTV로 개인정보를 처리하는 것에 대한 법적 근거가 없었으나 교통 관리를 위해 CCTV로 개인정보 처리 또한, 정보주체로부터 교통 관리용 CCTV가 수집한 정보에 대해 열람을 요청받았으나 해당 요청을 거부한 것으로 드러남 그밖에도, CCTV 촬영 및 운영에 관한 표지 없이 CCTV를 운영했으며, CCTV 운영 관련 정책을 접근이 용이하거나 투명하게 공개하지 않았음 DPC는 결과적으로 리머릭주의회의 일련의 행위에 대해 각각 GDPR 제15조(열람권 거부), 제13조(CCTV 운영에 관한 표지 미구현 및 웹사이트를 통한 필수 정보 미제공), 제12조(투명한 정보 제공 의무 위반)를 위반했다고 결론 |
7)
https://www.dataprotection.ie/sites/default/files/uploads/2021-02/Inquiries%20Health%20Service%20Executive.docx.pdf
https://www.dataprotection.ie/sites/default/files/uploads/2021-02/18.08.2020%26_29.09.2020_Decisions_IN-19-9-1_%26_IN-19-9-2_HSE.pdf
8)
2002년 경쟁법(Competition Act, 2002) 제3조에서 사업자(undertakings)를 공공기관이 상품 생산, 공급, 분배 또는 서비스 제공으로부터 이익을 얻기 위해 활동하는 개인, 법인, 단체 등을 의미한다고 규정
9)
https://www.dataprotection.ie/sites/default/files/uploads/2022-01/IN-20-04-01%20Teaching%20Council%20Inquiry%20Decision%20EN.pdf
https://www.dataprotection.ie/sites/default/files/uploads/2022-01/Redacted%20Final%20Decision%20The%20Teaching%20Council_20-04-01.pdf
10)
https://www.dataprotection.ie/sites/default/files/uploads/2022-01/Limerick%20Council%20Decision%20Summary%20EN.pdf
https://www.dataprotection.ie/sites/default/files/uploads/2022-01/REDACTED_091221_Final%20DecisionLimerick_03-SIU-2018%20PDF%20FINAL.pdf
5개인정보 국외이전 조항
▶ DPA 2018은 GDPR 제49조제5항과 동일 취지의 조항 1개(제37조)를 제외하고는 개인정보
국외이전 조항을 별도로 두고 있지 않아 GDPR 조항이 아일랜드에 직접 적용된다.
DPA 2018에서 개인정보 국외이전에 관한 조항은 제37조에 불과한데, 동조는 GDPR 제49조
제5항에서 허용하고 있는 ‘EU 회원국의 특정 범주 개인정보에 대한 제3국 또는 국제기구로의
이전 제한’을 구체화한 조문이다.
DPA 2018 제37조에 따라 법무부 장관은 GDPR 제45조에서의 적정성 결정이 없는
경우 공공 정책의 중요 이유로 인해 제3국 또는 국제기구로 특정 범주의 개인정보
이전을 제한하는 규칙을 제정할 수 있으며,
해당 규칙에는 개인정보 국외이전 제한에 관한 공공 정책의 중요 이유를 명시해야 한다.
한편, GDPR은 제V장(제44조~제50조)이하에서 통칙(제44조), 적정성 결정에 따른 이전
(제45조), 적정한 안전조치에 의한 이전(제46조), 의무적 기업 규칙(제47조), 유럽연합
법률로 승인되지 않은 정보의 이전 또는 제공(제48조), 특정 상황에 대한 적용의 일부
제외(제49조), 개인정보 보호를 위한 국제협력(제50조) 등의 규정을 둠으로써 개인정보의
제3국 또는 국제기구로의 이전에 대해 규율하고 있으며, 해당 규정이 아일랜드 국내에
그대로 적용된다.
▶ DPA 2018은 GDPR 제49조제5항과 동일 취지의 조항 1개(제37조)를 제외하고는 개인정보 국외이전 조항을 별도로 두고 있지 않아 GDPR 조항이 아일랜드에 직접 적용된다.
DPA 2018에서 개인정보 국외이전에 관한 조항은 제37조에 불과한데, 동조는 GDPR 제49조 제5항에서 허용하고 있는 ‘EU 회원국의 특정 범주 개인정보에 대한 제3국 또는 국제기구로의 이전 제한’을 구체화한 조문이다.
DPA 2018 제37조에 따라 법무부 장관은 GDPR 제45조에서의 적정성 결정이 없는 경우 공공 정책의 중요 이유로 인해 제3국 또는 국제기구로 특정 범주의 개인정보 이전을 제한하는 규칙을 제정할 수 있으며,
해당 규칙에는 개인정보 국외이전 제한에 관한 공공 정책의 중요 이유를 명시해야 한다.
한편, GDPR은 제V장(제44조~제50조)이하에서 통칙(제44조), 적정성 결정에 따른 이전 (제45조), 적정한 안전조치에 의한 이전(제46조), 의무적 기업 규칙(제47조), 유럽연합 법률로 승인되지 않은 정보의 이전 또는 제공(제48조), 특정 상황에 대한 적용의 일부 제외(제49조), 개인정보 보호를 위한 국제협력(제50조) 등의 규정을 둠으로써 개인정보의 제3국 또는 국제기구로의 이전에 대해 규율하고 있으며, 해당 규정이 아일랜드 국내에 그대로 적용된다.
6개인정보 법제 준수 지원 현황
개인정보 법제 준수 지원 현황
지침/가이드라인
개요
발행일
국내 CCTV 운영에 관한 지침11)
국내 CCTV 운영과 관련해 발생하는 일반 민원
에 대한 DPC의 의견 제시
‘21.11.23.
문서 및 기록 편집에 관한 지침12)
GDPR 제15조에 근거한 열람권 행사에 대응하기
위해 컨트롤러가 유의할 사항에 관한 지침 제공
‘21.8.31.
임직원의 코로나19 백신 접종 관련 고용주의 정보
직원들의 코로나19 백신 접종 정보 처리 시 고
용주가 참고해야 할 사항 제공
‘21.6.22.
처리에 관한 지침13)
DPO 등록 지침14)
DPO를 지정하는 조직의 개인정보 감독기구에
대한 의무사항 설명
‘21.6.12.
11)
https://www.dataprotection.ie/sites/default/files/uploads/2021-11/Guidance%20on%20the%20use%20of%20Domestic%20CCTV.pdf
12)
https://dataprotection.ie/sites/default/files/uploads/2021-08/Redacting%20Documents%20and%20Records.pdf
13)
https://www.dataprotection.ie/sites/default/files/uploads/2021-11/Processing%20COVID-19%20Vaccination%20Data%20in%20the%20context%20of%20Employment%20and%20the%20Work%20Safely%20Protocol.pdf
14)
https://dataprotection.ie/en/dpos/who-needs-dpo
https://www.dataprotection.ie/en/organisations/know-your-obligations/data-protectionofficrs/guidance-appropriate-qualifications
https://forms.dataprotection.ie/register-a-dpo
▶ 국내 CCTV 운영에 관한 지침
동 지침은 국내 CCTV 운영에 관해 빈번히 발생하는 일반 시민들의 민원에 대해
개인정보보호 측면에서 DPC의 의견을 제시한다.
CCTV로 촬영된 영상이 자연인의 재산 범위 내에 있고 자연인의 개인적 목적으로만
사용되는 경우에는 GDPR 제2조제2항제(c)호의 ‘자연인이 순수하게 개인 활동 또는 가정
활동을 하는 중에 이루어지는 처리’에 해당하여 GDPR이 적용되지 않을 가능성이 높다.
그러나, CCTV가 공공 장소 또는 자연인의 재산 범위 밖 인근 장소의 사람 이미지를
촬영하는 방식으로 작동할 경우, 동 조항의 범위를 벗어나는 것이므로 GDPR이 적용된다.
따라서 각 가정에서 CCTV를 설치·운영할 경우에는 관련 민원이나 민·형사상의 소송의
상대방이 되지 않도록 하기 위해 자신의 재산 범위 내에서만 활용하도록 권장한다.
▶ 문서 및 기록 편집에 관한 지침
GDPR 제15조에 따라 정보주체가 열람권을 행사할 경우, 컨트롤러가 타인의 개인정보
침해를 방지하기 위해 문서 및 기록을 편집(redaction)할 때 유의해야 할 점을 제시한다.
편집은 전체 문서 또는 기록을 그대로 둔 채 특정 정보를 숨기는 과정을 의미한다.
컨트롤러는 정보주체가 열람권 행사 시 요청 대상 자료에 타인의 개인정보가 부적절하게
공개되지 않도록 유의해야 하며 아래와 같은 일반 원칙을 준수해야 한다.
(사본 생성 후 편집) 원본을 남겨 두고 사본을 생성한 후 해당 사본에 편집을 가함으로써
편집 과정에서 발생할 수 있는 사소한 실수를 방지해야 한다.
(자료 숙지) 복잡하고 전문적인 문서 및 보고서에서 개인정보가 등장하는 위치를 정확하게
파악하기 어려운 경우가 많으므로, 컨트롤러는 타 정보주체의 개인정보 등장 여부를
용이하게 파악할 수 있도록 자료를 충분히 숙지하는 과정이 필요하다.
(기록 보관 등) 편집할 항목에 대해 체크리스트를 만들어 편집이 필요한 내용의 누락
방지를 위해 노력하고, 편집된 문서는 편집 내용·이유·편집일·전송일에 대한 기록을 보관하여 향후 발생할지 모를 분쟁 여지를 최소화 한다.
▶ 임직원의 코로나19 백신 접종 관련 고용주의 정보 처리에 관한 지침
고용주가 임직원들의 코로나19 백신 접종에 대한 정보를 합법적으로 수집하고 처리할 수
있는지에 대한 지침
고용주는 사업장의 안전을 유지하기 위한 일련의 조치를 취해야 할 의무를 지니지만,
‘데이터 최소화 원칙’에 따라 임직원의 개인정보 처리를 가급이면 피할 수 있는 여타
조치를 취하도록 해야 한다.
개인의 백신 접종 여부에 관한 정보는 GDPR상 특수 범주의 개인정보에 해당하므로
추가적인 보호가 이루어지는 것으로 해석한다.
코로나19 백신 접종 여부는 개인 스스로의 결정에 따르는 것으로, 고용주는 사업장
안전 유지 의무 시행 과정에서 개인의 코로나19 백신 접종을 일반적으로 필요한 사업장
안전 유지 조치로 여겨서는 안 된다.
이와 관련하여, 임직원의 백신 접종 여부에 관한 정보 처리가 대부분의 고용 상황에
있어 반드시 필요하다고 보기 어렵다.
고용 관계에서 개인정보 처리는 정보주체인 직원과 컨트롤러인 고용주 간의 불균형적
지위 간에 이루어지는 것이 보통이다.
개인정보 처리의 적법성 요건을 만족하기 위한 정보주체의 동의가 자유롭게 이루어질
가능성이 낮으며, 고용주는 직원들에게 백신 접종 관련 정보의 처리에 동의하도록 요
구해서는 안 된다.
따라서 만약 고용주가 해당 정보를 처리하기 위해서는 동의가 아닌 기타 ‘정당한
이유’가 제시되어야 한다.
▶ DPO 등록 지침
DPO를 지정하는 조직이 참고할 수 있는 DPO의 역할·자격 요건 및 DPC에 해당 사실을
통보하는 방법에 관한 지침
GDPR 제37조제1항에 따라 특정 조직은 DPO를 지정해야 할 의무를 지니는데, DPO의
자격 요건에 대해 GDPR은 제37조제5항15)의 선언적인 요건 외에 구체적인 전문 자격
혹은 이들이 이수해야 할 교육 프로그램 등을 나열하지 않고 있다.
이에 따라 각 조직은 개인정보 처리의 복잡성 및 규모, 처리되는 개인정보의 민감도,
처리되는 개인정보의 보호 필요성 정도에 따라 적절한 수준의 자격 및 전문 지식을
결정하고, 해당 DPO가 거쳐야 할 교육 프로그램 등을 자체적으로 결정해야 한다.
DPC는 이와 관련해 각 조직이 참고할 수 있는 대략적인 전문 지식 및 교육 프로그램
선정 시 고려 요소 등을 제시한다.
(전문 지식) ▲GDPR에 대한 심도 있는 이해 등 회원국 및 EU 개인정보보호법 실무에
관한 지식 ▲개인정보 처리에 관한 이해 ▲IT 및 정보 보안에 관에 대한 이해
▲비즈니스 부문 및 조직에 대한 지식 ▲조직 내에서 개인정보보호 문화를 향상시킬
수 있는 역량 등
(교육 프로그램 선정 시 고려 요소) ▲교육 및 평가의 내용 및 수단 ▲자격증(certification)으로
이어지는 교육이 반드시 필요한지 여부 ▲인가 기관(accrediting body)의 지위 ▲
교육 및 자격증이 국제적으로 인정되는지 여부
이밖에 DPC는 GDPR 제37조제7항에 따른 각 조직의 DPC로의 통보 의무 준수를
지원하기 위해 DPC 웹사이트 내에 전용 페이지(https://forms.dataprotection.ie/register-a
-dpo)를 상시 운영 중이다
15)
해당 조항은 ‘DPO는 직무상의 자질, 특히 개인정보보호법과 실무에 대한 전문가적 지식과 제39조에 규정된 업무를 수행할 수 있는 능력에 근거하여 지정되어야 한다.’고 규정
| 지침/가이드라인 | 개요 | 발행일 |
|---|---|---|
| 국내 CCTV 운영에 관한 지침11) |
국내 CCTV 운영과 관련해 발생하는 일반 민원 에 대한 DPC의 의견 제시 |
‘21.11.23. |
| 문서 및 기록 편집에 관한 지침12) |
GDPR 제15조에 근거한 열람권 행사에 대응하기 위해 컨트롤러가 유의할 사항에 관한 지침 제공 |
‘21.8.31. |
| 임직원의 코로나19 백신 접종 관련 고용주의 정보 |
직원들의 코로나19 백신 접종 정보 처리 시 고 용주가 참고해야 할 사항 제공 |
‘21.6.22. |
| 처리에 관한 지침13) | ||
| DPO 등록 지침14) |
DPO를 지정하는 조직의 개인정보 감독기구에 대한 의무사항 설명 |
‘21.6.12. |
11)
https://www.dataprotection.ie/sites/default/files/uploads/2021-11/Guidance%20on%20the%20use%20of%20Domestic%20CCTV.pdf
12)
https://dataprotection.ie/sites/default/files/uploads/2021-08/Redacting%20Documents%20and%20Records.pdf
13)
https://www.dataprotection.ie/sites/default/files/uploads/2021-11/Processing%20COVID-19%20Vaccination%20Data%20in%20the%20context%20of%20Employment%20and%20the%20Work%20Safely%20Protocol.pdf
14)
https://dataprotection.ie/en/dpos/who-needs-dpo
https://www.dataprotection.ie/en/organisations/know-your-obligations/data-protectionofficrs/guidance-appropriate-qualifications
https://forms.dataprotection.ie/register-a-dpo
▶ 국내 CCTV 운영에 관한 지침
동 지침은 국내 CCTV 운영에 관해 빈번히 발생하는 일반 시민들의 민원에 대해 개인정보보호 측면에서 DPC의 의견을 제시한다.
CCTV로 촬영된 영상이 자연인의 재산 범위 내에 있고 자연인의 개인적 목적으로만 사용되는 경우에는 GDPR 제2조제2항제(c)호의 ‘자연인이 순수하게 개인 활동 또는 가정 활동을 하는 중에 이루어지는 처리’에 해당하여 GDPR이 적용되지 않을 가능성이 높다.
그러나, CCTV가 공공 장소 또는 자연인의 재산 범위 밖 인근 장소의 사람 이미지를 촬영하는 방식으로 작동할 경우, 동 조항의 범위를 벗어나는 것이므로 GDPR이 적용된다.
따라서 각 가정에서 CCTV를 설치·운영할 경우에는 관련 민원이나 민·형사상의 소송의 상대방이 되지 않도록 하기 위해 자신의 재산 범위 내에서만 활용하도록 권장한다.
▶ 문서 및 기록 편집에 관한 지침
GDPR 제15조에 따라 정보주체가 열람권을 행사할 경우, 컨트롤러가 타인의 개인정보 침해를 방지하기 위해 문서 및 기록을 편집(redaction)할 때 유의해야 할 점을 제시한다.
편집은 전체 문서 또는 기록을 그대로 둔 채 특정 정보를 숨기는 과정을 의미한다.
컨트롤러는 정보주체가 열람권 행사 시 요청 대상 자료에 타인의 개인정보가 부적절하게 공개되지 않도록 유의해야 하며 아래와 같은 일반 원칙을 준수해야 한다.
(사본 생성 후 편집) 원본을 남겨 두고 사본을 생성한 후 해당 사본에 편집을 가함으로써 편집 과정에서 발생할 수 있는 사소한 실수를 방지해야 한다.
(자료 숙지) 복잡하고 전문적인 문서 및 보고서에서 개인정보가 등장하는 위치를 정확하게 파악하기 어려운 경우가 많으므로, 컨트롤러는 타 정보주체의 개인정보 등장 여부를 용이하게 파악할 수 있도록 자료를 충분히 숙지하는 과정이 필요하다.
(기록 보관 등) 편집할 항목에 대해 체크리스트를 만들어 편집이 필요한 내용의 누락 방지를 위해 노력하고, 편집된 문서는 편집 내용·이유·편집일·전송일에 대한 기록을 보관하여 향후 발생할지 모를 분쟁 여지를 최소화 한다.
▶ 임직원의 코로나19 백신 접종 관련 고용주의 정보 처리에 관한 지침
고용주가 임직원들의 코로나19 백신 접종에 대한 정보를 합법적으로 수집하고 처리할 수 있는지에 대한 지침
고용주는 사업장의 안전을 유지하기 위한 일련의 조치를 취해야 할 의무를 지니지만, ‘데이터 최소화 원칙’에 따라 임직원의 개인정보 처리를 가급이면 피할 수 있는 여타 조치를 취하도록 해야 한다.
개인의 백신 접종 여부에 관한 정보는 GDPR상 특수 범주의 개인정보에 해당하므로 추가적인 보호가 이루어지는 것으로 해석한다.
코로나19 백신 접종 여부는 개인 스스로의 결정에 따르는 것으로, 고용주는 사업장 안전 유지 의무 시행 과정에서 개인의 코로나19 백신 접종을 일반적으로 필요한 사업장 안전 유지 조치로 여겨서는 안 된다.
이와 관련하여, 임직원의 백신 접종 여부에 관한 정보 처리가 대부분의 고용 상황에 있어 반드시 필요하다고 보기 어렵다.
고용 관계에서 개인정보 처리는 정보주체인 직원과 컨트롤러인 고용주 간의 불균형적 지위 간에 이루어지는 것이 보통이다.
개인정보 처리의 적법성 요건을 만족하기 위한 정보주체의 동의가 자유롭게 이루어질 가능성이 낮으며, 고용주는 직원들에게 백신 접종 관련 정보의 처리에 동의하도록 요 구해서는 안 된다.
따라서 만약 고용주가 해당 정보를 처리하기 위해서는 동의가 아닌 기타 ‘정당한 이유’가 제시되어야 한다.
▶ DPO 등록 지침
DPO를 지정하는 조직이 참고할 수 있는 DPO의 역할·자격 요건 및 DPC에 해당 사실을 통보하는 방법에 관한 지침
GDPR 제37조제1항에 따라 특정 조직은 DPO를 지정해야 할 의무를 지니는데, DPO의 자격 요건에 대해 GDPR은 제37조제5항15)의 선언적인 요건 외에 구체적인 전문 자격 혹은 이들이 이수해야 할 교육 프로그램 등을 나열하지 않고 있다.
이에 따라 각 조직은 개인정보 처리의 복잡성 및 규모, 처리되는 개인정보의 민감도, 처리되는 개인정보의 보호 필요성 정도에 따라 적절한 수준의 자격 및 전문 지식을 결정하고, 해당 DPO가 거쳐야 할 교육 프로그램 등을 자체적으로 결정해야 한다.
DPC는 이와 관련해 각 조직이 참고할 수 있는 대략적인 전문 지식 및 교육 프로그램 선정 시 고려 요소 등을 제시한다.
(전문 지식) ▲GDPR에 대한 심도 있는 이해 등 회원국 및 EU 개인정보보호법 실무에 관한 지식 ▲개인정보 처리에 관한 이해 ▲IT 및 정보 보안에 관에 대한 이해 ▲비즈니스 부문 및 조직에 대한 지식 ▲조직 내에서 개인정보보호 문화를 향상시킬 수 있는 역량 등
(교육 프로그램 선정 시 고려 요소) ▲교육 및 평가의 내용 및 수단 ▲자격증(certification)으로 이어지는 교육이 반드시 필요한지 여부 ▲인가 기관(accrediting body)의 지위 ▲ 교육 및 자격증이 국제적으로 인정되는지 여부
이밖에 DPC는 GDPR 제37조제7항에 따른 각 조직의 DPC로의 통보 의무 준수를 지원하기 위해 DPC 웹사이트 내에 전용 페이지(https://forms.dataprotection.ie/register-a -dpo)를 상시 운영 중이다
15) 해당 조항은 ‘DPO는 직무상의 자질, 특히 개인정보보호법과 실무에 대한 전문가적 지식과 제39조에 규정된 업무를 수행할 수 있는 능력에 근거하여 지정되어야 한다.’고 규정
