개인정보, 어떻게 보호해야 하나

관련 법과 개인의 권리에 대한 비교 – 태국, 일본, 필리핀

일본

필리핀

태국

일본

본 기사를 통해 관리자 및 처리자를 포함하는 외국 사업체(이하 ‘외국 사업체’ 또는 ‘외국 사업자’)가 일본에 소재하는 개인의 개인정보를 취급할 때 특히 주의해야 하는 일본의 개인정보보호법(APPI) 규정에 대해 살펴보고자 한다.

APPI의 역외(域外) 적용

APPI가 역외에서 적용되지 않는 경우에는 해당 규정을 고려할 필요가 없다. APPI는 일본 이외의 지역에 소재하는 사업체가 (1) 일본에 소재하는 개인(이하 “정보 주체”)의 개인정보를 취급하고, (2) 일본에 소재하는 법인 및/또는 개인에게 상품이나 서비스를 제공하는 것과 관련하여 이러한 개인정보를 취급하는 경우에는 역외 적용을 명시하고 있다(APPI 제171조).

‘사업체’가 국내기업인지 또는 외국기업인지 여부는 중요하지 않다. ‘일본에 소재하는 개인’에는 국적 및 일시적 체류 여부와 무관하게 정보 주체가 포함된다. 중요한 부분은 상품이나 서비스 제공과 관련한 경우로 제한된다는 점이다.

예를 들어, 외국 사업체가 글로벌 직원 정보 관리의 일환으로 일본 내 지사 직원의 개인정보를 처리하는 경우에 해당 활동은 상품이나 서비스 제공과 관련이 없으므로 APPI의 역외 적용 대상에 해당하지 않는다.

국경 간 정보 이전

앞서 설명한 바와 같이, 일본을 대상으로 하는 서비스를 위해 개인정보를 수집하는 경우에는 APPI의 적용을 받는다. 개인정보는 정보 주체로부터 직접 수집하거나 또는 국내 사업체로부터 수집할 수 있으며, 후자의 경우에는 복잡한 규정이 적용된다. 이러한 규정의 대상은 외국기업에게 개인정보를 제공하려는 국내 사업체이지만, 외국 사업자 또한 해당 규정을 반드시 이해하고 있어야 한다.

APPI는 국내 사업체가 정보 주체의 개인정보를 다른 국가의 제3자에게 이전하는 경우(이하 “국경 간 정보 이전”), 국내 사업체는 다른 국가들에 대한 구체적인 참조 정보(이하 “참조 정보”, APPI 제28조 1항 및 2항)를 제공한 후 사전에 정보 주체의 동의를 받아야 한다고 규정하고 있다.

(1) 제공해야 하는 정보에는 다음의 사항이 포함된다.

(i) 해당 국가의 이름: 동의를 받을 때 대상 국가를 구체적으로 명시할 수 없는 경우에는 그 이유와 함께 국가명을 대체할 수 있는 정보를 제공해야 한다(예: ‘외국’에 해당하는 범위가 정해져 있는 경우에는 그 범위를 제공해야 한다).

(ii) 외국의 개인정보 보호 시스템에 대한 정보: 이러한 요건은 정보 주체가 국내와 외국의 법률 체계의 차이점을 인지하도록 하기 위한 것이다. 일본의 개인정보보호위원회(PPC)는 자체 웹사이(https://www.ppc.go.jp/enforcement/infoprovision/laws/)에 주요 국가의 법률 체계에 대해 요약한 내용을 게시하고 있으며, 국내 업체는 이러한 정보를 제공함으로써 해당 요건을 준수할 수 있다. 정보가 이전되는 국가가 기재되어 있지 않은 경우, 국내 업체는 먼저 외국 사업자에게 해당 법률 체계에 대해 문의해야 할 것이다.

(iii) 개인정보를 보호를 위해 제3자가 실행한 보호 조치: 외국 사업자가 OECD 개인정보 보호 가이드라인의 8가지 원칙에 해당하는 모든 조치를 취한 경우에는 이 정보를 제공하는 것만으로 충분하다. 외국 사업자가 취한 조치가 불분명한 경우에는 해당 사실과 그 이유를 제공하는 것으로 충분하지만, 추후 해당 조치가 명확해지면 설명을 추가하는 것이 바람직하다.

(2) “외국”의 범위. EU와 영국은 APPI 제28조의 ‘외국’ 정의에서 제외되고, APPI에 의거하여 일본 내 이전과 동등하게 취급한다. APPI는 개인정보를 국내 제3자에게 이전하는 경우에도 정보 주체의 동의를 요구하지만(제27조 1항), 이와 관련한 규정은 복잡하지 않다.

(3) “제3자”의 범위. 적절한 조치를 취한 외국 사업자는 APPI 제28조의 “제3자” 정의에서 제외된다. 구체적으로 설명하면, 외국의 제3자가 취한 조치가 APPI에 의거하여 국내 사업체에게 요구되는 기준을 충족하는 것으로 확인되거나 또는 외국의 제3자가 APEC(아시아태평양경제협력체)의 국경 간 개인정보보호 규칙 시스템에 의거하여 인증을 획득한 경우에는 적절한 조치를 취한 것으로 인정된다.

외국의 제3자가 적절한 조치를 취한 것으로 인정되는 경우라도 정보 주체의 동의를 받을 필요가 없을 시 국내 제공자는 외국의 제3자 가 적절한 조치를 유지하도록 보장해야 한다(APPI 제28조 3항). 여기에는 적절한 조치의 지속적인 이행을 보장하기 위해 매년 인증과 같은 조치를 취하는 것이 포함되는데, 이는 국내 제공자에게 상당한 부담을 줄 수 있다. 따라서 ‘적절한 조치’의 요건은 결코 사용자 친화적이지 않다.

(4) 위반 시 처벌. 이러한 규정을 위반한 국내 사업체에 대해 PPC는 시정 조치를 권고하지만, 이를 따르지 아니한 경우에는 시정 명령을 내릴 수 있다(APPI 제148조). 국내 업체가 이러한 명령을 준수하지 아니한 경우, 해당 업체의 대표는 1년 이하의 징역 또는 100만 엔(6,700달러) 이하의 벌금에 처해질 수 있고, 이러한 개인을 고용한 업체에게는 최대 1억 엔(약 670만 달러)의 벌금이 부과될 수 있다(APPI 제178조 및 제184조 1항 1호).

정보 침해 관련 규정

랜섬웨어 공격 또는 기타 사고로 인해 개인정보가 유출, 분실 또는 손상된 경우(이하 “정보침해”), 사업자는 데이터 침해 사실을 PPC와 정보 주체에게 보고해야 한다(APPI 제26조).

(1) 다음과 같은 경우, PPC는 ‘영향을 받은’ 정보 주체에게 보고하고 통지해야 한다.

(i) 정보 주체에 대한 민감한 내용이 포함된 개인정보(여기에는 인종, 신념, 사회적 지위, 병력 및 범죄 기록(APPI 제2조 3항 참조)이 포함되나 이에 국한되지 아니한다)로 인하여 정보 침해가 발생했거나 또는 침해의 위험이 있는 경우.

(ii) 개인정보의 침해 또는 잠재적 침해로 인하여 신용카드 번호 유출과 같은 금전적 피해가 발생할 수 있는 경우.

(iii) 제3자 공격 등 악의적 의도로 인하여 개인정보가 침해되었거나 침해될 위험이 있는 경우.

(iv) 정보 침해 또는 잠재적 침해가 1,000명 이상의 개인정보와 관련이 있는 경우.

(2) ‘영향을 받은’ 정보 주체에 대한 PPC 보고 및 통지의 책임은 정보 침해가 발생하고 있는 사업 주체에게 있다. 관리자(사업 주체)에게 정보 피해가 발생하고 있는 경우에 이 과정은 간단하다. 그러나 처리자(수탁업체)에게 정보 피해가 발생하고 있는 경우에는 관리자와 처리자 모두 보고하고 통지할 책임이 있다. 중복 보고를 방지하기 위해 처리자가 관리자에게 정보 피해 사실을 알리면 처리자(수탁업체)의 보고 및 통지 의무가 이행된 것으로 간주한다.

(3) PPC에 보고하는 내용에는 다음 사항이 포함된다.

(i) 사건 확인 후 3~5일 이내에 작성된 예비 보고서(알려진 내용을 자세히 설명한다).

(ii) 사건 확인 후 30일 이내에 (악의적 의도가 있는 경우 60일 이내에) 제출하는 상세 보고서(여기에는 사건의 개요, 관련된 개인정보의 유형, ‘영향을 받은’ 정보 주체의 수, 사건의 원인, 2차 피해의 존재와 성격 또는 그러한 위험성, 정보 주체에 대한 대응 현황, 공적(公的) 공개 현황, 재발 방지를 위한 보호 조치 및 기타 관련 정보가 포함된다).

(iii) 보고서는 일반적으로 일본어 구사 능력이 필요한 PPC의 온라인 보고 양식(https://roueihoukoku.ppc.go.jp/incident/?top=r2.kojindata)을 사용한다. 특히 예비 보고서의 경우에는 번역에 소요되는 시간을 고려해야 한다.

(4) ‘영향을 받은’ 정보 주체에게 통지하는 경우:

(i) 상황에 따라 신속한 통지를 기대할 수 있다. 그러나, 그 시기는 사안별로 결정해야 한다.

(ii) 통지에는 사건의 개요, 관련된 개인정보 유형, 사건의 원인, 2차 피해의 존재와 성격 또는 그러한 위험성 및 기타 관련 정보가 포함되어야 한다.

(iii) 문서 또는 이메일을 통해 정보 주체에게 직접 통지하는 것이 일반적이지만, 직접 연락이 불가능한 경우에는 공적 공개 또는 기타 방법을 이용할 수 있다.

(5) PPC에 보고하지 않거나 또는 (필요한 경우) ‘영향을 받은’ 정보 주체에게 통지하지 않으면 앞서 언급한 “국경 간 정보 이전” 항목 (4)항에서 국경 간 정보 이전 위반에 대해 설명한 것과 동일한 처벌을 받을 수 있다.

마무리하면, 이번 기사를 통해 일본에 소재하는 개인의 개인정보를 취급하는 외국 사업자에 대한 APPI의 일반적인 규제 기준에 대해 개괄적으로 설명하였고, 일본 내 정보 주체의 개인정보를 보호하기 위해서는 APPI 조항 준수가 무엇보다 중요하다는 점을 강조하였다.

맨 위로

---

필리핀

2012 필리핀 개인정보보호법(DPA, 또는 공화국법 제10173호)은 2012년 8월 15일 제정되었다. 이 법은 필리핀의 개인정보 보호를 규율하는 포괄적인 법이다. 이 법의 관리 및 시행을 감독하는 정부 기관인 국가개인정보보호위원회(NPC)는 2016년 8월 마지막 시행 규칙과 규정을 공포했다.

개인정보보호법은 글로벌 무대에서 개인정보의 자유로운 교환과 정보 보호에 대한 국제 표준 설정에 대응하기 위해 제정되었다. 이는 비즈니스 아웃소싱 처리 서비스 분야의 글로벌 리더인 필리핀에게 매우 중요하다.

공화국법 제10173호 이전에는 개인정보 처리에 필요한 중앙집중식 규제 감독이나 정보 주체에 대한 포괄적인 보호 조치가 없었기 때문에, 당시 방대한 규모의 개인정보는 처음에 의도한 목적 이외의 용도로 연락처 정보를 무분별하게 이용하고 공유하거나 신원을 도용하고 보안을 침해하는 등 오용과 남용의 대상이 되어 헌법적으로 보장된 정보 주체의 프라이버시 권리를 침해하는 결과를 초래했다.

2006년 초, 필리핀 무역산업부(DTI)는 개인정보 보호 지침에 관한 DTI 행정 명령 8호를 발표했다. 이는 EU 개인정보보호규정(GDPR)의 전신인 1995년 당시 EU의 정보보호 지침을 따른 것이다. 따라서 필리핀 DPA는 EU가 지지하는 표준과 원칙에 뿌리를 두고 있다.

공화국법 제10173호는 모든 유형의 개인정보 처리 및 여기에 관여하는 모든 자연인 또는 법인(민간 및 정부 모두)에게 적용된다. 이 법은 필리핀에 없는 정보 관리자 및 처리자에게도 적용되는데, 다음과 같은 경우가 포함된다.

• 리핀에 소재하는 장비를 사용하는 경우
• 필리핀에 사무실, 지사 또는 대리점이 있는 경우

이 법은 정보 주체의 소재지 및 정보가 처리되는 장소와 무관하게 필리핀 국민 또는 거주자의 개인정보에도 적용된다. 예를 들어, 미국에 있는 해외 필리핀 근로자가 필리핀 현지 은행에서 개인 정보를 처리하는 경우에는 공화국법 제10173호가 적용된다. 또한, 동일한 근로자의 개인정보가 필리핀 이외 지역의 외국 은행에서 처리되는 경우에도 현지 개인정보 보호법이 적용된다. 이 법이 어떻게 집행될 수 있는지에 대한 부분은 완전히 다른 문제이다.

공화국법 제10173호는 개인정보에 대해 수행되는 모든 작업 또는 일련의 작업을 ‘정보 처리’로 정의하고 있다(여기에는 수집, 기록, 정리, 보관, 업데이트, 수정, 검색, 상담, 사용, 통합, 차단, 삭제 또는 파기 등이 포함되나 이에 국한되지 않는다).

“개인정보 관리자”란 개인정보의 수집, 보유, 처리 또는 사용을 통제하는 사람이나 조직(다른 사람이나 조직의 지시에 따라 해당 기능을 수행하는 사람이나 조직, 그리고 개인이나 가족 또는 가정의 일과

관련하여 동일한 기능을 수행하는 개인은 제외한다)을 의미한다. 이에 비하여, ‘개인정보 처리자’란 개인정보 관리자가 개인정보 처리를 위탁할 수 있는 자연인 또는 법인을 의미한다.

공화국법 제10173호에서 제외되는 정보는 다음과 같다.

• 직위 또는 직무와 관련한 현직 또는 전직 공무원에 대한 정보
• 정부 계약에 따라 수행되는 개인의 서비스와 관련한 정보
• 정부가 개인에게 제공하는 임의의 재정적 혜택과 관련한 정보
• 저널리즘, 예술, 문학 또는 연구 목적으로 처리되는 개인 정보
• 공공 기관의 기능 수행에 필요한 정보
• 은행 및 금융 기관이 자금세탁방지법을 준수하는 데 필요한 정보
• 해당 외국 관할권의 법에 따라 외국 관할권 거주자로부터 수집한 개인 정보

공화국법 제10173호는 ‘개인정보’와 ‘민감한 개인정보’를 구분하여 합법적인 처리를 위한 다양한 요건을 규정하고 있다.

• ‘개인정보’란 개인의 신원을 명백히 알 수 있거나 합리적으로/직접적으로 확인할 수 있는 정보 또는 다른 정보와 함께 사용하면 직접적으로/확실하게 개인을 식별할 수 있는 모든 정보를 의미한다.
• ‘민감한 개인정보’란 인종, 결혼 여부, 나이, 피부색, 종교적/철학적/정치적 성향, 건강, 학력, 정부 기관에서 개인에게 고유하게 발급한 법정 소송 관련 정보(예: 주민등록번호, 건강 기록, 면허증, 세금 신고서, 정부 발급 신분증 사본 및/또는 그 번호), 관련 법이나 규정에 의해 특별히 분류된 것으로 확인된 개인 정보를 의미한다.

공화국법 제10173호 및 그 규칙이나 규정에 구체적으로 명시된 조건이 적용되는 경우를 제외하고, 일반적으로 개인정보를 유효하게 처리하기 전에 정보 주체의 동의를 받아야 한다. 이 법은 명시적 동의만 인정하고 묵시적 동의는 인정하지 않는다는 점에 유의해야 한다(이 법에서 동의는 “자유롭게 제공되고 구체적이며 정보에 입각한 의사 표시… [또한] 서면으로, 전자식으로 또는 녹음을 통해 입증되어야 한다”고 정의되어 있다).

공화국법 제10173호는 개인정보에 대한 정보 주체의 권리를 광범위하게 명시하고 있으며, 이는 EU GDPR에서 인정하는 권리와 유사하다. 여기에는 정보 제공, 접근, 이의 제기, 삭제 및 차단, 수정, 불만 제기, 손해 배상, 정보 휴대성 등의 권리가 포함된다.

정보 관리자와 정보 처리자는 이러한 권리를 준수하고 존중해야 한다. 단, 개인정보가 과학 및 통계 연구용이거나, 정보 주체와 관련하여 어떠한 활동도 수행하지 않고 결정을 내리지 않거나 또는 정보 주체의 형사, 행정 또는 조세 책임에 대한 조사를 위해 수집하는 경우는 제외한다.

이 법은 개인정보 보안에 관한 일반적인 원칙과 개인정보 이전에 대한 책임을 명시하고 있다. 정부의 민감한 개인정보 보안에 관한 구체적인 조항과 정보 침해에 관한 조항 및 정보 침해 사례 보고에 관한 기본 지침이 규정되어 있다.

GDPR과 마찬가지로, 현지 개인정보 보호법과 규정은 개인정보 침해 발생 시 개인정보 처리자에게 침해 통지 의무를 부과한다. ‘영향을 받은’ 정보 주체에게 이러한 침해 통지서를 송달하고, NPC에 보고해야 한다. 침해 통지서는 “통지가 필요한 개인정보 침해가 발생하였다는 것을 개인정보 관리자 또는 개인정보 처리자가 인지하거나 이렇게 믿을 만한 합리적인 근거가 있는 경우” 72시간 이내에 NPC에 제출해야 한다.

현지 개인정보 보호 규정에 따라 개인정보보호책임자(DPO)를 지정/임명해야 한다. 모든 DPO가 NPC에 등록해야 하는 것은 아니다. 그러나 다음의 경우에는 NPC에 의무적으로 등록해야 한다.

• 법인이 250명 이상의 직원을 고용하고 있는 경우
• 법인이 최소 1,000명 이상의 민감한 개인정보가 포함된 기록을 “처리”하는 경우
• 법인의 개인정보 처리가 “정보 주체의 권리와 자유에 위험을 초래할 가능성이 있거나” 또는 “임시적이지 않은 것”으로 간주되는 경우

마지막 기준과 관련하여, NPC의 가이드라인에는 처리되는 정보 주체 또는 개인정보의 수(數)/양(量)과 무관하게 의무 등록 요건이 적용되는 것으로 간주하는 부문이 명시되어 있다. 중요 부문의 예를 들면 다음과 같다:

• 정부 기관
• 은행 및 비은행 금융 기관
• 통신 및 인터넷 서비스 제공업체
• BPO(업무처리 아웃소싱) 기업
• 종합대학교, 전문대학교 및 기타 모든 학교 및 교육 기관
• 병원, 클리닉 및 기타 의료 시설
• 보험사 및 보험 중개인
• 다이렉트 마케팅, 네트워킹 및 기타 리워드 카드 및 로열티 프로그램을 제공하는 회사 관련자
• 연구에 종사하는 제약 회사
• 이러한 중요 부문에 포함된 개인정보 관리자를 위해 개인정보를 처리하는 개인정보 처리자

개인정보보호책임자(DPO) 외에도, 특정 형태의 정보 처리 시스템은 NPC에 등록해야 한다. NPC에서 새로운 등록 포털을 출시함에 따라 NPC 등록 요건을 전부 충족하려면 DPO 및 DPS 세부 정보를 모두 제출해야 한다.

마지막으로, 공화국법 제10173호를 위반하면 징역형과 벌금이 부과되는데, 이는 징역형으로 처벌하는 몇 안 되는 개인정보보호법 중 하나이다. 민감한 개인 정보가 관련된 경우에는 한층 ‘엄중한’ 벌금이 부과된다.

최소 100명 이상의 개인정보가 영향을 받은 경우에는 최고 수준의 처벌을 받을 수 있다. NPC를 비롯한 관련 부문에서 징역형을 삭제하는 내용을 담은 공화국법 제10173호 개정안을 제안하는 움직임이 있었지만, 유감스럽게도 코로나19 사태로 인해 보류되었다.

ANGARA ABELLO CONCEPCION REGALA & CRUZ LAW OFFICES (ACCRALAW)

22nd to 26th Floors ACCRALAW Tower, Second Avenue corner
30th Street, Crescent Park West, Bonifacio Global City
Taguig, Metro Manila, Philippines

전화: (632) 88308000

이메일: accra@accralaw.com

www.accralaw.com

맨 위로

---

필리핀

태국의 개인정보보호법은 개인데이터보호법(PDPA)으로, 2019년에 법률로 통과되어 2022년 6월에 완전히 발효되었다.

해당 법은 개인 데이터 처리에 관한 주요 원칙을 규정하고 개인데이터보호위원회(PDPC)를 설립해 데이터보호를 규제할 것을 요구한다.

개인데이터보호위원회의 권한은 아래와 같다.

• 규제 및 규정 제정 및 실행
• 개인 데이터 보호에 대한 정책 및 지침 제정
• 이의 제기 조사 진행
• 개인데이터 보호법 위반 데이터 관리자 및 처리자를 대상으로 집행 명령 이행

2023년 11월 현재 개인데이터보호위원회는 개인데이터보호법에 따라 21개의 시행 규칙, 규정 및 지침을 발표했다.

개인데이터보호위원회의 핵심 원칙

(1) 개인 데이터의 범주
개인데이터보호법에 따라 개인 데이터는 개인과 관련된 모든 정보를 의미한다. 해당 정보를 통해 직간접적으로 개인을 식별할 수 있는 정보다. 하지만 사망한 개인에 대한 정보는 포함되지 않는다. 해당법는 (i) 일반 개인 데이터와 (ii) 민감한 개인 데이터(SPD)라는 두 가지 범주의 개인 데이터 처리를 다룬다. 민감한 개인 데이터는 ‘인종, 민족, 정치적 견해, 종교, 종교적 또는 철학적 신념, 성적 행동, 범죄 기록, 건강 데이터, 장애, 노동 조합 정보, 유전 데이터, 생체 인식 데이터 또는 동일한 방식으로 데이터 주체에게 영향을 미칠 수 있는 모든 기타 데이터’를 포함한다.

(2) 개인정보 처리
개인데이터보호법에 따른 개인 데이터의 “처리”는 개인 데이터의 수집, 사용 및 공개를 의미한다. 개인정보는 꼭 필요한 경우에만 수집할 수 있으며, 해당 목적을 위해 필요한 기간 동안만 보관할 수 있다.

데이터 관리자는 데이터 주체에게 최소한 다음 내용이 포함된 개인정보 보호 고지를 제공하여 일반 개인 데이터를 수집하기 전이나 수집한 후에 데이터 주체에게 일반 개인 데이터 수집 목적을 알려야 한다. i) 데이터 관리자 및 해당 데이터 보호 담당자(DPO)의 세부정보 ii) 개인 데이터가 공개될 수 있는 제3자iii) 데이터 주체의 권리iv) 그러한 권리를 행사할 수 있는 방법과 시기.

어떤 이유로든 데이터 주체가 동의할 수 없는 경우 개인의 생명, 신체 또는 건강에 대한 위험을 막거나 억제하는 등 몇 가지 예외를 제외하고는 데이터 주체의 명시적인 동의 없이 민감한 개인데이터를 수집, 사용 또는 공개하는 것은 금지된다.

개인 데이터 처리는 PDPA에 따른 법적 요구 사항을 준수하여 이행되는 경우에만 합법적이다. 개인정보 처리가 데이터 주체의 동의에 근거한 경우, 데이터 주체는 데이터 관리자 또는 데이터 처리자에게 동의 철회를 통보함으로써 언제든지 동의를 철회할 수 있다.

(3) 국경 간 데이터 전송
개인 데이터는 다음을 제외하고는 적절한 데이터 보호가 부족한 관할권이나 해외 관할권으로 이전될 수 없다. (i) 데이터 주체가 적절한 데이터 보호 부족에 대한 정보를 제공받고 명백하게 이전에 동의하는 경우 (ii) 목적지 국가 또는 수신하는 해외 관할권의 양도인과 수령인 간의 계약에 따라 개인 데이터 국경 간 전송이 필요한 경우.

개인데이터보호위원회는 동일한 그룹에 속한 회사가 그룹 내 데이터 전송을 관리하는 구속력 있는 사내 규칙을 구현하여 그룹 회사가 동일하고 높은 데이터 보호 표준을 채택하도록 권장한다.

(4) 데이터 보호 담당자(DPO)
2023년 12월 13일부터 데이터 관리자와 데이터 처리자는 핵심 활동이 다음과 관련된 경우 데이터 보호 담당자를 임명해야 한다. (i) 개인 데이터 또는 시스템에 대한 정기적인 모니터링이 필요한 대규모 개인 데이터를 처리하는 경우, 예: 행동 또는 태도 추적, 모니터링, 분석 또는 예측, 개인 데이터, 멤버십 프로그램, 신용 평가, 사기 방지를 위한 체계적인 처리, 네트워크 서비스 제공자 또는 통신 사업자의 데이터 처리, 행동 광고 또는 (ii) 개인데이터의 규모에 관계없이 민감한 개인데이터를 처리하는 경우.

데이터 보호 담당자를 지정하지 않을 경우 THB1백만(USD28,300) 이하의 행정상 벌금이 부과될 수 있다.

미성년자 보호

10세 미만의 미성년자로부터 개인정보를 수집하려면 친권자로부터 동의를 받아야 한다.

미성년자가 10세 이상이고 혼인으로 자기결정권이 없거나 자기결정능력이 부족한 경우라면 미성년자 본인과 친권자의 책임이 있는자로부터 동의를 받아야 한다.

규정 준수 요건

개인데이터보호법에 따라 기업이 마련해야 할 주요 규정 준수 프로그램은 다음과 같다.

1. 개인데이터보호법에 따른 데이터 처리 요건을 완전히 준수하는 개인정보 보호정책을 수립하고 유지한다.
2. 데이터 관리자와 데이터 처리자 간에 데이터 처리 계약 또는 데이터 전송 계약을 체결한다.
3. 개인정보보호 위험과 그러한 위험을 완화하기 위한 조치를 식별하기 위한 데이터 보호 영향 평가를 작성한다.
4. 개인정보를 수집, 사용 또는 공개하기 전이나 수집한 후에 데이터 주체로부터 명시적인 동의를 얻는다. 예외가 적용되는 경우를 제외하고 그러한 동의에 대한 기록을 보관한다.
5. 다음과 같이 데이터 주체의 권리 행사를 보호하고 촉진하기 위한 메커니즘을 확립한다.
   i) 개인데이터에 액세스할 권리
   ii) 언제든지 동의를 철회할 권리 iii) 개인데이터 수정, 삭제, 제한 또는 처리 거부 권리
   iv) 데이터 이동에 대한 권리
   v) 개인데이터보호위원회에 이의를 제기할 권리
6. 개인데이터보호법 준수를 보장하고 데이터 주체 및 개인데이터보호위원회의 연락 담당자 역할을 하기 위해, 필요한 경우 데이터 보호 담당자(DPO)를 임명한다.

데이터 위반

데이터 주체의 권리와 자유에 위험을 초래할 가능성이 있는 경우, 위반 사실을 인지한 후 72시간 이내에 데이터 위반 통지를 개인데이터보호위원회에 제출해야 한다. 통지에는 위반의 성격, 연락 담당자 또는 데이터 관리자의 데이터 보호 담당자(DPO) 세부 정보, 가능한 결과, 잠재적인 부작용을 완화하기 위해 취했거나 취해야 할 조치가 포함되어야 한다

데이터 침해가 데이터 주체의 권리와 자유에 큰 위험을 초래할 가능성이 있는 경우, 시정 조치가 포함된 데이터 위반 통지를 개인데이터보호위원회와 데이터 주체 모두에게 지체 없이 통지해야 한다.

데이터 위반이 여러 데이터 주체와 관련된 경우 데이터 관리자는 공개 미디어, 소셜 미디어, 전자 수단 또는 데이터 주체나 일반 대중이 접근할 수 있는 기타 수단을 통해 각 주체에게 알리거나 일반 대중에게 알려야 한다.

개인데이터보호법에 따른 벌금

규정 준수 요건을 준수하지 않거나 개인데이터보호법에 따른 제한 또는 금지 사항을 위반하는 데이터 관리자 및 데이터 처리자는 벌금이 부과되거나 민형사상 책임의 대상이 될 수 있다.

최대 벌금은 THB 5백만이다. 형사상 책임이 있는 경우 위반 건당 최대 1년의 징역 및/또는 위반 건당 최대 THB 100만의 벌금이 포함된다.

민사책임은 법원이 명령하는 바에 따라 피해를 입은 데이터 주체에게 지급되는 실제 손해배상 및 징벌적 손해배상을 의미한다.

개인데이터보호위원회 또는 법원이 부과하는 처벌은 위반의 성격, 심각도 및 기간, 영향을 받는 데이터 주체의 수, 위반 발생 시 및 이후에 구현된 완화 조치에 따라 달라질 수 있다.

이 글에 제공된 정보는 법적 조언이 아닌 일반적인 설명이므로 특정 상황에는 적용되지 않을 수 있다. 제공된 정보를 바탕으로 조치를 취하기 전에 구체적인 조언을 구해야 한다.

LAWPLUS LTD.
Unit 1401, 14th Fl., Abdulrahim Place
990 Rama IV Road, Bangkok 10500, Thailand
전화: +662 636 0662(국제)
전화: 02 636 0662 (현지)
www.lawplusltd.com

맨 위로