국가정보_태국
법률체계
1개요1)
태국의 법원(法源)은 성문법, 관습법, 법의 일반원리로 구성되어 있다. 태국의 법은 여러 측면에서 관습법의 영향을 많이 받았다고 평가받고 있으나 여전히 입법부가 제정한 성문법을 기반으로 하는 법률체계를 보유하고 있고, 그중에 헌법을 최상위법으로 하고 있다.
헌법 하에는 국가의 통치구조 등을 구성하는 ‘기본법’이라는 범주의 법이 존재한다. 기본법은 보통의 법률과는 다르게 헌법에 특정 기본법명이 명시되어 있어 마치 국가 통치구조와 관련한 헌법 조항을 완성하는 역할을 담당하는 것처럼 보인다. 현행 헌법인 2017년 개정 헌법에는 총 9개의 기본법을 제정하도록 규정하고 있는데, ① 하원의원 및 상원의원 선거에 관한 기본법 ② 선거위원회에 관한 기본법 ③ 정당에 관한 기본법 ④ 국민투표에 관한 기본법 ⑤ 헌법재판소의 재판절차법 ⑥ 정치적 지위에 있는 사람에 대한 형사절차법 ⑦ 국가 옴부즈맨에 관한 기본법 ⑧ 부패 방지 및 척결에 관한 기본법 ⑨ 정부 자금 회계 감사에 관한 기본법 등과 같이 국가 제도를 구성하고 정비하는 성격이 강하다. 이와 같은 기본법의 성격으로 인해 일반적인 법률과 같이 의회에서 제정되지만 법률보다는 제정 절차가 보다 엄격하고 보다 많은 단계를 거쳐야 한다.
태국의 또 다른 성문법인 법률은 일반적으로 가장 널리 알려진 법규범으로 의회의 승인을 거쳐 국왕이 제정하며, 왕실칙령(왕령)은 일반적으로 법률의 위임에 따라 법률의 세부 사항을 수시로 규정하는 것으로 내각의 승인을 통해 국왕이 제정한다. 왕실칙령과 비슷한 법규범으로서 긴급칙령이라는 법령도 존재한다. 이는 국가의 비상상황을 해결하기 위해 내각이 입법권을 행사하는 것으로 긴급칙령 공포 후에는 반드시 의회의 승인을 얻도록 되어 있다. 만약 의회가 긴급칙령을 승인하지 않을 경우 긴급칙령은 효력을 잃게 된다.
그밖에, 왕실칙령보다 더 세부적인 사항을 규정하기 위해 위임범위 내에서 제정하는 부령이나 지방자치단체에서 제정한 법령 등도 태국의 법률체계를 구성한다.
1) https://world.moleg.go.kr/web/wli/rsrchReprtReadPage.do?A=A&searchType=all&searchPageRowCnt=10&searchNtnlCls=2&searchNtnl=TH&CTS_SEQ=43964&AST_SEQ=290
태국의 법원(法源)은 성문법, 관습법, 법의 일반원리로 구성되어 있다. 태국의 법은 여러 측면에서 관습법의 영향을 많이 받았다고 평가받고 있으나 여전히 입법부가 제정한 성문법을 기반으로 하는 법률체계를 보유하고 있고, 그중에 헌법을 최상위법으로 하고 있다. 헌법 하에는 국가의 통치구조 등을 구성하는 ‘기본법’이라는 범주의 법이 존재한다. 기본법은 보통의 법률과는 다르게 헌법에 특정 기본법명이 명시되어 있어 마치 국가 통치구조와 관련한 헌법 조항을 완성하는 역할을 담당하는 것처럼 보인다. 현행 헌법인 2017년 개정 헌법에는 총 9개의 기본법을 제정하도록 규정하고 있는데, ① 하원의원 및 상원의원 선거에 관한 기본법 ② 선거위원회에 관한 기본법 ③ 정당에 관한 기본법 ④ 국민투표에 관한 기본법 ⑤ 헌법재판소의 재판절차법 ⑥ 정치적 지위에 있는 사람에 대한 형사절차법 ⑦ 국가 옴부즈맨에 관한 기본법 ⑧ 부패 방지 및 척결에 관한 기본법 ⑨ 정부 자금 회계 감사에 관한 기본법 등과 같이 국가 제도를 구성하고 정비하는 성격이 강하다. 이와 같은 기본법의 성격으로 인해 일반적인 법률과 같이 의회에서 제정되지만 법률보다는 제정 절차가 보다 엄격하고 보다 많은 단계를 거쳐야 한다. 태국의 또 다른 성문법인 법률은 일반적으로 가장 널리 알려진 법규범으로 의회의 승인을 거쳐 국왕이 제정하며, 왕실칙령(왕령)은 일반적으로 법률의 위임에 따라 법률의 세부 사항을 수시로 규정하는 것으로 내각의 승인을 통해 국왕이 제정한다. 왕실칙령과 비슷한 법규범으로서 긴급칙령이라는 법령도 존재한다. 이는 국가의 비상상황을 해결하기 위해 내각이 입법권을 행사하는 것으로 긴급칙령 공포 후에는 반드시 의회의 승인을 얻도록 되어 있다. 만약 의회가 긴급칙령을 승인하지 않을 경우 긴급칙령은 효력을 잃게 된다. 그밖에, 왕실칙령보다 더 세부적인 사항을 규정하기 위해 위임범위 내에서 제정하는 부령이나 지방자치단체에서 제정한 법령 등도 태국의 법률체계를 구성한다.
1) https://world.moleg.go.kr/web/wli/rsrchReprtReadPage.do?A=A&searchType=all&searchPageRowCnt=10&searchNtnlCls=2&searchNtnl=TH&CTS_SEQ=43964&AST_SEQ=290
2개인정보보호법
가. 개요
태국은 2019년 개인정보보호를 목적으로 하는 최초의 일반법인 개인정보보호법 (Personal Data Protection Act 2019, 이하 PDPA)을 제정하였으며, 당초 관보 게재일인 2019년 5월 27일부터 1년이 지난 시점인 2020년 5월 27일 시행 예정이었으나 두 차례에 걸쳐 연기된 후 2022년 6월 1일 시행에 돌입했다. PDPA는 개인정보 수집, 사용 및 공개의 적법 요건 도입, 개인정보 국외이전 제한, 필수적 위반 고지, 정보주체의 권리 등에 대한 컨트롤러와 프로세서의 의무 부과 등을 특징으로 한다.
PDPA는 전체 7장, 총 96개 조항으로 구성되어 있다. 제1장은 개인정보 감독기구(Personal Data Protection Committee, 이하 PDPC)의 설립, 감독기구 내 위원회(이하 PDPC 위원회)의 구성 및 조직, 제2장은 개인정보보호에 대한 일반 규정 및 개인정보 수집·처리·공유에 대한 내용으로 이루어져 있으며, 제3장에서 제7장에서는 정보주체의 권리(제3장), 감독기구 내 사무국(이하 PDPC 사무국)의 주요 업무 및 기타 사항(제4장), 불만 처리(제5장), 민사책임(제6장), 형사 및 행정책임(제7장)과 관련한 사항을 다루고 있다.
나. 개인정보 정의
개인정보(personal data)는 ‘직접 또는 간접적으로 해당 개인을 식별할 수 있는 개인과 관련된 모든 정보’를 의미하며, 사망한 개인의 정보는 포함하지 않는다(PDPA 제6조). PDPA는 민감정보에 대해 별도로 정의하고 있지 않다.
다. 적용 범위
(1) 일반
PDPA 제5조는 개인정보의 수집, 이용 및 공개가 태국에서 발생하는지와 관계없이 국내에 있는 컨트롤러 또는 프로세서가 개인정보를 수집, 이용 및 공개하는 데 적용되도록 명시하고 있다. 컨트롤러 또는 프로세서가 태국에 설립되지 않았을지라도, 상품 또는 서비스의 제공과 관련해 태국에 있는 정보주체의 개인정보를 처리하거나, 태국 내에서 발생한 정보주체의 행동에 대한 모니터링 진행 시 PDPA의 적용을 받게 된다.
(2) 면제사항
PDPA 제4조는 아래의 경우 PDPA가 적용되지 않는다고 규정한다.
① 개인의 이익이나 가사 활동만을 위해 개인정보를 수집하는 사람에 의해 개인정보의 수집, 이용 또는 공개가 이뤄지는 경우
② 자금 세탁 방지 및 억제, 법의학 또는 사이버보안에 관한 의무를 포함하여 국가 또는 공공 안전, 국가의 금융 안전, 공공 안전에 관련된 국가보안을 유지할 의무가 있는 공공기관의 운영인 경우
③ 언론, 예술, 문학 활동만을 위해 수집된 개인정보를 이용하거나 공개하는 사람 또는 법인이 직업윤리를 준수하고, 공익을 위해 사용하는 경우
④ 하원, 상원 그리고 이들이 임명한 위원회가 자신의 권한에 따라 개인정보를 이용하거나 공개하는 경우
⑤ 형사 사법 절차에 따르는 업무 운영을 포함하여 법적 절차, 집행 및 재산 처리에 대한 법원의 재판과 판결, 공무원의 업무 운영인 경우
⑥ 신용조사기관의 사업 운영을 규율하는 법률에 따라 신용조사기관이나 회원사가 수행하는 개인정보 운영의 경우
라. 개인정보 처리 동의
(1) 성년 대상
PDPA 제19조에 따라 컨트롤러는 정보주체가 개인정보의 수집, 이용, 공개에 동의하지 않는 한 해당 개인정보를 수집, 이용 또는 공개할 수 없다(이 법이나 다른 법률의 규정에 따라 허용된 경우는 제외).
개인정보 처리 동의 요청은 가능한 서면 또는 전자적 수단을 통해 명시적으로 이루어져야 한다. 정보주체에게 동의를 요청할 때 컨트롤러는 개인정보의 수집, 이용, 공개 목적도 알려야 한다. 그러한 동의 요청은 명확하고 이해하기 쉬운 언어를 사용하여 제시되어야 하며, 그러한 목적과 관련하여 정보주체를 기만하거나 오도하지 않아야 한다. 이와 관련하여 PDPC 위원회는 PDPC 위원회가 정한 양식 및 진술에 따라 컨트롤러로 하여금 정보주체의 동의를 요청할 수 있다. 또한 정보주체의 동의를 요청할 때 컨트롤러는 정보주체의 동의가 자유롭게 이뤄지도록 최대한 고려해야 한다. 서비스에 대한 계약체결의 경우, 계약과 관련이 없거나 필요하지 않은 개인정보는 수집·이용·공개할 수 없다.
정보주체는 언제든지 동의를 철회할 수 있다. 법령이나 정보주체에게 이익이 되는 계약에 따라 동의 철회에 제한이 있는 경우를 제외하고, 동의 철회는 동의 제공과 같이 간단해야 한다. 단, 동의의 철회는 정보주체가 PDPC 위원회가 규정한 바에 따라 이미 동의한 개인정보의 수집·이용·공개에 영향을 미치지 않는다. 동의 철회가 정보주체에게 어떤 식으로든 영향을 미치는 경우 컨트롤러는 철회의 결과를 정보주체에게 알려야 한다.
PDPA 제19조에서 명시한 사항에 부합하지 않는 정보주체의 동의 요청은 정보주체에 대해 구속력이 없으며 컨트롤러가 더 이상 개인정보를 수집, 이용 또는 공개할 수 없도록 한다.
(2) 미성년 대상
컨트롤러는 PDPA 제20조에 따라 정보주체가 미성년자로서 법적으로 독립적이지 않거나 민법 제27조에 따른 소송대리인으로서의 능력이 없으면 아래와 같이 타인의 동의를 별도로 얻어야 한다.
① 미성년자의 동의가 민법 제22조, 제23조 또는 제24조에 따라 미성년자가 단독으로 행할 수 있는 행위가 아닌 경우, 미성년자의 부모로서의 책임을 가진 자의 동의가 필요하다.
② 미성년자가 10세 미만인 경우, 해당 아동에 대한 친권자 동의가 필요하다.
정보주체가 무능력자인 경우에는 무능력자를 대행할 권한이 있는 관리인의 동의를 받아야 한다. 정보주체가 무능력자에 준하는(예: 한정치산자) 경우에는 이를 대리할 권한이 있는 자의 동의를 받아야 한다.
제20조의 상기 규정은 정보주체의 동의 철회, 정보주체에 대한 통지, 정보주체의 권리 행사, 기타 정보주체의 불만사항에 관해서도 준용한다.
(3) 개인정보 수집 목적에 따른 처리
컨트롤러는 수집 전, 또는 수집 시 정보주체에게 통지된 목적에 따라 개인정보를 수집, 이용 또는 공개해야 한다. 개인정보의 수집, 이용, 공개는 정보주체에게 사전에 고지된 목적과 다른 방식으로 수행할 수 없다. 단, 정보주체가 새로운 목적에 대해 고지를 받았고 수집·이용·공개 시점 이전에 동의를 얻은 경우, 또는 동법 및 다른 규정에 의한 경우는 목적과 다르게 처리할 수 있다. (제21조)
마. 정보주체의 권리
(1) 정보를 제공받을 권리
PDPA 제23조, 제25조는 정보주체가 정보를 제공받을 권리를 규정한다. 정보주체로부터 개인정보를 수집하는 경우 컨트롤러는 수집 전, 또는 수집 시에 정보주체에게 이를 알려야 한다(제23조). 개인정보가 다른 출처에서 수집되는 경우 컨트롤러는 해당 개인정보 수집일로부터 30일 이내에 지체 없이 정보주체에게 이를 알려야 한다(제25조제1항제2호, 제25조제3항).단, 컨트롤러가 개인정보를 정보주체와의 커뮤니케이션에 이용하는 경우에는 최초 커뮤니케이션 시 해당 정보를 제공해야 하며, 또는 다른 사람에게 공개할 예정인 경우 첫 번째 공개 전에 정보를 제공해야 한다(제25조제3항).
정보주체는 구체적으로 아래의 정보를 제공받을 권리가 있다(제23조 및 제25조제2항)
① 정보주체의 동의 없이 허용된 목적을 포함하여 개인정보의 사용 또는 공개를 위한 수집 목적
② 정보주체가 법적 의무를 준수하기 위해 또는 계약 수행을 위해 개인정보가 필요한 사례에 대한 통지, 또는 계약체결을 위해 개인정보를 제공해야 하는 사례에 대한 통지(정보주체가 그러한 개인정보를 제공하지 않는 경우에 발생할 수 있는 효과 포함)
③ 수집할 개인정보와 개인정보 보유기간(보유기간을 지정할 수 없는 경우 개인정보 보유 기준에 따라 예상되는 기간을 명시)
④ 수집된 개인정보가 공개될 수 있는 개인이나 단체의 유형
⑤ 컨트롤러(또는 컨트롤러의 대리인 혹은 DPO)의 정보와 주소, 상세한 연락처 정보
⑥ PDPA에 따른 정보주체의 권리
PDPA는 정보주체에게 정보를 제공함에 있어 특정한 형식을 요구하지 않는다.
다만, 정보주체에게 정보를 제공할 의무가 면제되는 경우도 있다. 정보주체가 이미 정보를 갖고 있는 경우에는 정보주체에 알릴 의무가 적용되지 않는다(제23조, 제25조제2항제1호). 나아가 개인정보가 정보주체가 아닌 다른 출처에서 수집되는 경우 아래의 상황에서는 통지 의무가 적용되지 않는다(제25조제2항).
① 컨트롤러가 정보주체에게 새로운 목적 또는 세부정보를 통지하는 것이 불가능하거나 개인정보의 사용 또는 공개를 저해하는 경우(특히 과학적, 역사적 또는 통계적 연구와 관련된 목적 달성을 위한 경우 컨트롤러는 정보주체의 권리, 자유 및 이익을 보호하기 위해 적절한 조치를 취해야 함)
② 법률에서 요구하는 대로 긴급하게 개인정보를 이용하거나 공개해야 하고, 정보주체의 이익을 보호하기 위해 적절한 조치를 구현해야 하는 경우
③ 컨트롤러가 자신의 의무, 직무 또는 직업을 통해 그러한 개인정보를 알고 있거나 획득하는 경우, 또는 제23조에 명시된 대로 새로운 목적 또는 세부정보의 기밀을 유지해야 하는 경우
한편, 제21조에서도 간접적으로 정보주체의 정보를 제공받을 권리를 규정하고 있다. 컨트롤러는 정보주체에게 사전에 고지한 목적과 다른 목적으로 개인정보를 수집, 이용 또는 처리하려는 경우 컨트롤러는 수집, 이용 또는 공개 시점 이전에 정보주체에게 이를 알려야 한다(제21조제1항).
(2) 열람권
PDPA 제30조 및 제39조는 정보주체의 열람권을 부여한다. 정보주체는 자신과 관련된 개인정보에 대해 열람하고 사본을 요청하거나 동의 없이 획득한 개인정보 획득의 공개를 요청할 수 있다(제30조). 정보주체의 정보를 제공받을 권리의 일부로서 컨트롤러는 이 법에 따라 정보주체의 권리를 해당 정보주체에게 알려야 한다(제23조).
정보주체가 동법 제30조에 따라 개인정보 열람을 요청하고 특별한 거부 사유가 없는 경우 컨트롤러는 지체 없이 열람 요청을 이행해야 하며 그러한 요청을 받은 날로부터 30일을 초과해서는 안 된다. 열람 요청은 법률 또는 법원 명령에 따라 허용되는 경우에만 거부될 수 있으며, 주로 타인의 권리와 자유에 부정적인 영향을 미치는 경우에 한정된다.
PDPA는 정보주체 권리와 관련된 수수료, 열람 요청 및 응답 형식에 대한 요건은 명시적으로 언급하지 않고 있다.
(3) 정정권
PDPA는 정정권을 명시적으로 부여하지 않는다. 그러나 제35조 및 제36조는 정확하지 않거나 오래된 개인정보를 바로잡을 수 있도록 하는 정보주체의 권리를 규정하고 있다.
① 컨트롤러는 개인정보가 정확하고, 최신 상태를 유지하고, 완전하며 오해의 소지가 없는 상태로 유지해야 한다 (제35조).
② 정보주체가 컨트롤러에 동법 제35조에 따라 행동하도록 요청하였으나 컨트롤러가 정보주체의 요청에 대해 조치를 취하지 않는 경우 컨트롤러는 동법 제39조에 따라 해당 정보주체의 요청을 사유와 함께 기록해야 한다 (제36조).
③ 동법 제34조제2항에 따라 컨트롤러가 조치를 취하지 않는 경우 정보주체는 PDPA 제5장(불만사항)에 명시된 규정에 따라 임명된 전문위원회(expert committee)에 민원을 제기하여 컨트롤러로 하여금 조치를 취하게 할 권리를 보유한다 (제36조).
(4) 삭제권(잊힐 권리)
PDPA 제33조는 정보주체에게 개인정보의 익명화를 요청할 권리와 함께 삭제를 요청할 권리를 제공한다. 동 조항에 따라 정보주체는 아래의 경우 개인정보의 삭제, 파기 또는 익명화를 요청할 수 있다(제33조제1항).
① 개인정보 수집, 이용 또는 공개 목적과 관련하여 더 이상 개인정보가 필요하지 않은 경우
② 정보주체가 개인정보 수집, 사용 또는 공개의 근거가 되는 동의를 철회하고 컨트롤러가 그러한 수집, 사용 또는 공개에 대한 법적 근거가 없는 경우
③ 정보주체가 개인정보 수집, 사용 또는 공개에 반대하는 경우
④ 개인정보가 불법적으로 수집, 사용 또는 공개된 경우
컨트롤러가 공개한 개인정보를 삭제하도록 요청받거나 혹은 익명화하도록 요청받은 경우, 컨트롤러는 그러한 요청 관련 이행 조치에 대한 응답을 얻기 위해 다른 컨트롤러에 알리는 조치를 취해야 한다(제33조제3항). 삭제요청 등을 이행하기 위해 필요한 기술 구현과 비용은 컨트롤러가 부담해야 한다.
컨트롤러가 동법 제33조에 따른 삭제요청에 대해 조치를 취하지 않은 경우 정보주체는 전문위원회에 민원을 제기하여 컨트롤러가 그러한 조치를 취하도록 요구할 권리가 있다. 다만, 컨트롤러의 개인정보 삭제, 파기 및 익명화 의무는 그러한 개인정보 보유가 아래의 목적에 따라 필요한 경우에는 적용되지 않는다.
① 표현의 자유의 목적
② 동법 제24조제1항, 제24조제4항, 제26조제5항제a호 또는 제26조제5항제b호에 따른 목적
③ 법적 권리의 확립, 준수, 행사 또는 방어 목적
④ 법률 준수 목적
(5) 처리제한권
PDPA 제34조는 처리를 제한할 수 있는 권리를 규정한다. 정보주체는 아래의 경우 개인정보 처리 제한을 요청할 수 있다.
① 컨트롤러가 동법 제36조에 따른 정보주체의 요청에 대해 조사 절차를 보류하는 경우
② 동법 제33조제11항제4호에 따라 삭제되거나 파기되어야 하는 개인정보에 대해 정보주체가 사용 제한을 요청하는 경우
③ 개인정보 수집의 목적을 위해 해당 개인정보를 더 이상 보유할 필요가 없지만, 정보주체가 법적 권리의 확립, 준수, 행사 또는 방어를 위해 보유 기간의 연장을 요청할 필요가 있는 경우
④ 컨트롤러가 정보주체의 개인정보 수집, 사용, 공개에 관한 이의제기를 거부하기 위해 동법 제32조와 관련하여 입증 혹은 조사를 보류 중인 경우
정보주체의 정보를 제공 받을 권리의 일부로 컨트롤러는 PDPA에 따라 정보주체의 권리에 대해 해당 정보주체에게 알려야 한다(제23조) 정보주체는 컨트롤러가 제34조제1항에 따라 처리제한 요청에 대해 조치를 취하지 않은 경우 컨트롤러가 그러한 조치를 취하도록 하기 위해 전문위원회에 민원을 제기할 권리를 갖는다(제34조).
(6) 이동권
PDPA 제31조에 따르면, 정보주체는 컨트롤러로부터 본인에 대한 개인정보를 수신할 권리가 있으며, 컨트롤러는 이러한 개인정보를 자동화된 도구 또는 장비를 통해 읽을 수 있거나 일반적으로 사용되는 형식으로 배열하고 자동화된 방식으로 이용 및 공개되도록 구성해야 한다.
그밖에, 정보주체는 개인정보를 타 컨트롤러로 이전 요청할 수 있는 권리를 갖는다. 이와 관련하여 정보주체가 가지는 권리는 아래와 같다.
① 자동화된 방식으로 수행할 수 있는 경우 컨트롤러에 이러한 형식의 개인정보를 다른 컨트롤러에게 전송하거나 이전을 요청할 수 있는 권리
② 기술적인 상황으로 인해 개인정보 전송이나 이전이 불가능한 경우를 제외하고 컨트롤러가 다른 컨트롤러에게 전송이나 이전하는 형식으로 개인정보를 직접 얻을 수 있는 권리
이동권은 ① 정보주체가 개인정보 수집, 사용 또는 공개에 동의한 개인정보 ② 동법 제24조제3항에 따른 동의 요건에서 면제되는 개인정보 ③ PDPC 위원회가 동법 제24조에 따라 별도 규정한 기타 개인정보에 한정하여 행사가 가능하다. 단, 이동권 행사는 컨트롤러가 공공의 이익, 법률 준수를 위해 개인정보를 전송 또는 이전하는 경우에는 적용되지 않는다.
PDPA는 이동권 행사 시 요청 형식에 대한 요건을 명시적으로 언급하지 않으나, 요청 응답 형식과 관련하여 컨트롤러는 이러한 개인정보를 자동화된 도구 또는 장비를 통해 읽을 수 있거나 일반적으로 사용되는 형식으로 배열해야 하며 자동화된 수단을 통해 사용 또는 공개할 수 있도록 해야 한다.
(7) 반대권
PDPA는 제32조에서 정보주체의 반대권을 규정하고, 제19조에서 동의를 철회할 권리를 규정한다.
먼저, 정보주체는 아래의 경우 개인정보의 수집, 사용 또는 공개에 반대할 권리가 있다.
① 동법 제24조제4항 또는 제24조제5항에 따라 동의 요건을 면제받아 개인정보를 수집하였으나, 컨트롤러가 그러한 개인정보의 수집, 사용 또는 공개에 대해 설득력 있는 정당한 근거가 있음을 입증할 수 없거나 법적 권리의 확립, 준수, 행사, 또는 방어를 위해 처리된다고 증명할 수 없는 경우
② 직접 마케팅을 위해 개인정보를 수집, 사용 또는 공개하는 경우
③ 과학적, 역사적 또는 통계적 연구를 위해 개인정보를 수집, 사용 또는 공개하는 경우. 단, 컨트롤러가 공익상의 이유로 업무를 수행할 필요가 있는 경우는 제외한다.
정보주체가 반대권을 행사하는 경우 컨트롤러는 관련 개인정보를 즉시 구별하고, 해당 개인정보의 수집, 사용 또는 공개를 중지해야 한다.
또한, 정보주체는 언제든지 동의를 철회할 수 있다. 동의 철회를 제한하는 규정이 있거나 계약이 정보주체에게 이익이 되지 않는 한, 동의 철회는 동의와 마찬가지로 용이하게 행사할 수 있어야 한다. 그러나 동의 철회는 동법 제2장(개인정보보호)에 따라 정보주체가 이미 법적으로 동의한 개인정보의 수집, 사용 또는 공개에 영향을 미치지 않아야 한다. 동의 철회가 정보주체에 어떤 식으로든 영향을 미치는 경우 컨트롤러는 철회의 결과를 정보주체에게 알려야 한다.
바. 컨트롤러 및 프로세서의 의무
PDPA에서 컨트롤러는 개인정보 수집, 이용 또는 공개에 관해 의사결정의 의무가 있는 자연인이나 법인을 의미하며, 프로세서는 컨트롤러의 명령에 따라 또는 컨트롤러를 대신하여 개인정보의 수집, 사용 또는 공개를 수행하는 자연인이나 법인을 의미한다(제6조).
동법에 따라 컨트롤러 및 프로세서는 GDPR과 유사하게 처리 활동 기록 의무, DPO 지정 의무를 부담하며, 다만 개인정보 영향평가 대신 신기술 채택 시 적절한 보안조치를 검토해야 한다.
(1) 개인정보 처리 활동 기록 의무
PDPA는 제39조에서 컨트롤러의 개인정보 처리 활동 기록에 관한 사항을 규정한다. 컨트롤러는 정보주체와 PDPC 사무국이 확인할 수 있도록 최소한 다음 기록을 유지 관리해야 하며 서면 또는 전자 형식으로 모두 가능하다.
① 수집된 개인정보
② 개인정보 유형별 수집 목적
③ 컨트롤러의 세부사항
④ 개인정보의 보유 기간
⑤ 개인정보를 열람할 수 있는 권한이 있는 사람에 관한 요건 및 해당 개인정보를 열람할 수 있는 요건을 포함하여 개인정보를 열람할 수 있는 권리 및 방법
⑥ 동법 제27조제3항에 따른 개인정보 사용 또는 공개
⑦ 동법 제30조제3항, 제31조제3항, 제32조제3항, 제36조제1항에 따른 요청 거부 또는 이의 제기
⑧ 동법 제37조제1항에 따른 적절한 보안조치의 세부사항
(2) 개인정보 영향평가
PDPA는 개인정보 영향평가에 대해 구체적으로 명시하지 않으나, 컨트롤러에 ① 적절한 보안조치를 제공할 의무와, ② 필요에 따라 또는 적절한 보안 및 안전 표준을 효과적으로 유지하기 위해 기술이 변경된 경우 이를 검토할 의무를 두고 있다(제37조, 제40조).
컨트롤러는 개인정보의 무단 열람, 이용, 변경, 수정, 손실 및 공개를 방지하기 위해 보안조치(PDPC 위원회에서 규정한 최소 기준 포함)를 설정해야 한다(제37조). 프로세서는 승인 없이 또는 불법적으로 개인정보를 유출, 열람, 이용, 변경, 수정 또는 공개하는 행위를 방지하기 위해 적절한 보안조치를 마련해야 한다(제40조).
그러나 프로세서에 관한 규정은 개인정보의 수집, 사용 또는 공개가 정보주체의 권리나 자유에 대한 위험을 초래할 가능성이 있는 경우를 제외하고 PDPC가 규정한 규칙에 따라 소규모 조직인 프로세서에는 적용되지 않을 수 있으며, 또한 개인정보의 수집, 사용 또는 공개가 비정기적으로 발생하는 사업체이거나 동법 제26조에 따른 개인정보의 수집, 사용 또는 공개와 관련된 사업체인 경우 적용되지 않을 수 있다.
(3) DPO(Data Protection Office) 지정
컨트롤러와 프로세서는 아래의 경우 DPO를 지정해야 한다(제41조).
① 컨트롤러 또는 프로세서가 PDPC 위원회가 지정한 공공기관인 경우
② 개인정보의 수집, 사용 또는 공개와 관련하여 컨트롤러나 프로세서의 활동이 개인정보 또는 시스템에 대한 대규모의 정기적인 모니터링을 요하는 경우
③ 컨트롤러 또는 프로세서의 핵심 활동이 개인정보의 수집, 사용 또는 공개인 경우
컨트롤러와 프로세서는 DPO의 정보, 연락처 주소 및 연락처를 정보주체와 PDPC 사무국에 제공할 의무가 있다. 또한 정보주체가 개인정보의 수집, 사용 또는 공개와 정보주체의 권리 행사와 관련하여 DPO와 연락할 수 있도록 해야 한다.
DPO는 컨트롤러 또는 프로세서의 직원이거나 컨트롤러 또는 프로세서와 계약한 서비스 제공자일 수 있다. 이와 관련, PDPC 위원회는 개인정보보호에 관한 지식 또는 전문성을 고려하여 DPO의 자격을 규정하고 고시할 수 있다
컨트롤러 또는 프로세서가 동일 계열 사업체이거나 동일 기업 그룹에 속한 경우 해당 컨트롤러나 프로세서는 공동으로 DPO를 지정할 수 있다. 이와 관련하여 동일한 계열 사업체나 동일 기업 그룹의 컨트롤러나 프로세서는 DPO에 쉽게 연락할 수 있어야 한다.(제41조).
DPO는 동법 제42조에 규정된 내용에 따라 다음과 같은 직무를 수행한다. ① 동법 준수와 관련하여 컨트롤러, 프로세서의 직원 및 서비스 제공자에게 조언을 제공하거나 ② 개인정보 수집, 사용 또는 공개와 관련하여 컨트롤러 또는 프로세서의 성과를 조사하는 업무를 수행한다. 또한 ③ 컨트롤러 또는 프로세서의 개인정보 수집, 사용 또는 공개와 관련하여 문제가 있는 상황에서 PDPC 사무국과 조정하고 협력하며, ④ 직무를 수행하는 동안 알게 되거나 취득한 개인정보의 기밀을 유지한다. 컨트롤러 또는 프로세서는 적절한 도구나 장비를 제공하여 DPO가 작업을 수행할 수 있도록 지원하고, 직무를 수행하기 위해 개인정보 열람을 용이하게 해야 한다.
컨트롤러 또는 프로세서는 DPO가 동법에 따라 의무를 수행할 경우 DPO를 해고하거나 고용을 종료해서는 안 되며, DPO는 업무 수행에 문제가 있는 경우 컨트롤러나 프로세서의 최고 경영자에게 직접 보고할 수 있어야 한다.
한편, DPO는 타 직무나 업무를 수행할 수 있지만 컨트롤러 또는 프로세서가 그러한 직무나 업무가 동법에 따른 의무 수행에 반하지 않음을 PDPC 사무국에 보증해야 한다.
사. 개인정보 국외이전
컨트롤러가 개인정보를 국외 또는 국제기구로 이전하는 경우, PDPA 제28조에 따라 개인정보를 제공받는 국가 및 국제기구는 적절한 개인정보 보호수준을 갖추어야 하며 개인정보 이전은 PDPC 위원회가 규정하는 하위 규칙에 따라 이루어져야 하는 등 일정한 요건을 갖추어야 한다. 그러나, 동조에서 규정한 다음과 같은 상황에서는 이러한 요건을 갖추지 않아도 개인정보 국외이전이 가능하다.
① 법을 준수하기 위해 개인정보 국외이전이 요구되는 경우
② 수신지 국가 또는 국제기구의 부적절한 개인정보보호 표준과 관련해 정보주체의 동의를 얻은 경우
③ 정보주체가 계약 당사자인 계약의 이행을 위해 필요하거나 계약을 체결하기 전에 정보주체의 요청에 따라 조치를 취하기 위해 필요한 경우
④ 정보주체의 이익을 위해 컨트롤러와 다른 사람 간의 계약 준수에 필요한 경우
⑤ 정보주체 또는 타인의 생명, 신체나 건강에 대한 위험을 방지하거나 억제하기 위한 경우
⑥ 공익을 위해 국외이전이 필요한 경우
PDPC 위원회는 개인정보를 이전받는 국가 및 국제기구의 개인정보보호 수준에 대한 적정성을 평가 및 결정할 수 있으며, 한 번 내린 결정과 관련해서는 수신지 국가 및 국제기구가 적절한 개인정보보호 표준을 개발했음을 확실히 할 수 있는 새로운 증거가 있을 때 재차 검토될 수 있다.
이외에도 동법 제29조에서는 개인정보 국외이전이 허용되는 예외적인 사유를 규정하고 있다. 컨트롤러 또는 프로세서가 국외의 동일 계열 사업체나 동일 기업 그룹으로 개인정보를 이전하는 것과 관련하여 개인정보보호 정책을 시행하고 있으며 해당 정책이 PDPC 사무국에서 검토를 거쳐 승인이 완료된 경우에는, 제28조를 준수하지 않고도 해당 정책에 따라 개인정보를 국외로 이전할 수 있다. 만약, 수신지 국가 또는 국제기구가 PDPC 위원회로부터 적정성 결정을 받은 적이 없거나 상기와 같은 개인정보보호 정책이 없는 경우라도, PDPC 위원회가 제정하고 발표한 규칙에 따라 정보주체의 권리 행사를 보장하는 적절한 보호 조치를 컨트롤러 또는 프로세서가 제공하는 경우 마찬가지로 제28조를 준수하지 않고도 개인정보를 국외로 이전할 수 있다.
아. 집행
(1) 제재 유형
PDPA는 위반사항에 대해 민사책임, 형사처벌, 행정처분 등 세 가지 제재 유형을 규정하고 있다. 먼저, 동법은 타 국가 개인정보보호법과 유사하게 PDPC에 컨트롤러 또는 프로세서에 대한 행정 과징금을 부과할 수 있는 권한을 부여하고 있으며, 행정 과징금의 최대 규모는 500만 바트(약 1억 8,750만 원)로 설정하고 있다. 개인정보를 처리하는 자의 행위가 만약 단순한 개인정보 침해를 넘어 범죄에 이르는 결과가 발생한 경우에는 동법상의 처벌조항에 따라 형사책임을 부과한다.
그밖에, PDPA는 타 국가 법률과는 달리 민사책임에 관한 조항을 두고 있는 것이 특징이다. 정보주체는 자신이 입은 손해에 대해 법원에 배상을 청구할 수 있으며 법원은 징벌적 손해배상 지급을 선고할 수도 있다.
(2) 민사책임
PDPA 제77조는 컨트롤러 등의 민사책임에 대해 규정한다. 개인정보와 관련된 조치가 동법의 규정을 위반하거나 준수하지 않아 정보주체에게 손해를 끼치는 경우, 고의 또는 과실을 불문하고 정보주체에게 손해를 배상해아 한다. 다만 다음의 경우 손해배상 의무를 면제한다.
① 불가항력 또는 정보주체의 작위 또는 부작위에 따라 손해 발생
② 동법에 따른 직무 및 권한을 행사하는 공무원의 명령에 따라 조치를 취했으나 손해 발생
법원은 동법 제78조에 따라 적합하다고 인정되는 실제 배상금 외에 징벌적 손해배상금을 지급하도록 명할 권한을 가지며 이때 징벌적 손해배상금은 실제 배상금액의 2배를 초과할 수 없다. 이때 법원은 ▲정보주체에게 발생한 손해의 심각성 ▲컨트롤러 또는 프로세서가 얻은 이익 ▲컨트롤러 또는 프로세서의 재무 상태 ▲컨트롤러 또는 프로세서가 제공한 구제조치 ▲정보주체가 손해를 유발하는 데 기여하는 행위 등을 참작사유로서 고려한다.
한편, 동법에 따른 배상청구는 피해자가 피해사실을 인지하고 책임 있는 컨트롤러 또는 프로세서의 신원을 안 날로부터 3년, 개인정보에 대한 부당한 행위가 발생한 날로부터 10년 내에 제기되어야 한다.
(3) 형사처벌
PDPA는 제79조~제81조에서 형사처벌 조항을 두고 있다. 컨트롤러가 동법 제27조 제1항 또는 제2항(정보주체의 동의 없는 개인정보 사용 및 제공 등)을 위반하거나 제26조(인종, 민족, 정치적 의견, 종교 또는 철학적 신념, 성적 행동, 범죄 기록 등의 원칙적 수집 금지)에 따른 개인정보와 관련하여 제28조(개인정보 국외이전 요건)를 준수하지 않아 타인에게 피해를 입히거나, 평판을 손상시키거나, 타인이 경멸, 증오, 굴욕감을 느끼게 된 경우 6개월 이하의 징역 또는/및 50만 바트(약 1,875만원) 이하의 벌금에 처한다. (제79조) 동법에 따른 직무를 수행한 결과 타인의 개인정보를 알게 되어 해당 정보를 타인에게 공개할 경우에도 마찬가지로 6개월 이하의 징역 또는/및 50만 바트(약 1,875만원) 이하의 벌금에 처한다. (제80조)
이때, 범죄를 저지른 범죄자가 법인이고 그 법인의 행위에 책임을 져야 할 이사, 관리자, 책임자의 지시 또는 행위의 결과로 범죄가 행해진 경우, 해당 이사, 관리자 또는 책임자는 동법 상 형사처벌 조항에 규정된 처벌을 받게 된다. (제81조)
(4) 행정처분
PDPA는 제82조에서 제89조에 걸쳐 아래와 같이 위반행위별로 각각의 과징금 기준을 차등 제시하고 있다.
[표 1] 위반행위별 과징금 액수
[표 1] 위반행위별 과징금 액수
조항
위반행위
과징금
제82조
컨트롤러가 제23조, 제30조제4항, 제39조제1항, 제41조제1항, 제42조제2항 또는 제3항을 준수하지 않음
컨트롤러가 동의를 얻을 때 제19조제3항에 따라 PDPC 위원회가 정한 양식이나 진술을 사용하지 않음
컨트롤러가 제19조제6항에 따라 동의 철회의 법적 영향에 대해 정보주체에게 알리지 않음
컨트롤러가 제25조제2항에서 준용하는 제23조를 이행하지 않음
최대 100만 바트(약 3,750만원)
제83조
컨트롤러가 제21조, 제22조, 제24조, 제25조제1항, 제27조제1항 또는 제2항, 제28조, 제32조제2항 또는 제37조를 위반하거나 준수하지 않음
컨트롤러가 개인정보의 처리 목적에 대해 정보주체를 기만하거나 오인하게 하여 동의를 획득
컨트롤러가 제25조제2항에 따라 준용되는 제21조를 준수하지 않음
컨트롤러가 개인정보를 보내거나 전송하면서 제29조제1항 또는 제3항을 준수하지 않음
최대 300만 바트(약 1억 1,250만원)
제84조
컨트롤러가 개인정보와 관련하여 제26조제1항 또는 제3항, 제27조제1항 또는 제2항, 제28조를 위반
컨트롤러가 제26조에 근거하여 개인정보를 전송 또는 이전하지 않음
프로세서가 제41조제1항 또는 제42조제2항·제3항을 준수하지 않음
최대 500만 바트(약 1억 8,750만원)
제85조
프로세서가 적절한 이유 없이 제40조를 준수하지 않거나 제29조제1항 또는 제3항에 반하여 개인정보를 전송
최대 100만 바트(약 3,750만원)
제86조
프로세서가 제38조에 따라 준용되는 제37조제5항을 준수하지 않음
최대 300만 바트(약 1억 1,250만원)
제87조
프로세서가 제26조제1항 또는 제3항에 반하여 개인정보를 전송하거나 이전
최대 500만 바트(약 1억 8,750만원)
제88조
컨트롤러 또는 프로세서의 대리인이 제39조제2항에 따라 준용되는 제39조제1항, 그리고 제41조제4항에 따라 준용되는 제41조제1항을 준수하지 않음
최대 100만 바트(약 3,750만원)
제89조
자연인이 전문위원회의 명령에 따르지 않음
자연인이 제75조에 따른 사실관계를 진술하지 않음
자연인이 제76조제1항을 준수하지 않음
자연인이 제76조제4항에 따른 공무원의 업무를 방해
최대 50만 바트(약 1,875만원)
PDPA 제90조는 전문위원회의 행정 과징금 부과 권한과 절차, 행정 소송 제기절차를 규정한다. 전문위원회는 상기 기준에 따라 행정 과징금을 처분할 권한이 있으며, 적합하다고 인정하는 경우 전문위원회가 우선 시정 또는 경고를 명할 수 있다. 전문위원회는 과징금 부과를 결정할 때 위반행위의 심각성, 컨트롤러 또는 프로세서의 업무 규모, PDPC 위원회가 정한 규칙 기타 정황을 고려해야 한다.
과징금 부과 대상자가 과징금 납부를 거부하는 경우 행정절차법에 따른 행정명령의 집행에 관한 규정을 준용한다. 행정명령을 집행할 집행관이 없거나, 집행관이 있지만 집행할 수 없는 경우에는 전문위원회는 행정법원에 소송을 제기하여 과징금의 징수를 청구할 수 있다. 이 경우 행정법원이 과징금 부과 명령이 적법하다고 판단하는 경우 행정법원은 판결을 내려 경매를 위한 매각재산의 압류 등을 명할 수 있다.
가. 개요
태국은 2019년 개인정보보호를 목적으로 하는 최초의 일반법인 개인정보보호법 (Personal Data Protection Act 2019, 이하 PDPA)을 제정하였으며, 당초 관보 게재일인 2019년 5월 27일부터 1년이 지난 시점인 2020년 5월 27일 시행 예정이었으나 두 차례에 걸쳐 연기된 후 2022년 6월 1일 시행에 돌입했다. PDPA는 개인정보 수집, 사용 및 공개의 적법 요건 도입, 개인정보 국외이전 제한, 필수적 위반 고지, 정보주체의 권리 등에 대한 컨트롤러와 프로세서의 의무 부과 등을 특징으로 한다. PDPA는 전체 7장, 총 96개 조항으로 구성되어 있다. 제1장은 개인정보 감독기구(Personal Data Protection Committee, 이하 PDPC)의 설립, 감독기구 내 위원회(이하 PDPC 위원회)의 구성 및 조직, 제2장은 개인정보보호에 대한 일반 규정 및 개인정보 수집·처리·공유에 대한 내용으로 이루어져 있으며, 제3장에서 제7장에서는 정보주체의 권리(제3장), 감독기구 내 사무국(이하 PDPC 사무국)의 주요 업무 및 기타 사항(제4장), 불만 처리(제5장), 민사책임(제6장), 형사 및 행정책임(제7장)과 관련한 사항을 다루고 있다.
나. 개인정보 정의
개인정보(personal data)는 ‘직접 또는 간접적으로 해당 개인을 식별할 수 있는 개인과 관련된 모든 정보’를 의미하며, 사망한 개인의 정보는 포함하지 않는다(PDPA 제6조). PDPA는 민감정보에 대해 별도로 정의하고 있지 않다.
다. 적용 범위
(1) 일반
PDPA 제5조는 개인정보의 수집, 이용 및 공개가 태국에서 발생하는지와 관계없이 국내에 있는 컨트롤러 또는 프로세서가 개인정보를 수집, 이용 및 공개하는 데 적용되도록 명시하고 있다. 컨트롤러 또는 프로세서가 태국에 설립되지 않았을지라도, 상품 또는 서비스의 제공과 관련해 태국에 있는 정보주체의 개인정보를 처리하거나, 태국 내에서 발생한 정보주체의 행동에 대한 모니터링 진행 시 PDPA의 적용을 받게 된다.
(2) 면제사항
PDPA 제4조는 아래의 경우 PDPA가 적용되지 않는다고 규정한다. ① 개인의 이익이나 가사 활동만을 위해 개인정보를 수집하는 사람에 의해 개인정보의 수집, 이용 또는 공개가 이뤄지는 경우 ② 자금 세탁 방지 및 억제, 법의학 또는 사이버보안에 관한 의무를 포함하여 국가 또는 공공 안전, 국가의 금융 안전, 공공 안전에 관련된 국가보안을 유지할 의무가 있는 공공기관의 운영인 경우 ③ 언론, 예술, 문학 활동만을 위해 수집된 개인정보를 이용하거나 공개하는 사람 또는 법인이 직업윤리를 준수하고, 공익을 위해 사용하는 경우 ④ 하원, 상원 그리고 이들이 임명한 위원회가 자신의 권한에 따라 개인정보를 이용하거나 공개하는 경우 ⑤ 형사 사법 절차에 따르는 업무 운영을 포함하여 법적 절차, 집행 및 재산 처리에 대한 법원의 재판과 판결, 공무원의 업무 운영인 경우 ⑥ 신용조사기관의 사업 운영을 규율하는 법률에 따라 신용조사기관이나 회원사가 수행하는 개인정보 운영의 경우
라. 개인정보 처리 동의
(1) 성년 대상
PDPA 제19조에 따라 컨트롤러는 정보주체가 개인정보의 수집, 이용, 공개에 동의하지 않는 한 해당 개인정보를 수집, 이용 또는 공개할 수 없다(이 법이나 다른 법률의 규정에 따라 허용된 경우는 제외). 개인정보 처리 동의 요청은 가능한 서면 또는 전자적 수단을 통해 명시적으로 이루어져야 한다. 정보주체에게 동의를 요청할 때 컨트롤러는 개인정보의 수집, 이용, 공개 목적도 알려야 한다. 그러한 동의 요청은 명확하고 이해하기 쉬운 언어를 사용하여 제시되어야 하며, 그러한 목적과 관련하여 정보주체를 기만하거나 오도하지 않아야 한다. 이와 관련하여 PDPC 위원회는 PDPC 위원회가 정한 양식 및 진술에 따라 컨트롤러로 하여금 정보주체의 동의를 요청할 수 있다. 또한 정보주체의 동의를 요청할 때 컨트롤러는 정보주체의 동의가 자유롭게 이뤄지도록 최대한 고려해야 한다. 서비스에 대한 계약체결의 경우, 계약과 관련이 없거나 필요하지 않은 개인정보는 수집·이용·공개할 수 없다. 정보주체는 언제든지 동의를 철회할 수 있다. 법령이나 정보주체에게 이익이 되는 계약에 따라 동의 철회에 제한이 있는 경우를 제외하고, 동의 철회는 동의 제공과 같이 간단해야 한다. 단, 동의의 철회는 정보주체가 PDPC 위원회가 규정한 바에 따라 이미 동의한 개인정보의 수집·이용·공개에 영향을 미치지 않는다. 동의 철회가 정보주체에게 어떤 식으로든 영향을 미치는 경우 컨트롤러는 철회의 결과를 정보주체에게 알려야 한다. PDPA 제19조에서 명시한 사항에 부합하지 않는 정보주체의 동의 요청은 정보주체에 대해 구속력이 없으며 컨트롤러가 더 이상 개인정보를 수집, 이용 또는 공개할 수 없도록 한다.
(2) 미성년 대상
컨트롤러는 PDPA 제20조에 따라 정보주체가 미성년자로서 법적으로 독립적이지 않거나 민법 제27조에 따른 소송대리인으로서의 능력이 없으면 아래와 같이 타인의 동의를 별도로 얻어야 한다. ① 미성년자의 동의가 민법 제22조, 제23조 또는 제24조에 따라 미성년자가 단독으로 행할 수 있는 행위가 아닌 경우, 미성년자의 부모로서의 책임을 가진 자의 동의가 필요하다. ② 미성년자가 10세 미만인 경우, 해당 아동에 대한 친권자 동의가 필요하다. 정보주체가 무능력자인 경우에는 무능력자를 대행할 권한이 있는 관리인의 동의를 받아야 한다. 정보주체가 무능력자에 준하는(예: 한정치산자) 경우에는 이를 대리할 권한이 있는 자의 동의를 받아야 한다. 제20조의 상기 규정은 정보주체의 동의 철회, 정보주체에 대한 통지, 정보주체의 권리 행사, 기타 정보주체의 불만사항에 관해서도 준용한다.
(3) 개인정보 수집 목적에 따른 처리
컨트롤러는 수집 전, 또는 수집 시 정보주체에게 통지된 목적에 따라 개인정보를 수집, 이용 또는 공개해야 한다. 개인정보의 수집, 이용, 공개는 정보주체에게 사전에 고지된 목적과 다른 방식으로 수행할 수 없다. 단, 정보주체가 새로운 목적에 대해 고지를 받았고 수집·이용·공개 시점 이전에 동의를 얻은 경우, 또는 동법 및 다른 규정에 의한 경우는 목적과 다르게 처리할 수 있다. (제21조)
마. 정보주체의 권리
(1) 정보를 제공받을 권리
PDPA 제23조, 제25조는 정보주체가 정보를 제공받을 권리를 규정한다. 정보주체로부터 개인정보를 수집하는 경우 컨트롤러는 수집 전, 또는 수집 시에 정보주체에게 이를 알려야 한다(제23조). 개인정보가 다른 출처에서 수집되는 경우 컨트롤러는 해당 개인정보 수집일로부터 30일 이내에 지체 없이 정보주체에게 이를 알려야 한다(제25조제1항제2호, 제25조제3항).단, 컨트롤러가 개인정보를 정보주체와의 커뮤니케이션에 이용하는 경우에는 최초 커뮤니케이션 시 해당 정보를 제공해야 하며, 또는 다른 사람에게 공개할 예정인 경우 첫 번째 공개 전에 정보를 제공해야 한다(제25조제3항). 정보주체는 구체적으로 아래의 정보를 제공받을 권리가 있다(제23조 및 제25조제2항) ① 정보주체의 동의 없이 허용된 목적을 포함하여 개인정보의 사용 또는 공개를 위한 수집 목적 ② 정보주체가 법적 의무를 준수하기 위해 또는 계약 수행을 위해 개인정보가 필요한 사례에 대한 통지, 또는 계약체결을 위해 개인정보를 제공해야 하는 사례에 대한 통지(정보주체가 그러한 개인정보를 제공하지 않는 경우에 발생할 수 있는 효과 포함) ③ 수집할 개인정보와 개인정보 보유기간(보유기간을 지정할 수 없는 경우 개인정보 보유 기준에 따라 예상되는 기간을 명시) ④ 수집된 개인정보가 공개될 수 있는 개인이나 단체의 유형 ⑤ 컨트롤러(또는 컨트롤러의 대리인 혹은 DPO)의 정보와 주소, 상세한 연락처 정보 ⑥ PDPA에 따른 정보주체의 권리 PDPA는 정보주체에게 정보를 제공함에 있어 특정한 형식을 요구하지 않는다. 다만, 정보주체에게 정보를 제공할 의무가 면제되는 경우도 있다. 정보주체가 이미 정보를 갖고 있는 경우에는 정보주체에 알릴 의무가 적용되지 않는다(제23조, 제25조제2항제1호). 나아가 개인정보가 정보주체가 아닌 다른 출처에서 수집되는 경우 아래의 상황에서는 통지 의무가 적용되지 않는다(제25조제2항). ① 컨트롤러가 정보주체에게 새로운 목적 또는 세부정보를 통지하는 것이 불가능하거나 개인정보의 사용 또는 공개를 저해하는 경우(특히 과학적, 역사적 또는 통계적 연구와 관련된 목적 달성을 위한 경우 컨트롤러는 정보주체의 권리, 자유 및 이익을 보호하기 위해 적절한 조치를 취해야 함) ② 법률에서 요구하는 대로 긴급하게 개인정보를 이용하거나 공개해야 하고, 정보주체의 이익을 보호하기 위해 적절한 조치를 구현해야 하는 경우 ③ 컨트롤러가 자신의 의무, 직무 또는 직업을 통해 그러한 개인정보를 알고 있거나 획득하는 경우, 또는 제23조에 명시된 대로 새로운 목적 또는 세부정보의 기밀을 유지해야 하는 경우 한편, 제21조에서도 간접적으로 정보주체의 정보를 제공받을 권리를 규정하고 있다. 컨트롤러는 정보주체에게 사전에 고지한 목적과 다른 목적으로 개인정보를 수집, 이용 또는 처리하려는 경우 컨트롤러는 수집, 이용 또는 공개 시점 이전에 정보주체에게 이를 알려야 한다(제21조제1항).
(2) 열람권
PDPA 제30조 및 제39조는 정보주체의 열람권을 부여한다. 정보주체는 자신과 관련된 개인정보에 대해 열람하고 사본을 요청하거나 동의 없이 획득한 개인정보 획득의 공개를 요청할 수 있다(제30조). 정보주체의 정보를 제공받을 권리의 일부로서 컨트롤러는 이 법에 따라 정보주체의 권리를 해당 정보주체에게 알려야 한다(제23조). 정보주체가 동법 제30조에 따라 개인정보 열람을 요청하고 특별한 거부 사유가 없는 경우 컨트롤러는 지체 없이 열람 요청을 이행해야 하며 그러한 요청을 받은 날로부터 30일을 초과해서는 안 된다. 열람 요청은 법률 또는 법원 명령에 따라 허용되는 경우에만 거부될 수 있으며, 주로 타인의 권리와 자유에 부정적인 영향을 미치는 경우에 한정된다. PDPA는 정보주체 권리와 관련된 수수료, 열람 요청 및 응답 형식에 대한 요건은 명시적으로 언급하지 않고 있다.
(3) 정정권
PDPA는 정정권을 명시적으로 부여하지 않는다. 그러나 제35조 및 제36조는 정확하지 않거나 오래된 개인정보를 바로잡을 수 있도록 하는 정보주체의 권리를 규정하고 있다. ① 컨트롤러는 개인정보가 정확하고, 최신 상태를 유지하고, 완전하며 오해의 소지가 없는 상태로 유지해야 한다 (제35조). ② 정보주체가 컨트롤러에 동법 제35조에 따라 행동하도록 요청하였으나 컨트롤러가 정보주체의 요청에 대해 조치를 취하지 않는 경우 컨트롤러는 동법 제39조에 따라 해당 정보주체의 요청을 사유와 함께 기록해야 한다 (제36조). ③ 동법 제34조제2항에 따라 컨트롤러가 조치를 취하지 않는 경우 정보주체는 PDPA 제5장(불만사항)에 명시된 규정에 따라 임명된 전문위원회(expert committee)에 민원을 제기하여 컨트롤러로 하여금 조치를 취하게 할 권리를 보유한다 (제36조).
(4) 삭제권(잊힐 권리)
PDPA 제33조는 정보주체에게 개인정보의 익명화를 요청할 권리와 함께 삭제를 요청할 권리를 제공한다. 동 조항에 따라 정보주체는 아래의 경우 개인정보의 삭제, 파기 또는 익명화를 요청할 수 있다(제33조제1항). ① 개인정보 수집, 이용 또는 공개 목적과 관련하여 더 이상 개인정보가 필요하지 않은 경우 ② 정보주체가 개인정보 수집, 사용 또는 공개의 근거가 되는 동의를 철회하고 컨트롤러가 그러한 수집, 사용 또는 공개에 대한 법적 근거가 없는 경우 ③ 정보주체가 개인정보 수집, 사용 또는 공개에 반대하는 경우 ④ 개인정보가 불법적으로 수집, 사용 또는 공개된 경우 컨트롤러가 공개한 개인정보를 삭제하도록 요청받거나 혹은 익명화하도록 요청받은 경우, 컨트롤러는 그러한 요청 관련 이행 조치에 대한 응답을 얻기 위해 다른 컨트롤러에 알리는 조치를 취해야 한다(제33조제3항). 삭제요청 등을 이행하기 위해 필요한 기술 구현과 비용은 컨트롤러가 부담해야 한다. 컨트롤러가 동법 제33조에 따른 삭제요청에 대해 조치를 취하지 않은 경우 정보주체는 전문위원회에 민원을 제기하여 컨트롤러가 그러한 조치를 취하도록 요구할 권리가 있다. 다만, 컨트롤러의 개인정보 삭제, 파기 및 익명화 의무는 그러한 개인정보 보유가 아래의 목적에 따라 필요한 경우에는 적용되지 않는다. ① 표현의 자유의 목적 ② 동법 제24조제1항, 제24조제4항, 제26조제5항제a호 또는 제26조제5항제b호에 따른 목적 ③ 법적 권리의 확립, 준수, 행사 또는 방어 목적 ④ 법률 준수 목적
(5) 처리제한권
PDPA 제34조는 처리를 제한할 수 있는 권리를 규정한다. 정보주체는 아래의 경우 개인정보 처리 제한을 요청할 수 있다. ① 컨트롤러가 동법 제36조에 따른 정보주체의 요청에 대해 조사 절차를 보류하는 경우 ② 동법 제33조제11항제4호에 따라 삭제되거나 파기되어야 하는 개인정보에 대해 정보주체가 사용 제한을 요청하는 경우 ③ 개인정보 수집의 목적을 위해 해당 개인정보를 더 이상 보유할 필요가 없지만, 정보주체가 법적 권리의 확립, 준수, 행사 또는 방어를 위해 보유 기간의 연장을 요청할 필요가 있는 경우 ④ 컨트롤러가 정보주체의 개인정보 수집, 사용, 공개에 관한 이의제기를 거부하기 위해 동법 제32조와 관련하여 입증 혹은 조사를 보류 중인 경우 정보주체의 정보를 제공 받을 권리의 일부로 컨트롤러는 PDPA에 따라 정보주체의 권리에 대해 해당 정보주체에게 알려야 한다(제23조) 정보주체는 컨트롤러가 제34조제1항에 따라 처리제한 요청에 대해 조치를 취하지 않은 경우 컨트롤러가 그러한 조치를 취하도록 하기 위해 전문위원회에 민원을 제기할 권리를 갖는다(제34조).
(6) 이동권
PDPA 제31조에 따르면, 정보주체는 컨트롤러로부터 본인에 대한 개인정보를 수신할 권리가 있으며, 컨트롤러는 이러한 개인정보를 자동화된 도구 또는 장비를 통해 읽을 수 있거나 일반적으로 사용되는 형식으로 배열하고 자동화된 방식으로 이용 및 공개되도록 구성해야 한다. 그밖에, 정보주체는 개인정보를 타 컨트롤러로 이전 요청할 수 있는 권리를 갖는다. 이와 관련하여 정보주체가 가지는 권리는 아래와 같다. ① 자동화된 방식으로 수행할 수 있는 경우 컨트롤러에 이러한 형식의 개인정보를 다른 컨트롤러에게 전송하거나 이전을 요청할 수 있는 권리 ② 기술적인 상황으로 인해 개인정보 전송이나 이전이 불가능한 경우를 제외하고 컨트롤러가 다른 컨트롤러에게 전송이나 이전하는 형식으로 개인정보를 직접 얻을 수 있는 권리 이동권은 ① 정보주체가 개인정보 수집, 사용 또는 공개에 동의한 개인정보 ② 동법 제24조제3항에 따른 동의 요건에서 면제되는 개인정보 ③ PDPC 위원회가 동법 제24조에 따라 별도 규정한 기타 개인정보에 한정하여 행사가 가능하다. 단, 이동권 행사는 컨트롤러가 공공의 이익, 법률 준수를 위해 개인정보를 전송 또는 이전하는 경우에는 적용되지 않는다. PDPA는 이동권 행사 시 요청 형식에 대한 요건을 명시적으로 언급하지 않으나, 요청 응답 형식과 관련하여 컨트롤러는 이러한 개인정보를 자동화된 도구 또는 장비를 통해 읽을 수 있거나 일반적으로 사용되는 형식으로 배열해야 하며 자동화된 수단을 통해 사용 또는 공개할 수 있도록 해야 한다.
(7) 반대권
PDPA는 제32조에서 정보주체의 반대권을 규정하고, 제19조에서 동의를 철회할 권리를 규정한다. 먼저, 정보주체는 아래의 경우 개인정보의 수집, 사용 또는 공개에 반대할 권리가 있다. ① 동법 제24조제4항 또는 제24조제5항에 따라 동의 요건을 면제받아 개인정보를 수집하였으나, 컨트롤러가 그러한 개인정보의 수집, 사용 또는 공개에 대해 설득력 있는 정당한 근거가 있음을 입증할 수 없거나 법적 권리의 확립, 준수, 행사, 또는 방어를 위해 처리된다고 증명할 수 없는 경우 ② 직접 마케팅을 위해 개인정보를 수집, 사용 또는 공개하는 경우 ③ 과학적, 역사적 또는 통계적 연구를 위해 개인정보를 수집, 사용 또는 공개하는 경우. 단, 컨트롤러가 공익상의 이유로 업무를 수행할 필요가 있는 경우는 제외한다. 정보주체가 반대권을 행사하는 경우 컨트롤러는 관련 개인정보를 즉시 구별하고, 해당 개인정보의 수집, 사용 또는 공개를 중지해야 한다. 또한, 정보주체는 언제든지 동의를 철회할 수 있다. 동의 철회를 제한하는 규정이 있거나 계약이 정보주체에게 이익이 되지 않는 한, 동의 철회는 동의와 마찬가지로 용이하게 행사할 수 있어야 한다. 그러나 동의 철회는 동법 제2장(개인정보보호)에 따라 정보주체가 이미 법적으로 동의한 개인정보의 수집, 사용 또는 공개에 영향을 미치지 않아야 한다. 동의 철회가 정보주체에 어떤 식으로든 영향을 미치는 경우 컨트롤러는 철회의 결과를 정보주체에게 알려야 한다.
바. 컨트롤러 및 프로세서의 의무
PDPA에서 컨트롤러는 개인정보 수집, 이용 또는 공개에 관해 의사결정의 의무가 있는 자연인이나 법인을 의미하며, 프로세서는 컨트롤러의 명령에 따라 또는 컨트롤러를 대신하여 개인정보의 수집, 사용 또는 공개를 수행하는 자연인이나 법인을 의미한다(제6조). 동법에 따라 컨트롤러 및 프로세서는 GDPR과 유사하게 처리 활동 기록 의무, DPO 지정 의무를 부담하며, 다만 개인정보 영향평가 대신 신기술 채택 시 적절한 보안조치를 검토해야 한다.
(1) 개인정보 처리 활동 기록 의무
PDPA는 제39조에서 컨트롤러의 개인정보 처리 활동 기록에 관한 사항을 규정한다. 컨트롤러는 정보주체와 PDPC 사무국이 확인할 수 있도록 최소한 다음 기록을 유지 관리해야 하며 서면 또는 전자 형식으로 모두 가능하다. ① 수집된 개인정보 ② 개인정보 유형별 수집 목적 ③ 컨트롤러의 세부사항 ④ 개인정보의 보유 기간 ⑤ 개인정보를 열람할 수 있는 권한이 있는 사람에 관한 요건 및 해당 개인정보를 열람할 수 있는 요건을 포함하여 개인정보를 열람할 수 있는 권리 및 방법 ⑥ 동법 제27조제3항에 따른 개인정보 사용 또는 공개 ⑦ 동법 제30조제3항, 제31조제3항, 제32조제3항, 제36조제1항에 따른 요청 거부 또는 이의 제기 ⑧ 동법 제37조제1항에 따른 적절한 보안조치의 세부사항
(2) 개인정보 영향평가
PDPA는 개인정보 영향평가에 대해 구체적으로 명시하지 않으나, 컨트롤러에 ① 적절한 보안조치를 제공할 의무와, ② 필요에 따라 또는 적절한 보안 및 안전 표준을 효과적으로 유지하기 위해 기술이 변경된 경우 이를 검토할 의무를 두고 있다(제37조, 제40조). 컨트롤러는 개인정보의 무단 열람, 이용, 변경, 수정, 손실 및 공개를 방지하기 위해 보안조치(PDPC 위원회에서 규정한 최소 기준 포함)를 설정해야 한다(제37조). 프로세서는 승인 없이 또는 불법적으로 개인정보를 유출, 열람, 이용, 변경, 수정 또는 공개하는 행위를 방지하기 위해 적절한 보안조치를 마련해야 한다(제40조). 그러나 프로세서에 관한 규정은 개인정보의 수집, 사용 또는 공개가 정보주체의 권리나 자유에 대한 위험을 초래할 가능성이 있는 경우를 제외하고 PDPC가 규정한 규칙에 따라 소규모 조직인 프로세서에는 적용되지 않을 수 있으며, 또한 개인정보의 수집, 사용 또는 공개가 비정기적으로 발생하는 사업체이거나 동법 제26조에 따른 개인정보의 수집, 사용 또는 공개와 관련된 사업체인 경우 적용되지 않을 수 있다.
(3) DPO(Data Protection Office) 지정
컨트롤러와 프로세서는 아래의 경우 DPO를 지정해야 한다(제41조). ① 컨트롤러 또는 프로세서가 PDPC 위원회가 지정한 공공기관인 경우 ② 개인정보의 수집, 사용 또는 공개와 관련하여 컨트롤러나 프로세서의 활동이 개인정보 또는 시스템에 대한 대규모의 정기적인 모니터링을 요하는 경우 ③ 컨트롤러 또는 프로세서의 핵심 활동이 개인정보의 수집, 사용 또는 공개인 경우 컨트롤러와 프로세서는 DPO의 정보, 연락처 주소 및 연락처를 정보주체와 PDPC 사무국에 제공할 의무가 있다. 또한 정보주체가 개인정보의 수집, 사용 또는 공개와 정보주체의 권리 행사와 관련하여 DPO와 연락할 수 있도록 해야 한다. DPO는 컨트롤러 또는 프로세서의 직원이거나 컨트롤러 또는 프로세서와 계약한 서비스 제공자일 수 있다. 이와 관련, PDPC 위원회는 개인정보보호에 관한 지식 또는 전문성을 고려하여 DPO의 자격을 규정하고 고시할 수 있다 컨트롤러 또는 프로세서가 동일 계열 사업체이거나 동일 기업 그룹에 속한 경우 해당 컨트롤러나 프로세서는 공동으로 DPO를 지정할 수 있다. 이와 관련하여 동일한 계열 사업체나 동일 기업 그룹의 컨트롤러나 프로세서는 DPO에 쉽게 연락할 수 있어야 한다.(제41조). DPO는 동법 제42조에 규정된 내용에 따라 다음과 같은 직무를 수행한다. ① 동법 준수와 관련하여 컨트롤러, 프로세서의 직원 및 서비스 제공자에게 조언을 제공하거나 ② 개인정보 수집, 사용 또는 공개와 관련하여 컨트롤러 또는 프로세서의 성과를 조사하는 업무를 수행한다. 또한 ③ 컨트롤러 또는 프로세서의 개인정보 수집, 사용 또는 공개와 관련하여 문제가 있는 상황에서 PDPC 사무국과 조정하고 협력하며, ④ 직무를 수행하는 동안 알게 되거나 취득한 개인정보의 기밀을 유지한다. 컨트롤러 또는 프로세서는 적절한 도구나 장비를 제공하여 DPO가 작업을 수행할 수 있도록 지원하고, 직무를 수행하기 위해 개인정보 열람을 용이하게 해야 한다. 컨트롤러 또는 프로세서는 DPO가 동법에 따라 의무를 수행할 경우 DPO를 해고하거나 고용을 종료해서는 안 되며, DPO는 업무 수행에 문제가 있는 경우 컨트롤러나 프로세서의 최고 경영자에게 직접 보고할 수 있어야 한다. 한편, DPO는 타 직무나 업무를 수행할 수 있지만 컨트롤러 또는 프로세서가 그러한 직무나 업무가 동법에 따른 의무 수행에 반하지 않음을 PDPC 사무국에 보증해야 한다.
사. 개인정보 국외이전
컨트롤러가 개인정보를 국외 또는 국제기구로 이전하는 경우, PDPA 제28조에 따라 개인정보를 제공받는 국가 및 국제기구는 적절한 개인정보 보호수준을 갖추어야 하며 개인정보 이전은 PDPC 위원회가 규정하는 하위 규칙에 따라 이루어져야 하는 등 일정한 요건을 갖추어야 한다. 그러나, 동조에서 규정한 다음과 같은 상황에서는 이러한 요건을 갖추지 않아도 개인정보 국외이전이 가능하다. ① 법을 준수하기 위해 개인정보 국외이전이 요구되는 경우 ② 수신지 국가 또는 국제기구의 부적절한 개인정보보호 표준과 관련해 정보주체의 동의를 얻은 경우 ③ 정보주체가 계약 당사자인 계약의 이행을 위해 필요하거나 계약을 체결하기 전에 정보주체의 요청에 따라 조치를 취하기 위해 필요한 경우 ④ 정보주체의 이익을 위해 컨트롤러와 다른 사람 간의 계약 준수에 필요한 경우 ⑤ 정보주체 또는 타인의 생명, 신체나 건강에 대한 위험을 방지하거나 억제하기 위한 경우 ⑥ 공익을 위해 국외이전이 필요한 경우 PDPC 위원회는 개인정보를 이전받는 국가 및 국제기구의 개인정보보호 수준에 대한 적정성을 평가 및 결정할 수 있으며, 한 번 내린 결정과 관련해서는 수신지 국가 및 국제기구가 적절한 개인정보보호 표준을 개발했음을 확실히 할 수 있는 새로운 증거가 있을 때 재차 검토될 수 있다. 이외에도 동법 제29조에서는 개인정보 국외이전이 허용되는 예외적인 사유를 규정하고 있다. 컨트롤러 또는 프로세서가 국외의 동일 계열 사업체나 동일 기업 그룹으로 개인정보를 이전하는 것과 관련하여 개인정보보호 정책을 시행하고 있으며 해당 정책이 PDPC 사무국에서 검토를 거쳐 승인이 완료된 경우에는, 제28조를 준수하지 않고도 해당 정책에 따라 개인정보를 국외로 이전할 수 있다. 만약, 수신지 국가 또는 국제기구가 PDPC 위원회로부터 적정성 결정을 받은 적이 없거나 상기와 같은 개인정보보호 정책이 없는 경우라도, PDPC 위원회가 제정하고 발표한 규칙에 따라 정보주체의 권리 행사를 보장하는 적절한 보호 조치를 컨트롤러 또는 프로세서가 제공하는 경우 마찬가지로 제28조를 준수하지 않고도 개인정보를 국외로 이전할 수 있다.
아. 집행
(1) 제재 유형
PDPA는 위반사항에 대해 민사책임, 형사처벌, 행정처분 등 세 가지 제재 유형을 규정하고 있다. 먼저, 동법은 타 국가 개인정보보호법과 유사하게 PDPC에 컨트롤러 또는 프로세서에 대한 행정 과징금을 부과할 수 있는 권한을 부여하고 있으며, 행정 과징금의 최대 규모는 500만 바트(약 1억 8,750만 원)로 설정하고 있다. 개인정보를 처리하는 자의 행위가 만약 단순한 개인정보 침해를 넘어 범죄에 이르는 결과가 발생한 경우에는 동법상의 처벌조항에 따라 형사책임을 부과한다. 그밖에, PDPA는 타 국가 법률과는 달리 민사책임에 관한 조항을 두고 있는 것이 특징이다. 정보주체는 자신이 입은 손해에 대해 법원에 배상을 청구할 수 있으며 법원은 징벌적 손해배상 지급을 선고할 수도 있다.
(2) 민사책임
PDPA 제77조는 컨트롤러 등의 민사책임에 대해 규정한다. 개인정보와 관련된 조치가 동법의 규정을 위반하거나 준수하지 않아 정보주체에게 손해를 끼치는 경우, 고의 또는 과실을 불문하고 정보주체에게 손해를 배상해아 한다. 다만 다음의 경우 손해배상 의무를 면제한다. ① 불가항력 또는 정보주체의 작위 또는 부작위에 따라 손해 발생 ② 동법에 따른 직무 및 권한을 행사하는 공무원의 명령에 따라 조치를 취했으나 손해 발생 법원은 동법 제78조에 따라 적합하다고 인정되는 실제 배상금 외에 징벌적 손해배상금을 지급하도록 명할 권한을 가지며 이때 징벌적 손해배상금은 실제 배상금액의 2배를 초과할 수 없다. 이때 법원은 ▲정보주체에게 발생한 손해의 심각성 ▲컨트롤러 또는 프로세서가 얻은 이익 ▲컨트롤러 또는 프로세서의 재무 상태 ▲컨트롤러 또는 프로세서가 제공한 구제조치 ▲정보주체가 손해를 유발하는 데 기여하는 행위 등을 참작사유로서 고려한다. 한편, 동법에 따른 배상청구는 피해자가 피해사실을 인지하고 책임 있는 컨트롤러 또는 프로세서의 신원을 안 날로부터 3년, 개인정보에 대한 부당한 행위가 발생한 날로부터 10년 내에 제기되어야 한다.
(3) 형사처벌
PDPA는 제79조~제81조에서 형사처벌 조항을 두고 있다. 컨트롤러가 동법 제27조 제1항 또는 제2항(정보주체의 동의 없는 개인정보 사용 및 제공 등)을 위반하거나 제26조(인종, 민족, 정치적 의견, 종교 또는 철학적 신념, 성적 행동, 범죄 기록 등의 원칙적 수집 금지)에 따른 개인정보와 관련하여 제28조(개인정보 국외이전 요건)를 준수하지 않아 타인에게 피해를 입히거나, 평판을 손상시키거나, 타인이 경멸, 증오, 굴욕감을 느끼게 된 경우 6개월 이하의 징역 또는/및 50만 바트(약 1,875만원) 이하의 벌금에 처한다. (제79조) 동법에 따른 직무를 수행한 결과 타인의 개인정보를 알게 되어 해당 정보를 타인에게 공개할 경우에도 마찬가지로 6개월 이하의 징역 또는/및 50만 바트(약 1,875만원) 이하의 벌금에 처한다. (제80조) 이때, 범죄를 저지른 범죄자가 법인이고 그 법인의 행위에 책임을 져야 할 이사, 관리자, 책임자의 지시 또는 행위의 결과로 범죄가 행해진 경우, 해당 이사, 관리자 또는 책임자는 동법 상 형사처벌 조항에 규정된 처벌을 받게 된다. (제81조)
(4) 행정처분
PDPA는 제82조에서 제89조에 걸쳐 아래와 같이 위반행위별로 각각의 과징금 기준을 차등 제시하고 있다.
[표 1] 위반행위별 과징금 액수
| 조항 | 위반행위 | 과징금 |
|---|---|---|
| 제82조 |
컨트롤러가 제23조, 제30조제4항, 제39조제1항, 제41조제1항, 제42조제2항 또는 제3항을 준수하지 않음 컨트롤러가 동의를 얻을 때 제19조제3항에 따라 PDPC 위원회가 정한 양식이나 진술을 사용하지 않음 컨트롤러가 제19조제6항에 따라 동의 철회의 법적 영향에 대해 정보주체에게 알리지 않음 컨트롤러가 제25조제2항에서 준용하는 제23조를 이행하지 않음 |
최대 100만 바트(약 3,750만원) |
| 제83조 |
컨트롤러가 제21조, 제22조, 제24조, 제25조제1항, 제27조제1항 또는 제2항, 제28조, 제32조제2항 또는 제37조를 위반하거나 준수하지 않음 컨트롤러가 개인정보의 처리 목적에 대해 정보주체를 기만하거나 오인하게 하여 동의를 획득 컨트롤러가 제25조제2항에 따라 준용되는 제21조를 준수하지 않음 컨트롤러가 개인정보를 보내거나 전송하면서 제29조제1항 또는 제3항을 준수하지 않음 |
최대 300만 바트(약 1억 1,250만원) |
| 제84조 |
컨트롤러가 개인정보와 관련하여 제26조제1항 또는 제3항, 제27조제1항 또는 제2항, 제28조를 위반 컨트롤러가 제26조에 근거하여 개인정보를 전송 또는 이전하지 않음 프로세서가 제41조제1항 또는 제42조제2항·제3항을 준수하지 않음 |
최대 500만 바트(약 1억 8,750만원) |
| 제85조 |
프로세서가 적절한 이유 없이 제40조를 준수하지 않거나 제29조제1항 또는 제3항에 반하여 개인정보를 전송 |
최대 100만 바트(약 3,750만원) |
| 제86조 |
프로세서가 제38조에 따라 준용되는 제37조제5항을 준수하지 않음 |
최대 300만 바트(약 1억 1,250만원) |
| 제87조 |
프로세서가 제26조제1항 또는 제3항에 반하여 개인정보를 전송하거나 이전 |
최대 500만 바트(약 1억 8,750만원) |
| 제88조 |
컨트롤러 또는 프로세서의 대리인이 제39조제2항에 따라 준용되는 제39조제1항, 그리고 제41조제4항에 따라 준용되는 제41조제1항을 준수하지 않음 |
최대 100만 바트(약 3,750만원) |
| 제89조 |
자연인이 전문위원회의 명령에 따르지 않음 |
최대 50만 바트(약 1,875만원) |
PDPA 제90조는 전문위원회의 행정 과징금 부과 권한과 절차, 행정 소송 제기절차를 규정한다. 전문위원회는 상기 기준에 따라 행정 과징금을 처분할 권한이 있으며, 적합하다고 인정하는 경우 전문위원회가 우선 시정 또는 경고를 명할 수 있다. 전문위원회는 과징금 부과를 결정할 때 위반행위의 심각성, 컨트롤러 또는 프로세서의 업무 규모, PDPC 위원회가 정한 규칙 기타 정황을 고려해야 한다. 과징금 부과 대상자가 과징금 납부를 거부하는 경우 행정절차법에 따른 행정명령의 집행에 관한 규정을 준용한다. 행정명령을 집행할 집행관이 없거나, 집행관이 있지만 집행할 수 없는 경우에는 전문위원회는 행정법원에 소송을 제기하여 과징금의 징수를 청구할 수 있다. 이 경우 행정법원이 과징금 부과 명령이 적법하다고 판단하는 경우 행정법원은 판결을 내려 경매를 위한 매각재산의 압류 등을 명할 수 있다.
3기타 관련 법률
특수한 개인정보를 다루는 법률로서 신용정보사업법(Credit Information Business Act, BE 2545(2002))이 있다. 신용정보사업법은 신용정보 또는 신용 신청 고객에 대한 특정한 개인정보보호를 보장한다. 동법 제3조에 따르면 신용정보(credit information)란 신용을 신청하는 고객에 관한 정보를 뜻하는데, 고객이 자연인일 경우 이름, 주소, 생년월일, 혼인상태, 직업, 공무원증번호, 여권, 납세자번호를 뜻하고, 고객이 법인인 경우 주소, 법인등록번호, 납세자번호 등을 의미한다.
신용정보업을 영위하는 신용정보회사는 신체장애, 유전자, 범죄수사 또는 형사소송이 진행 중인 자에 관한 정보 등을 수집하고 기록해서는 안 된다. 태국 밖에서 개인정보를 사용, 제어, 처리하는 것이 금지되고 국외에 정보를 저장할 수 없다. 또한 보유기간을 초과한 정보의 처리행위도 금지된다.
특수한 개인정보를 다루는 법률로서 신용정보사업법(Credit Information Business Act, BE 2545(2002))이 있다. 신용정보사업법은 신용정보 또는 신용 신청 고객에 대한 특정한 개인정보보호를 보장한다. 동법 제3조에 따르면 신용정보(credit information)란 신용을 신청하는 고객에 관한 정보를 뜻하는데, 고객이 자연인일 경우 이름, 주소, 생년월일, 혼인상태, 직업, 공무원증번호, 여권, 납세자번호를 뜻하고, 고객이 법인인 경우 주소, 법인등록번호, 납세자번호 등을 의미한다. 신용정보업을 영위하는 신용정보회사는 신체장애, 유전자, 범죄수사 또는 형사소송이 진행 중인 자에 관한 정보 등을 수집하고 기록해서는 안 된다. 태국 밖에서 개인정보를 사용, 제어, 처리하는 것이 금지되고 국외에 정보를 저장할 수 없다. 또한 보유기간을 초과한 정보의 처리행위도 금지된다.
