[EU의 데이터 보호] 14. GDPR의 감독과 집행(2)

지난 기사에 이어 GDPR의 감독과 집행에 대해 설명하고자 한다.

GDPR의 감독과 집행(1) (바로가기)

갑작스런 규제 조치로부터 컨트롤러 및 프로세서 보호

Safe Harbor 소송은 규제 당국도 일을 잘못할 수 있음을 보여주며, 위의 제78조 (1)항의 분석과 관련하여 본 것처럼, DPA의 결정에 영향을 받는 자연인 및 법인은 그들이 입장을 보호하기 위해 법적 절차를 취할 수 있다. 제78조 (1)항은 규제 조치에 대한 안전 조치 조항인 제58조 (4)항에 의해 뒷받침된다.

전문적 비밀

제54조 (2)항은 DPA와 직원이 접근할 수 있는 기밀 정보에 대한 전문적 기밀 보호 의무를 부과한다.

권한 및 국제 협력

문제를 조화롭게 해결하기 위해서 누가 감독 및 집행 활동에 종사할 합법적 권한을 가졌느냐는 중요한 문제이다. 경쟁법이 있는 경우 어떤 규제 기관이 규제 업무를 담당해야 하는지를, GDPR은 권한, 협력 및 일관성에 관한 규칙을 통해 해결한다.

DPA의 회원국에 설립된 컨트롤러 및 프로세서에 대한 규제 권한

제55조의 출발점은 각 DPA가 자체 회원국의 영토 내에서 행동할 능력이 있어야 한다는 것이다. 이때 DPA가 통제할 수 있는 컨트롤러와 프로세서와 관련하여, 사업장의 지역이 중요하다. DPA는 해당 지역에 설립된 컨트롤러와 프로세서를 규제할 수 있지만, 컨트롤러 또는 프로세서가 여러 지역에 설립되거나 국경 간 처리가 이루어지는 경우에는 더욱 복잡해진다. 이 경우 ‘주관청’에 권한이 있다.

국경 간 처리에 대한 규제 권한

컨트롤러 또는 프로세서가 여러 지역에 설립된 경우, 규제 권한 문제는 ‘주 사업장’의 위치에 달려 있다. 주 사업장의 개념은 제4조 (16)항에 정의되어 있으며 개인정보 처리를 위한 의사결정이 어디에서 이루어지는지에 초점을 맞추고 있다. 일반적으로 컨트롤러 또는 프로세서의 ‘중앙 관리’에 있지만, 다른 위치에서 데이터 처리 방법에 대한 결정을 수행할 수 있는 권한이 있는 경우, 주 사업장이 그 위치로 변경된다.

제56조 (1)항에 따라, 주관청은 국경 간 처리의 상황을 규제하도록 요구될 것이다. 국경 간 처리는 다국적 기업에만 국한되지 않는다. 그러나 제56조 (1)항이 주요 또는 단일 사업장에 대한 언급을 통해 명백해짐에 따라, 한 국가에서만 설립된 단체도 다른 국가의 사람들에게 재화와 용역을 제공하는 등의 국경 간 처리에 참여할 수 있다.

제56조 (1)항은 제56조 (6)항에 의해 강화되며, 국경 간 처리의 ‘유일한 교섭상대’(interlocutor)로서 주관청을 지정한다.

제56조 (2)항은 민원이 자국 영토에만 관련된 경우 또는 영토 내에서만 개인에게 실질적으로 영향을 미치는 경우에, 비주관청이 국경을 넘어서는 상황에서 조치를 취할 수 있게 한다. 이러한 성격의 경우, 권한을 주장하는 DPA는 제56조 (3)항에 명시된 바와 같이 권한의 다툼을 촉발하거나 촉발하지 않을지도 모르는 주관청에 통보해야 한다. 만약 주관청이 다른 DPA의 권한 주장을 거부하고 그 문제 자체를 해결하기로 결정한 경우, 제60조의 절차를 따라야 한다. 만약 주관청이 다른 DPA의 권한 주장을 수락하면, 다른 DPA는 상호 지원 및 공동운영에 대해 제61조와 제62조의 규정에 따라 진행할 수 있다.

다국적 및 국경 간 역량에 관한 권한에 관한 분쟁과 도전은 개인이 DPA 중 하나에 불만을 제기한 후에 발생할 가능성이 가장 크다. 앞에서 설명한 바와 같이, 제77조 (1)항은 개인에게 불만 사항을 제기할 수 있는 선택권을 부여한다. 개인은 상시 거주하는 회원국의 DPA 또는 직장이 있는 회원국의 DPA(만약에 다르다면), 또는 침해 혐의가 발생한 곳의 DPA(만약에 다르다면)에게 불만을 제기할 수 있다. 만약 비주관청에 불만이 제기된 경우, 제56조의 절차가 촉발되어야 하고, 차례로 제60조의 절차가 촉발되어야 한다.

주관청—협력 달성 및 분쟁 해결

요약하자면, 주관청 규칙은 국경 간 처리에만 관련된다. 국경 간 처리가 수행되지 않으면 주관청 규칙이 적용되지 않는다. 주관청 규칙이 적용되는 경우, 제60조의 협력 절차가 적용된다. 협력 절차는 제61조와 제62조의 상호 원조 및 공동운영 규칙을 포함하며 일반적으로 상호 원조 또는 공동운영에 대한 요청으로 시작되지만, 위에 논의된 바와 같이 비선임 DPA 권한을 주장하는 것으로 시작될 수 있다.

협력 절차의 본질은 주관청이 다른 관련 DPA에게 결정 초안을 제공하는 것인데, 이는 다른 DPA로부터의 ‘이유 있는 반대’ 또는 단순히 결정 초안에 대한 동의를 촉발시킬 수 있다(제60조 (3)항 및 (4)항 참조). 이유 있는 반대가 있는 경우, 주관청은 반대 의견을 수락하거나 거부할 수 있다(제60조 (4)항 및 (5)항 참조). 이의 제기를 수락하면 개정안 초안을 발표해야 한다(제60조 (5)항 참조). 다른 DPA는 수정된 결정을 수락하거나 다른 이의 제기를 할 수 있다. 그들이 또 다른 이의 제기를 한다면, 또 다른 결정 초안이 있을 것이며, 이 과정은 교착 상태가 해소될 때까지 계속될 것이다(이것은 EDPB에 의뢰하여 할 수 있다). 이의 제기가 접수되었지만 거절된 경우, 주관청은(나중에 더 깊이 다루어질) 일관성 메커니즘을 준수해야 한다(제60조 (4)항 참조). 이의 제기가 없으면(1차 결정 초안 단계 또는 이후), 주관청과 다른 DPA는 합의된 것으로 간주되고 결정 초안은 구속력을 갖는다(제60조 (6)항 참조). 제60조에는 이러한 모든 주요 사건에 대한 시간표 및 절차가 포함되어 있다.

결정 초안이 수락된 것으로 간주되는 경우, 주관청은 이를 채택하고 주 사업장 또는 단일 사업장의 컨트롤러 또는 프로세서에게 해당 문제에 관련된 다른 DPA와 EDPB(제60조 (7)항 참조)에게 통보해야 한다. 의사결정 과정을 촉발시킨 불만 사항이 비주관청을 통해 개인으로부터 제기된 경우 해당 당국은 신고자에게 결과를 통보해야 한다. 그런 다음 부담은 준수 이행 결정에 대한 주체가 되는 컨트롤러 또는 프로세서로 옮겨 가며, 여기에는 이를 달성하는 방법에 대해 주관청에 보고하는 것이 포함된다(제60조 (10)항 참조).

제60조 (9)항은 주관청 및 다른 DPA가 불만의 일부를 수락하거나 기각하는 것에 동의하는 상황에 대한 규정을 제정한다. 이러한 상황에서는 별도의 초안 결정이 필요하다.

상호 지원 및 공동운영

제61조와 제62조는 DPA 간의 상호 지원 및 공동운영에 관한 것이다. 상호 지원 규칙의 본질은 정보의 협력과 교환을 요구하는 제61조 (1)항에 포함되어 있다. 제61조 (1)항은 DPA에게 부당한 지체 없이(1개월까지) 지원을 제공하기 위한 적절한 조치를 취할 것을 요구한다. 이러한 요청은 요청받는 DPA가 요청의 성격과 목적을 이해할 수 있도록 필요한 정보로 지원되어야 한다. 요청받는 DPA는 지원을 제공하는 권한과 불법을 피할 필요성에 관한 제61조 (4)항의 아주 제한된 예외를 제외하고는 준수해야 한다. 그러나 요청받는 DPA가 1개월 이내에 지원을 제공하지 않으면, 요청하는 DPA는 잠정 조치를 채택할 수 있으며, 이는 결국 긴급 절차를 촉발한다(뒷부분에 논의 함).

제62조의 공동운영 규정은 모든 관련 DPA가 감독 및 집행 업무에 적절히 대표되도록 보장하기 위해 제정되었다. 컨트롤러 및 프로세서가 여러 지역에 설립되거나 처리 활동이 다수의 지역에 있는 상당수의 개인에게 실질적으로 영향을 미치는 경우, 모든 관련 DPA는 공동운영에 참여할 권리가 있다. 의무는 모든 다른 DPA에 참여하도록 초청하는 권한 있는 당국에 달려 있다.

일관성 메커니즘 및 유럽 데이터 보호위원회

EDPB는 일관성 메커니즘의 핵심이며, 제68조에 의해 설립된 제29조 작업반(WP29)의 계승자이다. 위원장, DPA 위원장 및 유럽 데이터 보호 감독자로 구성되며, 집행위원회는 회의에 대의원을 파견할 자격이 있다. EDPB는 독자적으로 행동해야 한다는 요구 사항(제69조 참조)과 매우 긴 작업 목록(제70조 참조)의 적용을 받는다.

EDPB의 의견

제64조는 여러 회원국에 영향을 주는 제안된 행동 강령의 채택, 강령 모니터링 기관 및 인증 기관의 인정 기준, DPA가 승인한 계약 조항 및 BCR 인증(제64조 (1) 참조)에 대해 DPIA가 요구될 때, DPIA가 EDPB가 환경 목록에 대한 의견을 발행하도록 요구한다. 이러한 의견들은 DPA가 초기 작업(DPIA 목록에 대한 규칙 등, DPA가 EDPB에 의견을 제출하기 위해 결정을 내릴 것을 요구한 후)을 한 이후에 제공될 것이라고 앞서 논의된 것으로 기억될 것이다.

또한 DPA, EDPB 위원장 또는 집행위원회는 여러 회원국에서 일반적인 적용 또는 효과를 창출하는 문제에 대한 의견을 요청할 수 있다(제64조 (2)항 참조). 이러한 의견의 산출은 시간표가 있는 절차의 적용을 받는다(제64조 (3)항 참조).

EDPB에 의한 분쟁 해결

일관성 메커니즘의 핵심 부분은 제65조에 포함된 분쟁 해결 절차이다. 이는 주관청이 국경 간 처리에 관한 결정 초안에 대한 이유 있는 반대를 거절할 때마다(제60조와 주관청에 관한 상기 논의 참조), DPA 간에 누가 주사업장을 규제하는 권한이 있는지, 또는 DPIA 리스트, 행동 강령 및 EDPB에 대한 국제 이전 매커니즘에 대한 결정을 회부하는 데 DPA가 실패했을 때마다, 촉발된다. 분쟁 해결 절차의 결과는 구속력 있는 결정의 채택이다. 다시 말하면, EDPB에는 구속력 있는 결정을 채택하기 위한 시간표와 절차가 있다(제65조 (2)항 참조).

분쟁 해결 절차가 국경 간 처리와 관련된 불만에 관한 결정 초안과 관련된 경우, 불만을 접수한 주관청 또는 다른 DPA는, 경우에 따라, 구속력 있는 결정 기반의 최종 결정을 채택하도록 요구된다. 다시 언급하지만, 분쟁 해결에는 시간표와 절차가 있다(제65조 (1)항 참조).

긴급 절차

때로 DPA가 개인의 권리와 자유를 보호하기 위해 긴급 조치를 취해야 한다는 예외적인 상황이 있을 수 있다. 긴박한 경우라면, 제60조의 협조 절차나 일관성 메커니즘을 추구하기에 충분한 시간이 없을 수도 있다. 이러한 상황에서 제66조는 DPA가 자국 영역에서 법적 효력을 발생시키기 위한 잠정 조치를 즉각적으로 채택하도록 허용한다. 이러한 잠정 조치는 3개월 이내이며, 채택될 때마다 그 문제와 관련된 다른 DPA, EDPB 및 집행위원회에 대해서 합당한 근거를 기반으로 DPA에 의해 회부되어야 한다.

3개월이 끝날 때, DPA가 최종 조치를 긴급히 채택할 필요가 없다고 판단하지 않는 한, 임시 조치는 사라질 것이며, 이 경우 긴급 의견이나 긴급한 구속력 있는 결정을 EDPB에 요청할 수 있으며, 그 절차는 제64조 또는 제65조로 귀결된다.

제재 및 처벌

GDPR의 가장 인상적인 혁신은 제83조에 포함된 행정 벌금 제도이다. 위반 행위의 성격과 추진되는 기업의 상태에 따라 벌금은 정해진 재정 상한까지 부과될 수 있다. 최대 1,000만 유로, 경우에 따라, 또는 다른 경우에서는 2,000만 유로까지이며, 전 세계 매출의 최대(2% 또는 4%) 비율이다. 아래 표는 적용되는 방식이다.

제88조 (4)항 제88조 (5)항
비영리 단체(경제 활동에 관여하지 않는 공공 당국)에 최대 1,000만 유로의 벌금을 부과한다. 비영리 단체에 대해 최대 2,000만 유로의 벌금을 부과한다.
1,000만 유로 또는 전년도 세계 매출액의 2% 중 높은 금액을 사업체(예: 기업)에 벌금으로 부과한다. 2,000만 유로 또는 전년도 세계 매출액의 4% 중 높은 금액을 사업체에 벌금으로 부과한다.
제8조, 제11조, 제25–39조, 제42조 및 제43조(컨트롤러 및 프로세서의 위반)

제42조 및 제43조(인증 기관의 위반)

제41조 (4)항(모니터링 기관의 위반)

제5조, 제6조, 제7조, 제9조, 제12-22조, 제44–49조 및 제58조 (1)항 및 (2)항
아동의 동의, data protection by design and by default, 컨트롤러에 의한 프로세서 참여, 처리 기록, 규제 당국과의 협조, 보안, 위반 통지, DPIA, DPO, 행동 강령 및 인증 등의 문제를 다루고 있다. 데이터 보호 원칙, 처리의 적법성, 승인, 특수 범주의 데이터 처리, 데이터 주체 권리, 국제 이전, DPA의 조사 및 시정 권한 준수 실패와 같은 문제를 다루고 있다.

 

벌금 부과 전에 고려해야 할 요소

모든 벌금은 ‘효과적이고, 비례적이며, 제지하는’ 것이어야 하며, 제58조에 따른 DPA의 조사 및 시정 권한의 행사와 관련하여 부과될 수 있다. 이는 심각한 GDPR 위반은 다중으로 대응될 수 있음을 의미한다. 그러나, 컨트롤러 또는 프로세서가 GDPR의 다양한 요구 조건을 위반하는 경우, 벌금의 총합은 가장 심각한 위반에 대한 금액을 초과할 수 없다. 이것은 각 위반에는 할당된 특정 분량이 필요하다는 것을 의미한다.(제83조 (3)항 참조).

벌금이 부과되거나 분량이 결정되기 전에, DPA는 제83조 (2)항에 열거된 요소들을 고려할 필요가 있다.

1. 행정 벌금은 제58조 (2)항의 (a)에서 (h) 및 (j)에서 언급된 조치에 추가하여 또는 각 조치의 상황에 따라 부과되어야 한다. 행정 벌금을 부과할지 여부와 개별 벌금에 대한 행정 벌금 액수를 결정할 때 다음 사항을 고려해야 한다:

a. 해당 처리의 성격 범위 또는 목적을 고려한 침해의 성질, 중대성 및 지속 기간뿐만 아니라 영향을 받는 데이터 주체의 수 및 피해 수준

b. 위반의 의도적 또는 부주의한 성격

c. 데이터 주체가 입은 피해를 완화하기 위해 컨트롤러 또는 프로세서가 취한 모든 조치

d. 제25조 및 제32조에 따라 그들에 의해 시행되는 기술적 및 조직적 조치를 고려한 컨트롤러 또는 프로세서의 책임 정도

e. 컨트롤러 또는 프로세서에 의한 이전의 관련된 모든 위반 여부

f. 위반을 교정하고 위반의 가능한 악영향을 완화하기 위한 감독 당국과의 협력 정도

g. 위반의 영향을 받는 개인 데이터의 범주

h. 위반이 감독 당국에 알려지는 방식, 특히 컨트롤러 또는 프로세서가 위반 사실을 어느 정도까지 통보했는지의 여부

i. 제58조 (2)항에 언급된 조치가 이전에 동일한 주제와 관련하여 해당 컨트롤러 또는 프로세서에게 명령된 경우, 그러한 조치의 준수 여부

j. 제40조에 따라 승인된 행동 강령을 준수하거나 제42조에 따라 승인된 인증 메커니즘 준수 여부

k. 위반으로부터 직접 또는 간접적으로 회피되는 금융 이익의 획득 또는 손실과 같은 상황에 적용되는 악화 요인 또는 완화 요인

 

사업체 및 비영리 단체에 대한 최대 벌금

제83조 (4)항은 DPA가 최고 1,000만 유로 또는 벌금을 선고한 회계 연도의 전년도 연간 매출액의 2%에 해당하는 벌금 중 높은 금액으로 부과할 수 있게 한다. 제83조 (5)항은 이 기준치를 2,000만 유로와 4%로 인상한다. 따라서 컨트롤러 또는 프로세서의 최대 책임을 이해하려면 해당 작업이 사업체인지 아닌지 여부를 확인해야 한다. 이것은 그렇게 어려운 확인이 필요하지는 않다. 유럽법에 의해 사업체는 상업 활동에 종사하는 기업으로 정의되었다. 그러므로 공공 당국은 기업이 아니며 비법인 협회도 아니어야 한다.

그러나 제83조 (8)항은 모호함을 추가하고 있다. 회원국은 자신의 영토에 설립된 공공 기관 및 단체에 벌금이 부과될 수 있는지 여부와 그 벌금에 어느 정도 부과될 수 있는지에 관한 규정을 제정할 수 있다고 말하고 있고, 이는 공공 당국이 벌금 제도에서 벗어날 수 있음을 시사한다.

사업체의 최대 벌금

기업이 전 세계 연간 매출액의 2~4%의 벌금에 노출되어 있거나 그룹의 일원이라고 가정할 때 전 세계 연간 매출액을 기준으로 벌금에 노출되어 있는지 여부를 결정하기 위해서, 제83조 (4)항과 (5)항은 단일 독립체를 의미하는 ‘사업체’에 관해 논의한다. 그들은 사업체 그룹에 관해서 이야기하지 않는다. 그러나 제47조의 BCR 제도는 제4조의 정의된 용어인 사업체 그룹에 관해 논의한다.

이러한 점을 종합해 볼 때, 회사 그룹의 구성원인 회사는 그룹 매출의 일정 비율보다는 개별 매출액의 최대 비율까지만 벌금을 부과할 수 있다(백분율 값이 1,000만 또는 2,000만보다 높다고 가정할 때). 하지만 대기업의 경우 성격이 전혀 다른 사업을 영위하는 경우가 있는데, 이 경우 사업부문별 매출로 구분하여 벌금이 부과될 것인지는 논란의 여지가 있다.

법 집행 데이터 보호 지침

GDPR에는 공공 부문의 법 집행 단체의 활동을 다루는 법 집행 데이터 보호 지침(LEDP Directive, Law Enforcement Data Protection Directive 2016/680)이 수반된다. 그것은 주관청 개념(및 관련 협력과 일관성 메커니즘)과 재정적 처벌이 없는 것을 제외하고는 동일한 감독 및 시행 체제를 포함한다.

GDPR 감독 및 집행 핵심 조항

아래는 GDPR 조항 중 구제 감독 및 이의 집행에 관련된 핵심 조항들이다.

조(항) 제목 적용 내용
12 (4) 불만을 제기할 권리에 대한 정보—권리 행사 후 컨트롤러가 개인의 권리 행사에 응하여 조치를 취하지 않으면 해당 개인은 규제 당국에 불만을 제기하고 사법적 구제책을 구할 수 있음을 알릴 것이다.
13 (2)(d)

14 (2)(e)

불만을 제기할 권리에 대한 정보—일반 투명성 투명성에 대한 규칙의 일환으로 컨트롤러는 개인에게 규제 기관에 불만을 제기할 수 있음을 알려야 한다.
15 (1)(f) 불만을 제기할 권리에 대한 정보—주체 접근에 대한 응답 주체 액세스 요청에 응답할 때, 컨트롤러는 개인에게 규제 기관에 불만을 제기할 수 있음을 알려야 한다.
27 (4) 규제 당국 및 개인과의 협력 – 대표자에 의한 대표자는 개인 및 규제 당국과의 협의 문제를 다루기 위해 위임받아야 한다.
28 프로세서—컨트롤러에 의한 감독 컨트롤러는 선택 메커니즘, 지침 제공, 계약 메커니즘 및 검사를 통해 프로세서의 컴플라이언스를 보장해야 한다.
30 (4) 기록 보관—처리 활동 컨트롤러, 프로세서 및 그 대리인은 요청에 따라 규제 당국이 자료 처리 활동 기록을 이용할 수 있도록 해야 한다.
31 협력—규제 기관과의 협력 컨트롤러, 프로세서 및 그 대리인은 요청에 따라 규제 당국과 협조해야 한다.
33 (1) 및 34 (1) 위반 알림 컨트롤러는 규제 기관에 개인정보 유출 사실을 알리고 자신의 권리와 자유에 대한 위험이 큰지 개인에게 알려야 한다.
33 (5) 기록 보관—위반 문서 컨트롤러는 개인 데이터 침해를 문서화하여 규제 기관이 위반 통지 규칙을 준수하는지 확인할 수 있도록 해야 한다.
35 (4, 5 및 6) DPIA—목록 규제 기관은 여러 회원국에 물품이나 서비스가 제공되거나 여러 회원국에서 개인의 행동을 모니터링 할 때 일관성 메커니즘에 따라, DPIA가 수행되어야 하거나 수행할 필요가 없는 상황의 목록을 게시할 수 있다. 이 경우, 개인 데이터의 자유로운 이동에 상당한 영향을 미칠 수 있다.
36 (1) 및 (5) 규제 당국과의 협의—DPIA 이후 그리고 공공의 이익에 따라 처리하기 전 컨트롤러는 DPIA가 처리가 위험 완화 조치가 없어서 개인의 권리와 자유에 큰 위험을 초래할 것이라는 점을 명시한 경우, 규제 기관과 협의해야 한다. 회원국은 공공의 이익을 위해 수행된 업무를 처리할 때 컨트롤러가 규제 기관과 협의하도록 요구할 수 있다.
36 (4) 규제 당국과 협의—제안된 입법 회원국은 개인 데이터 처리와 관련된 입법안을 준비하는 동안 규제 기관과 협의해야 한다.
37 (1) 및 39 (1) DPOs—임명 및 업무 DPO는 공공 기관(사법 활동을 수행할 때 법원을 제외하고)이 임명해야 한다; 컨트롤러 또는 프로세서의 핵심 활동에는 정기적인 체계적 대규모 모니터링이 연관된 경우; 또는 처리가 특수 범주의 개인 데이터 또는 범죄 데이터를 포함하는 경우; 그들의 임무는 규제 준수를 감시하고 규제 당국과 협력하는 것을 포함한다.
40 (1) 및 (7) 및

41 (1)

자율 규제—행동 강령 및 인증 컨트롤러와 프로세서를 대표하는 단체의 준수를 위한 행동 강령 작성이 권장되어야 하며, 감독 기관은 일관성 메커니즘에 따라 해당 기관의 준수 여부를 모니터하는 단체를 인가할 수 있다.
42 (1) 및 43 (1) 및 (3) 자율 규제—인증, 인감, 마크 및 인증 기관 인증 메커니즘, 인장 및 마크의 설정이 권장되어야 하며, 규제 기관과 국가 인가 기구는 일관성 메커니즘에 따라 인증 기관이 인증을 발급하도록 인가할 수 있다.
46 (3) 이전—승인 감독 당국은 일관성 메커니즘에 따라 적절한 안전장치에 근거하여 이전을 승인할 수 있다.
47 (1) 이전—BCR 규제 기관은 일관성 메커니즘에 따라 BCR을 통한 이전을 승인할 수 있다.
50 협력—국제 협력 집행위원회와 감독 기관은 효과적인 시행을 위해 제3국과의 국제 협력 및 상호 지원 체제를 개발하기 위한 조치를 취해야 한다.
51 규제 당국—독립적 인 공공 기관 회원국은 규제 당국을 제공해야 하며 규제 당국은 독립적인 공공 기관이어야 한다.
52 규제 당국—독립성 및 자원 규제 당국은 완전한 독립을 바탕으로 행동해야 하며 숙련되고 자원이 풍부해야 한다.
53 규제 당국—멤버 회원국은 필요한 기술과 경험을 갖춘 규제 당국자를 임명하는 투명한 절차를 제공해야 한다.
54 규제 당국—법률 및 규칙 규제 당국의 설립 및 임명을 규율하는 규칙은 회원국 법률에 포함되어야 한다.
55 규제 당국—영토적 권한 규제 당국은 법원의 사법 능력에 의한 처리를 제외하고는 업무를 수행하고 자국 영역에서 GDPR의 권한을 행사할 능력이 있다.
56 규제 당국—주관청 및 협력 국경 간 처리의 목적 상 다국적 기업과 프로세서는 주관청이 주관하는 국가의 감독 당국에 의해 감독되어야 한다. 각 당국은 각국의 사업장과 관련된 처리에 대한 불만을 처리할 수는 있지만, 불만은 자국 영토에 있는 개인만이 관여하거나 실질적으로 관련되는 조건으로 하며, 제60조의 협력 절차에 따라 주관 당국에 이를 통보하는 것을 조건으로 한다.
57 규제 당국—업무 규제 당국의 광범위한 업무에는 GDPR의 모니터링 및 시행, 규칙, 안전장치 및 권리에 대한 인식 및 이해 증진; 불만 사항 처리; 기술 및 상업 관행의 발전 모니터링; 자율 규제 (코드, 인장 등)의 계획 촉진; 이전 메커니즘 (계약, BCR)에 대한 승인 및 허가 제공을 포함한다. 그들은 개인 및 DPO에 무료로 서비스를 제공해야 한다.
58 규제 당국—권한 규제 당국은 정보 제공 및 감사 실시 권한, 시설, 데이터 및 장비에 대한 액세스 권한을 주문할 수 있는 권한을 포함하여 광범위한 권한을 보유한다; 경고, 징계 및 시행 명령을 내리는 능력, 벌금을 부과하고 법적 소송을 제기할 수 있는 권한; 조언과 승인을 제공할 권한이 있다.
59 규제 당국—활동 보고서 규제 당국은 회원국 의회와 정부, 그리고 집행위원회와 EDPB 앞에, 수행되어야 할 활동에 관한 연례 보고서를 공표해야 한다.
60 협력—주관청 및 기타 규제 당국 주관청과 다른 규제 당국 간의 협력은, 정보 공유, 상호 원조, 규제 당국의 광범위한 공동체가 EDPB에 단계적으로 에스컬레이션하는 주관청 초안 결정에 대해 적절하고 합리적인 반대를 할 수 있는 기회를 제공하는 시간표가 있는 프로세스 및 긴급 절차에 기반한다.
61 협력—상호 지원 규제 당국 간의 협조는 시간표를 부여한 절차에 따라 원조 요청을 통해 이루어지지만, 이러한 요청이 충족되지 않으면 긴급 절차가 시작된다.
62 협력—공동운영 적절한 경우 규제 당국은 공동 조사 및 집행 활동에 참여해야 하며, 다국적 기업과 관련된 경우 사업장이 있는 회원국의 규제기관 또는 개인에 대해 현저한 영향이 있는 회원국의 규제기관이 참여할 권리가 있다.
63 일관성 메커니즘 GDPR의 일관된 적용은 협력 절차와 일관성 메커니즘을 통해 이루어진다.
64 일관성—EDPB 의견 일관성 메커니즘의 일환으로 EDPB는 DPIA 목록, 행동 강령, 인가, 계약 조항, BCR 및 상호 지원 및 공동운영 요청에 대한 거부와 같은 일반적인 신청 사항에 대한 의견을 발표할 것이며, 이는 시간표가 있는 절차에 따라 달라질 것이다.
65 일관성—분쟁 해결 시간표가 있는 절차에 따라, EDPB는 어떤 규제 당국이 주관청이 되어야 하는지에 대한 논쟁에 대해 주관청 결정에 대한 반대에 관하여, 제64조에 따라 EDPB의 견해를 요청하지 않거나 의견이 뒤따르지 않은 경우, 구속력 있는 결정을 내릴 수 있다.
66 일관성—긴급 절차 개인의 권리와 자유를 보호해야 할 필요가 있는 예외적인 경우, 규제 당국은 자국에서 잠정 조치를 채택하기 위한 협력 절차와 일관성 메커니즘을 우회할 수 있으며, 그 이후에 문제에 관심이 있는 다른 규제 기관, 집행위원회와 EDPB에 알려야 한다. 이는 최종 규제 조치가 필요하다고 판단되는 긴급한 의견이나 결정에 대해 EDPB에 적용할 수 있으며, 긴급한 경우 다른 기관이 적절한 조치를 취하지 못했다고 판단하는 어떤 규제 기관도 긴급한 의견이나 결정에 대해 이를 적용할 수 있다.
67 일관성—정보 교환 집행위원회는 규제 당국 간 전자 정보 교환을 위한 조치를 규정하기 위한 법적 조치를 채택할 권한이 있다.
68 EDPB—구성 EDPB는 국가 규제 기관의 장과 European Data Protection Supervisor로 구성되며, 집행위원회의 대표가 회의에 참석한다.
69 EDPB—독립성 EDPB는 아무에게도 지시를 받지 않고 독립적으로 행동할 것이다.
70 EDPB—업무 EDPB의 역할은 규제의 일관된 적용을 보장하고 규제 기관 간 협력을 지원하고 일관성 메커니즘을 적용하는 것 이외에 조언, 지침, 권장 사항 및 모범 사례를 발표해야 한다.
77 구제책—불만 개인은 자신의 거주지, 작업 장소 또는 침해 혐의 장소의 규제 기관에 불만을 제기할 권리를 가지며, 규제 기관은 진행 상황, 결과 및 사법 구제 가능성을 그들에게 알려야 한다.
78 구제책—규제 기관에 대한 구제책 개인과 법인은 그들과 관련된 규제 기관의 법적 구속력 있는 결정에 대한 효과적인 사법 구제를 받을 권리가 있으며, 절차는 규제 기관이 설립된 법원에 제기되어야 한다.
79 구제책—컨트롤러 및 프로세서에 대한 구제책 개인은 불이행으로 인해 권리를 침해한 것으로 컨트롤러 또는 프로세서에 대한 효과적인 사법적 구제를 받을 권리가 있으며, 컨트롤러 또는 프로세서가 공공 기관인 경우를 제외하고는, 자신의 주거지 법원에서 고소하거나, 컨트롤러 또는 프로세서가 있는 곳이 주거지와 다르다면, 그곳에서도 고소할 수 있다
80 구제책—개인의 대표 개인은 비영리 단체(CSO)가 자신을 대신하여 불만 사항 및 법적 절차를 접수 및 수행하고 수여되는 보상을 받을 수 있으며, 회원국은 개인의 위임없이 이러한 대표 절차를 허용할 수 있다.
81 구제책—절차 중지 법원이 다른 회원국에서 유사한 절차에 관한 정보를 가지고 있는 경우, 법원은 확인을 위해 다른 법원에 연락해야 하며, 이는 절차의 중지, 관할권의 허락 또는 소송의 통합으로 이어질 수 있다.
82 구제책—보상 피고가 손해를 초래한 사건에 대해 책임지지 않았다는 것을 증명할 수 없는 한, 개인은 GDPR 위반으로 인해 물질적 또는 비물질적 손해가 발생한 경우 컨트롤러 또는 프로세서로부터 보상을 받을 권리가 있다.
83 구제책 – 벌칙 및 벌금 규제 당국은 벌금을 부과할 수 있으며, 효과적이고, 비례하고, 단념시키는 다른 조치를 취할 수 있으며, 경우에 따라 전 세계 매출액의 2%와 4​​%까지 벌금을 부과할 수 있지만, 그렇게 하기 전에 본질, 중대성과 침해 및 기타 규정된 요소들의 기간을 고려해야 한다.
84 구제책 – 기타 벌칙 회원국은 효과적이고, 비례하며, 단념시키게 하는 다른 처벌 규정을 제정해야 한다.

 

맺음말

GDPR은 대부분의 조직에 위협이 될 수 있는 제재를 발효하는 능력을 포함하여 EU의 규제 당국에 중요한 새로운 권한을 부여한다. 영국의 ICO를 제외하고 대부분의 회원국에서 DPA에 의해 촉발된 집행 조치는 상대적으로 드문 반면, GDPR에 의해 부여된 강화된 권한이 DPA로 하여금 증가된 조치를 하도록 하였다. 그에 따라 많은 DPA는 GDPR 발효 이후에 인력과 자금을 요구했지만, 각 회원국들이 DPA에 부여한 자원에 대해서는 아직 파악된 바가 없는 상황이다. 국내에서 GDPR관련 모든 감독 및 집행 사항을 다 모니터링 할 필요는 없지만, 우수 사례 정도를 참고할 필요는 있을 것이다.

%d bloggers like this: