[EU의 데이터 보호] 14. GDPR의 감독과 집행(1)

규제법의 근본적인 목적이 개인과 조직의 행동을 형성하거나 영향을 미치는 것이라면, 규제 시스템이 효과적이기 위해서는 이러한 개인과 조직에 책임을 물을 수 있어야 한다. 모든 규제는 감독되고 집행되는 만큼만 유효하다. 물론 감독과 집행 권한이 규제 당국의 손에만 있어서는 안 된다. 최적의 규제 효율성 모델은 또한 법원, 시장, 자율 규제 제도 및 시민들에게 권한을 부여하는 것이다. GDPR에는 이러한 모든 도구가 통합되어 있다.

자율 규제

컨트롤러 및 프로세서가 데이터를 보호하기 위한 적절한 프로세스, 절차 및 조치의 적용을 직접 제어한다는 사실 때문에 감독 및 집행의 가장 효과적인 도구 중 하나는 자율 규제이다. 제1 원칙에 근거하여, 규제법은 규제 대상 기관이 스스로를 감독하고, 요구되는 정책 목표를 달성하기 위한 적절한 조치의 필요성을 강조한다.

GDPR은 여러 가지 방법으로 이 아이디어를 발전시킨다. 여기에는 책임성 개념(제5조 (2)항 참조)의 도입을 포함하며, 이는 데이터 보호 임원(DPO)(제37조~제39조 참조)에 대한 요구 사항의 도입, 그리고 데이터 보호 원칙을 준수함을 입증할 수 있는 컨트롤러에 대한 적극적인 의무를 부과하며, 데이터 보호 인장 및 마크를 위한 행동 강령 및 인증 제도에 대한 관심 제고(제40조 내지 제43조 참조)를 통한 방법을 포함한다. 마찬가지로 컨트롤러는 그들의 프로세서에 대한 규제 기능을 갖추고 있으며 프로세서는 하위 프로세서를 규제해야 한다(제28조 참조).

책임성—위험 관리를 통한 입증 가능한 준수 제공

GDPR 4장에서는 효과적인 리스크 관리를 위한 포괄적인 틀을 제공하는 입증 가능한 준수에 대한 제5조 (2)항 책임성 요구 사항을 확대한다. 4장의 의도는 컨트롤러가 리스크를 확인한 다음 리스크를 해결할 수 있는 그들의 입장을 설정하고 평상시 비즈니스 활동과 관련하여 감독하고 시행해야 한다는 것이다. 이를 조합하면, 4장의 요구 사항은 자율 규제의 형태와 매우 유사한 것으로 볼 수 있다.

11장은 책임성에 대해 다룬다. 그러나 자율 규제의 맥락에서 주목해야 할 몇 가지 구성 요소는 다음과 같다.

• 잘 준수하고 있음을 입증 가능한 증거에 초점을 맞추는 것은 컨트롤러가 성능 테스트 및 유사한 활동을 통해 데이터 처리 활동을 비판적으로 바라보게 하고 올바른 데이터 보호를 달성하기 위해 필요에 따라 활동을 조정하고 개선하게 한다. 바꾸어 말하면, 일상 업무로서의 활동의 일부로서, 컨트롤러는 DPA가 제58조에 의해 수행하도록 권한을 부여 받은 업무의 일부와 유사한 업무를 수행해야 한다.
• 프로세서와 컨트롤러의 관계는 제28조에 의해 관리되며, 감독과 집행의 관계를 형성한다. 제28조에 의해 발전된 주요 도구는 감사, 검사, 제33조에 따라 필요한 정보의 전달 및 위반 통지를 포함하여 입증 가능한 준수를 위한 계약 전 실사, 계약 형성 및 계약 후 요구 사항을 포함한다. 제28조 (4)항은 프로세서가 이러한 요구 사항을 하위 프로세서로 계승시키도록 요구하여, 감독 및 집행과 유사한 관계를 형성하게 된다.
• 제33조와 제34조는 모든 경우와 심각한 경우에 영향을 받는 개인에게 개인정보 침해 사실을 DPA에 통보할 것을 요구한다. 위반 통지의 가장 분명한 자율 규제적 역할은 규제 당국과 시민들이 위반에 대한 지식을 갖게 되면 컨트롤러에 대해 조치를 취할 수 있다는 명백한 이유 때문에 악의적인 행위에 대한 억지력으로 작용한다는 것이다. 억제가 감독과 집행의 핵심 도구라는 생각은 적절한 경우에 ‘효과적이고 비례적이며 강제적인’ 행정 처벌(벌금)을 부과해야 하는 제83조와 제84조의 표현에서 더욱 분명해진다. 위반 통지 규칙은 또한 여기에서 논의된 다른 개념과 동일한 역할을 한다. 위반 사항을 파악한 후 컨트롤러는 해당 환경을 수정하는 단계를 수행할 수 있다.
• 제35조는 개인의 ‘권리와 자유에 대한 높은 위험을 초래할 가능성이 있는’ 경우, 데이터 보호 영향 평가(DPIA)를 수행하는 것을 컨트롤러에게 요구한다. DPIA의 감독 및 집행 역할은 제35조 (4-6)의 ‘감독 당국’과 DPA와의 사전 협의 요건에 대한 명시적인 언급으로 인한 다른 사례들 보다 더 명백하다. 이는 (제36조에 규정된) 위험을 완화하기 위해 컨트롤러가 취한 조치가 없는 경우, 처리가 [개인의 권리와 자유에 대하여] 높은 위험을 초래할 것이라고 DPIA가 명시한 경우 수행될 필요가 있다.

DPO(Data Protection Officer)의 기능은 데이터 보호에 새로운 기능이 아니며 이 책의 뒷부분에서 광범위하게 논의된다. 많은 조직에서 DPO를 사용하여 데이터 보호 문제를 해결한다. 현재 DPO의 상태는 GDPR에 의해 공식화되었으며, 처음으로 GDPR이 임명을 의무화하였다.

특히 이 논의를 위해, GDPR에 명시된 요구 사항은 DPO를 그가 고용되어 있거나 종사하는 조직을 감독 및 집행하는 입장이 되게 한다. 컨트롤러와 프로세서가 GDPR에 대처하는 방법을 결정할 때, 무게를 두어야 하는 보다 광범위한 고려 사항(실질적인 위험이 있을 영역에 대해 희소한 기술과 자원을 집중하기 위해 기술적인 비준수의 위험을 감수할 것인지를 포함)보다는 오직 법적 준수에만 집중하고 해고로부터 면제되기 때문에, DPO는 일반 직원이 아닌 준 DPA와 유사해 보이며, DPA와의 협조 의무를 감안할 때 실질적으로 규제 기관의 연장이라고 할 수 있다. 만약 그들의 조직이 DPA, 컴플라이언스 문제에 대한 개인 또는 개인정보 활동가들로부터 압박을 받는다면, DPO는 조직 내에서 어려운 역할을 맡을 것이다.

행동 강령, 인증, 인장 및 마크

제4장 제40-43조는 인장 및 표시와 같은 행동 강령 및 데이터 보호 인증 메커니즘을 통해 자율 규제를 위한 프레임워크를 만든다.

제40조에서는 산업 협회와 같은 컨트롤러 및 프로세서에 대한 대표 단체가 데이터 보호 컴플라이언스의 모든 측면에 대한 행동 강령을 제정하도록 권장하고 있으며, 이들의 주요 특징은 컴플라이언스를 준수할 수 있도록 컨트롤러 및 프로세서를 모니터링해야 한다는 것이다.(제40조 (4)항 및 제41조 (1)항 참조). 제40조 (2)항은 강령이 도움이 될 수 있는 영역의 목록(전부는 아님)을 제공하지만, 모든 준수 문제에 대한 승인을 위해 어떤 대표 기구든 DPA에 초안 강령(제40조 (5)항 참조)을 제출할 수 있다.

강령의 채택은 제63조의 일관성 메커니즘의 적용을 받으며, 조약의 초안이 적어도 두 개의 EU 회원국에 영향을 줄 수 있는 경우, 더욱 깊이 논의된다.

모니터링 기관의 특성과 임무는 제41조에 규정되어 있으며, 감시기구의 독립성과 전문성을 증명하고 갈등을 피할 수 있어야 한다. 특성과 임무에는 준수를 효과적으로 모니터링하고 불만을 처리하기 위한 절차가 있어야 하며, 침해에 대해 적절한 조치를 취해야 한다는 것이다. 물론 DPA는 강령 승인을 통해 감독 및 집행 역할을 포기하지 않는다. 그들은 강령에 의해 다루어진 주제와 그에 따르기로 약속한 컨트롤러와 프로세서에 대해 관할권을 유지한다. 심각한 경우에는, 강령의 요구 사항을 위반한 경우 컨트롤러 및 프로세서에 DPA가 벌금을 부과할 수 있다(제83조 (4)항 (c) 참조: 원문의 839(4)(c)는 오타로 보임). DPA는 또한 모니터링 기관의 인증을 취소할 권한이 있다(제41조 (5)항 참조).

GDPR이 시행될 때 이것이 실제로 어떻게 작동할 수 있는지에 대한 몇 가지 예를 보려면, 미국의 NAI(Network Advertising Initiative) 행동 강령(Code of Conduct)을 보면 된다. NAI는 처음에 회원 자격 내에 해당 강령을 시행한 다음, 회원이 규정을 준수하지 못할 경우 미국 연방 통상위원회(FTC)에 문제를 회부한다.

제42조와 제43조의 인장 및 마크에 대한 인증 규칙은 행동 강령의 규칙과 거의 동일하게 작동한다. 이들은 DPA 또는 회원국의 국가 인증기관(제43조 (1)항 참조)에 의해 인증된 인증기관에 의해 발행된다. 공인을 받기 위해서는 인증기관이 DPA의 독립성과 전문 지식을 충족시키고 이해 상충을 피할 필요가 있다. 인장 및 마크를 발행, 검토 및 취소하는 절차가 있어야 하고 불만 처리 절차가 있어야 한다(제43조 (2)항 참조). 컨트롤러 및 프로세서는 인증 규칙 위반(제83조 (4)항 (b) 참조)에 대한 벌금을 부과 받을 수 있으며, 인증기관은 DPA가 인증을 취소할 수 있다(제43조 (7)항 참조). 다시 말하자면, 일관성 메커니즘은 적절한 경우에 적용된다.

시민에 의한 규제

컨트롤러와 프로세서가 잘못된 데이터 보호에 대한 첫 번째 방어선을 제공한다면, 시민은 두 번째 방어선을 제공한다. 집단으로서 대규모의 감독 및 시행력을 구성하는 약 5억 명의 EU 시민이 있다(Brexit전 영국을 포함 시).

최근 ‘시민 규제 기관’은 유럽의 데이터 보호 개혁을 위한 비입법 안건의 많은 부분을 주도해 왔다. 2014년에는 스페인 시민이 가져온 ‘잊혀질 권리’에 대한 획기적인 소송이 1995년 Data Protection Directive(‘Directive’)에 의거한 통제의 개념에 대해 생각해보게 만들었다. 2015년에 오스트리아 한 시민(막스 슈렘스)은 Safe Harbor 결정에 대한 소송에서 성공적이었다. 시민사회단체(CSO, Civil Society Organisations)는 시민들이 소송에서 해결할 수 있는 힘을 보여주었다. 또 다른 기념비적 소송에서 Data Retention Directive 2006도 무효라고 선언되었다. 많은 조직들에서 그들에 대한 부정적 조사의 주요 위험은 DPA가 아니라 소송인인 시민들로부터 나올 것이다.

데이터 주체 권리 행사를 통한 컨트롤러 규제

다른 장에서 논의된 바와 같이, GDPR은 개인에 대한 많은 권리를 창출하며, 컨트롤러의 불량 행위 및 불공정한 행동으로부터 자신을 보호하고 준수를 감독하고 집행할 수 있다. 투명성의 권리(제13조 및 제14조), 자료에 대한 접근권(제15조), 정정의 권리(제16조), 삭제권(제17조), 처리 제한의 권리(제18조), 데이터 이식성 권리(제20조) 및 반대 권리(제21조 및 제22조) 등이 그것이다. 또한 개인은 개인 데이터 유출 사실을 통보받을 권리가 있다(제34조). 개인이 이러한 권리를 행사할 수 있는 능력에 만족하지 못하면 행정 및 사법 구제를 모두 추구할 수 있다.

물론 GDPR에서는 DPA 또는 법원에 불만 사항 및 구제 조치를 취하기 전에 개인이 컨트롤러에 대한 데이터 주체 권한을 사용하고 추구해야 한다고 요구하지는 않는다. 그렇게 생각한다면, 개인은 처음에는 컨트롤러에 관심을 갖지 않고 이러한 경로 중 하나를 따라갈 수 있지만 실제로는 개인이 DPA 또는 법원에 가기 전에 컨트롤러에 불만을 제기하는 것이 도움이 될 것이다. 이와는 별도로, 제13-22조와 제34조의 권리가 개인에게 컨트롤러에게 직접적이고 분명한 경로를 제공하지 않는 경우가 많이 있을 것이다.

예를 들어, 제5조 (1)항 (f)의 무결성 및 기밀성(제32조 참조)은 제13-22조에 명시된 권리의 초점이 아니므로, 개인이 자신의 개인 데이터에 보안 위반 위험이 있는지를 이해하기 위해서 데이터 주체 권한을 선제적으로 사용할 수 없다. 법이 그들에게 주는 모든 것은 위반이 발생했다는 사실을 알 권리이며, 심각한 경우 개인정보가 보안 침해에 노출되는 것을 방지하기 위해 개인정보를 컨트롤러에게 직접 넘기지 않을 수 있다. 이러한 방식으로 개인 데이터가 위험에 처하는 것을 방지하기 위해, 컨트롤러가 스스로 일을 처리하지 못하면, 개인은 DPA 또는 법원에 문제를 제기할 수밖에 없다.

의무 위반에 대한 구제 수단

개인이 비준수에 대한 불만을 제기하면 데이터 주체의 권리를 사용했는지 또는 이전에 불만 사항을 제기했는지 여부에 관계없이 DPA 또는 법원에 회부할 수 있다. 이에 해당되는 GDPR의 운영 요소는 제77조 및 제79조이다.

종합하면, GDPR은 추구할 경로에 대한 개인의 선택권을 부여하기 위해 운영된다는 것을 알 수 있다. 자신의 권리가 침해당했다고 생각하면 자신의 국내법에 따라 소송을 제기하거나 규제 기관에 불평을 제기하거나 실제로 2가지 해결책을 동시에 추구할 수 있다. 컨트롤러와 프로세서 모두에 대해 2가지 방법을 사용할 수 있다.

실제로 규제 당국에 불만을 제기하는 것은 대부분의 개인에게 논리적이고 선호되는 선택일 것이다. 소송은 비용이 많이 들고 시간이 많이 드는 일이며, 일부 국가에서는 영국과 같이 지는 쪽에게 이기는 쪽의 비용을 지불하도록 명령할 수 있다. DPA를 구제책으로 사용하는 것은 본질적으로 위험이 낮은 옵션이다.

이 조항의 포럼 규정에 주목할 가치가 있다. 제77조 (1)항은 개인에게, 거주지의 DPA에, 근무지의 DPA에, 또는 침해가 발생한 장소의 DPA에 불만 사항을 제기할 권리를 부여한다. 제79조 (2)항은 유사한 규정을 포함한다. 컨트롤러 또는 프로세서 또는 개인의 근무처 설립 장소가 무엇이든 관계없이, 개인은 항상 고국의 DPA 또는 법원에서 구제 조치를 취할 권리가 있다.

대표/집단 소송

많은 국가에서, 개인 소송에 대한 재정적 및 법적 자원 부족으로 인해 개인의 입장에서는 정의의 장벽에 막힐 수 있다. 이 권한을 균형 있게 유지하는 한 가지 방법은 그룹소송 또는 집단소송이라고 하는 대의적인 행동을 하는 것인데, 이를 통해 개인 집단이 법원에서 집단으로 대표되어, 금융 위험이 분산되고 집단 사례 정보가 활용되며 보다 경험이 풍부한 법률적 대응이 가능하다.

GDPR은 제80조에서 새로운 대표 소송 권리를 소개한다.

제80조 (1)항에 따라, 개인을 일반적으로 CSO 및 ‘개인정보 보호 옹호자’ 또는 실제로 ‘압력단체’로 알려진 비영리 단체가 대의할 수 있다. 이러한 대의적인 행동은 한 개인 또는 개인 그룹을 대신할 수 있다. 또한, 이러한 조직에 개인으로부터의 위임 사항에 독립적인 대의적 권력을 부여하는 것은 회원국들에게 개방되어 있다.

유럽에는 단체 소송에 대한 합의하에 개인 집단을 모으는 대의 기구의 선례가 있다. 영국에서는 구글에 대한 Vidal-Hall 소송이 가장 두드러진 예이다. 오스트리아의 페이스북에 대한 집단 소송을 설립한 유럽 대 페이스북 집단 소송도 또 다른 중요한 선례이다.

책임 및 배상 청구

제82조는 비준수의 결과로 피해를 입은 경우, 시민들이 컨트롤러와 프로세서에 대한 보상 청구를 요구할 권리의 근거를 담고 있다. 컨트롤러 및 프로세서는 피해를 초래하는 사건에 대해 책임지지 않는 방어책을 가지고 있다. 여러 당사자가 실수한 경우, 피해를 입은 부분에 책임이 있는 개별 컨트롤러 또는 프로세서는 모든 피해에 대해 책임을 질 수 있다. 이 경우 보상하는 쪽은 다른 쪽으로부터 배상을 청구할 수 있다.

‘피해’의 의미는 과거에 몇 가지 문제를 일으켰다. 예를 들어, 영국에서는 재정적 손실을 의미하는 데에 오랜 시간이 걸렸지만, Vidal-Hall 사건의 항소 법원 판결에 의해 그 입장이 바뀌었으며, 피해는 고통 및 기타 비금전인 손해도 포함하게 되었다. 대조적으로, DPA는 항상 ‘피해’에는 고통이 있음을 확신한다. GDPR은 나머지 모호성을 해결한다. ‘물질적 또는 비물질적인 피해’라는 문구는 피해가 고통을 포함한다는 아이디어를 매우 명확하게 나타낸다. Recital 146은 또한 피해의 개념이 광범위하게 해석되어야 함을 분명히 하고 있다. 또한 법률이 항상 고통을 보상할 권리를 인정한 인권법과 동일한 맥락에서 데이터 보호법이 고려된다면 그 입장은 분명해야 한다. 법이 의미가 통하기 위해 피해는 고통을 포함해야 한다.

이는 GDPR 주위의 보상 환경이 발전하는 경우, 컨트롤러 및 프로세서에 대해 매우 중요한 의미를 가진다. 보상 권리를 보유하게 될 사람들의 규모가 매우 크기 때문에, 보상 환경이 발전하게 될 가능성도 매우 높다.

규제 기관의 규제

한 개인이 DPA에 불만을 제기했지만 처리되지 않았거나 3개월 이내에 회신 받지 못한다면, 법원이 문제를 강제하기 전에 DPA에 대해 조치를 취할 권리가 있다. 이것은 제78조에 규정되어 있다.

슈렘스(Schrems) 사건으로 알려진 Safe Harbor 소송은, 미국으로의 개인 데이터 이전의 합법성에 대한 조사를 거부함으로써 위원이 자신의 권한을 빼앗았다는 주장에 대한 사법 검토 절차에 있어서 아일랜드 데이터 보호 위원에 대한 소송에서 시작되었다. 위원의 입장은 모든 합법성 문제는 유럽 집행위원회(‘Commission’)에 의한 Safe Harbor 적합성 결정에 의해 결론적으로 결정되었다는 것이었다. 그 절차는 이제 제78조에 따라 수행된다.

제78조 (1)항은 개인(개인 또는 법인)이 DPA의 결정에 불만이 있는 상황과 관련이 있다. 이 조항의 주요 목적은 제58조에 의거한 시정 조치 및 제83조에 따른 제재에 대한 이의 제기를 가능하게 하는 것이다. 제78조 (1)항은 DPA가 올바른 종류의 시정 조치 또는 제재에 너무 관대하다고 걱정하는 개인에 의해 사용될 수도 있다.

행정 감독 및 집행

컨트롤러와 프로세서, 개인, CSO 및 모니터링 및 인증 기관의 규제 기능과 권한, 또는 그와 관련된 강약에 관계없이, 사람들이 감독 및 집행에 관해 이야기할 때 대부분의 사람들은 대부분 회원국 내의 감독 당국을 떠올릴 것이다. 프랑스의 국가 컴퓨팅 자유 위원회(Commission Nationale de l’Informatique et des Libertés, CNIL), 영국의 정보위원회 사무국(Information Commissioner’s Office, ICO), 스페인의 데이터 보호기관(Agencia Española de Protección de Datos, AEPD)과 같은 데이터 보호 당국(DPA)들이 그것이고, DPA는 행정 감독 및 집행 권한을 갖춘 유일한 기관으로 의미가 있다.

독립적인 국가 규제 기관

행정 감독에 관한 GDPR의 규정은 제6장에서 찾아볼 수 있다. 출발점은 회원국들이 독립적인 공공 당국을 지정하여 GDPR의 이행을 감시해야 한다는 것이고, 자신의 임무를 수행하고 권한을 행사할 때 완전히 독립적으로 행해야 한다. 독립성에 관한 규정은 제51조와 제52조에 있다.

독립적인 규제 기관의 필수 기능은 충분한 기술과 자원이다. 규제 기관이 기술과 자원에 대해서 정부를 포함한 제3자에게 신세를 지고 있다면, 그 독립성에 대한 의문이 제기된다. 이것은 제52조 (4)항에 반영되어 있다.

규제 당국의 독립성의 중요성은 소송에서 제기되었다. 예를 들어, Commission 대 Germany 소송의 경우, 유럽 재판소는 독일이 주에 있는 규제 당국을 ‘주정부 조사 대상’으로 두었기 때문에 독일이 Directive 28조 (1)항을 적절히 이행하지 못했다는 사실을 발견했다. 유사 소송이 오스트리아에서도 제기되었다.

제53조와 제54조는 DPA가 회원국에서 어떻게 설립되어야 하는지에 대한 규칙을 제공한다. 각 회원국에 이미 DPA가 있기 때문에, 이 조항은 사문적 조항으로, 이론적, 학문적 관심이 있을 때나 의미 있는 조항이다.

국가의 법률 제정에 규제 기관 임명

제36조 (4)항은 회원국의 법률 제정 과정에 국가 규제 기관을 효과적으로 포함시키는 구조적 통제(협의 요구 사항)를 포함한다.

규제 당국이 입법상의 의제에 영향력을 행사할 수 있다는 점에서 이것은 매우 영리하고 강력한 조항이다. 즉, 입법 및 규칙 제정 과정이 시작될 때 회원국의 법률에 따라 데이터 보호를 적용하는 것이 도움이 된다.

제36조 (4)항의 협의 의무는 제57조 (1)항 및 제58조 (3)항의 조항에 의해 보강되며, DPA가 데이터 보호 문제에 관하여 자국의 의회와 정부에 조언과 가이드를 제공할 권한을 부여한다.

감독 당국의 임무

DPA의 임무는 제57조에 포함되어 있으며, 그 목록이 매우 길다. GDPR을 모니터링하고 집행하며 각국 의회와 정부에 자문을 제공하는 것 외에도 다음과 같은 조치를 취해야 한다.

제57조는 다른 조항에서 발생하는 여러 가지 개별 업무도 다룬다.

불만 접수 및 처리

효과적인 규제는 시민들이 발견한 문제에 대응해야 하며, 개인 데이터에 대한 좋은 결과를 제공 할 뿐만 아니라 규제 시스템에 대한 믿음과 신뢰를 유지해야 한다. 이 요구 사항의 중요성이 강조되는 것은 다른 모든 규제 도구에도 불구하고, 특정 시점의 특정 컨트롤러의 실제 작업에 대해서 규제 당국이 비교적 작은 통찰력을 가지고 있기 때문이다. 데이터 컨트롤러와 가장 많이 접촉하는 것은 시민이므로, 시민은 데이터 보호 위반에 규제 당국의 주의를 끌 수 있는 훌륭한 위치에 있다. 시민이 불만 접수를 하는 경우, 이를 처리할 공식화된 주체가 필요하며, 이는 규제당국이 된다.

제57조 (1)항 (f)는 DPA에게 불만을 접수하고 청취하는 임무를 부여함으로써 이러한 문제를 해결한다. 제57조 (2)항은 표준화된 불만사항 양식을 사용하여 불만 처리 절차를 능률화하는 데 목적을 두고 있다.

데이터 보호 영향 평가

제35조 (4)항은 DPA가 데이터 보호 영향 평가(DPIA)가 수행되어야 하는 상황의 목록을 공표하도록 요구한다. 반면 제35조 (5)항은 DPIA가 필요하지 않은 상황의 목록을 게시할 수 있도록 허용한다. 제36조 (1)항은 DPIA가 ‘위험을 완화하기 위해 컨트롤러가 취한 조치가 없어서, 처리가 개인의 권리와 자유에 높은 위험을 초래할 것이라고 명시’할 때마다 컨트롤러가 DPA와 협의할 것을 요구한다.

제57조 (1)항 (k)는 제35조 (4)항의 요구 사항을 반영하고, 제57조 (1)항 (l)은 DPIA 수행 후 제36조 (1)항의 요구 사항에 따라 컨트롤러가 그들에게 회부한 처리 활동에 대해 DPA가 자문할 것을 요구한다.(본 책의 DPIA에 대한 자세한 내용 참조)

행동 강령, 인증, 인장 및 표시

행동 강령 영역에서의 DPA의 역할은 위에서 논의했다. 행동 강령 개발을 장려하는 것 외에도 제40조 (5)항은 DPA가 ‘강령 초안, 개정안 또는 연장안이 GDPR을 준수하는지 여부에 대한 의견을 제공할 것을 요구하고, 강령 초안, 개정안 또는 연장안이 충분하고 적절한 안전장치를 제공하는지 승인해야 한다’고 요구하고 있다. 제57조 (1)항 (m)은 이러한 요구 사항을 반영한 것이다.

제42조 (5)항에서 DPA는 인증기관들이 인증, 인장 및 마크를 발행하는 기준을 승인해야 하는 반면, 제42조 (5)항은 또한 그들이 자격 요건을 더 이상 충족하지 못하면 DPA가 인증을 철회할 수 있게 한다. 제57조 (1)항 (n) 및 (o)는 이러한 요구 사항을 반영한다.

DPA의 행동 강령 및 인증 시스템 역할에 대한 추가 규정은 제57조 (1)항 (p) 및 (q)를 참조하면 된다.

국제 이전을 위한 계약 조항 및 BCR

유럽 ​​데이터 보호법은 개인 데이터를 EU에서 제3국으로 수출하려는 경우 컨트롤러 및 프로세서가 따르도록 여러 가지 방법을 제공한다. 현재 옵션에는 적정성 결정을 한 국가 목록, 미국으로의 이전을 위한 Privacy Shield 합의, BCR(Binding Corporate Rules) 및 집행위원회에서 승인한 표준 계약 조항이 포함된다. 또한 제46조 (3)항은 컨트롤러와 프로세서가 자신의 계약 모델 사용을 위해 DPA로부터 승인을 얻을 수 있게 하는 한편, 공공 당국은 그들 간의 행정 약정에 대한 승인을 요청할 수 있다. 상황에 따라 DPA는 일관성 메커니즘을 사용하여 권한 요청을 검토한다. 제57조 (1)항 (r)은 이러한 조항을 반영한다.

BCR 절차는 제47조에 규정되어 있으며 제57조 (1)항에 반영되어 있다. 국제 데이터 이전에 대한 광범위한 논의는 4장을 참조하면 된다.

침해 및 조치의 기록

제57조 (1)항 (u)는 DPA가 제58조 (2)항에 따라 취한 조치에 대한 기록뿐만 아니라 GDPR의 침해에 대한 기록을 유지할 것을 요구한다. 이러한 기록을 유지하는 것은 이미 회원국 전반에 걸쳐 표준 관행이며, 실제로 국가 및 집단 작업 프로그램을 수립할 때 규제 당국에 대한 주요 자료를 제공한다. 또한 영국과 같은 일부 관할권에서는 DPA가 개별 이슈에 대한 결정을 내릴 때 조직의 규제 추적 기록을 고려한다. 즉, 추적 기록이 나쁠수록 컨트롤러 또는 프로세서에 불리한 결과가 발생할 가능성이 커진다.

요금 청구

제57조 (3)항은 DPA가 데이터 주체 또는 DPO에게 서비스 요금을 청구할 수 없다는 것을 분명히 한다. 그러나 제57조 (4)항은 근거가 없거나 과도한 요청에 대해 행정 비용을 청구할 권한을 부여한다.

활동 보고서

투명하게 수행될 때 우리는 그것을 좋은 규칙이라고 한다. 따라서 DPA는 자신의 활동에 대해 정기적으로 공개적으로 진술해야 한다. 이는 규제 시스템에 대한 신뢰를 높이고 일반적으로 규제 내에서 동향과 발전에 대한 중요한 통찰력을 사회에 제공한다. 연례 보고서를 제출함으로 인한 투명성은 또한 규제 당국이 목표를 달성하고 대중에게 봉사하는지에 대해 사회가 가치 판단할 수 있도록 하며, GDPR의 제59조에서 이러한 문제를 다룬다.

규제 당국의 권한

DPA의 권한은 제58조에 포함되어 있는데, 조사 권한, 시정 권한, 승인 및 자문 권한의 3가지 유형이 있다.

조사 권한

제58조 (1)항에 명시된 조사 권한은, 실제로 조사를 시작하는 메커니즘, 즉 GDPR 위반 혐의의 컨트롤러와 프로세서에 통보할 수 있는 권한과 함께, 필요한 모든 증거, 자료 및 시설에 DPA가 접근할 수 있도록 하기 위한 것이다.

이러한 조사 능력은 매우 포괄적이며, 컨트롤러와 프로세서가 나쁜 습관을 숨기기 위한 여지를 주지 않는다. 또한 규제 조사의 궤도를 다소 예측 가능하게 만든다. 예를 들어, 증빙 자료에 관한 한, DPA는 조사 대상 조직 내부에 존재하는 모든 책임성 문서(예: 제24조에 의거한 정책 프레임워크, 제25조에 따른 privacy-by-design 프레임워크, 제28조에 따른 프로세서 계약, 제30조에 따라 작성된 데이터 처리 활동 기록, 제33조에 따라 유지된 위반 기록 및 제24조와 제35조의 목적을 위해 수행된 위험 평가)의 공개를 요구할 것이다. 실제로 DPA는 별도의 특별한 권한이 필요한 문서(법적인 전문적 특권과 자기부죄로 인한 특권)를 제외하고, 조사 중인 조직이 보유하고 있는 모든 관련 문서에 대한 액세스 권한을 얻을 수 있으며, 이는 외부 감사 보고서와 같은 제3자 보고서까지 확장된다.

제58조 (1)항의 가장 큰 혁신은 DPA가 감사와 시설 및 처리 장비 검사와 같은 운영 검토를 수행할 수 있는 능력이다. 이는 DPA가 컨트롤러 또는 프로세서를 뒤쫓는다면, 데이터 보호 서면 시스템 및 데이터 보호 업무 운영의 2가지 공격 라인을 가지고 있음을 의미한다. GDPR 도입 후 컨트롤러 및 프로세서는 규제 조사에 대해 더욱 취약해졌다.

시정 권한

제58조 (2)항에 명시된 시정 권한은 DPA가 컨트롤러와 프로세서에게 모호한 데이터 처리 활동에 대해 경고하는 것에서부터 비즈니스 활동을 중단할 수 있게 하는 것까지 모든 옵션을 다룬다. 데이터 보호 분야의 많은 평론가들은 주요 규제 위험으로 인한 재정적 처벌의 위험을 알고 있지만 데이터 처리를 중단하라는 명령은 데이터 중심 비즈니스의 경우 특히 훨씬 더 극적인 결과를 초래할 수 있다.

승인 및 자문 권한

제58조 (3)항에 명시된 승인 및 자문 권한은 위에 언급된 행동 강령, 인증, 마크 및 인장 및 개인 데이터의 국제 이전 영역에서 DPA의 의무와 일치한다.

규제 당국의 소송

제58조 (5)항은 DPA가 때때로 컨트롤러와 프로세서에 대한 법적 절차를 취할 필요가 있다고 예상한다. 효과적인 소송 권한을 보유하는 것이 조사 및 시정 권한의 성공적인 운영을 위한 기본 요소이다. DPA가 법원을 통해 컴플라이언스를 강제할 수 없다면, 그야말로 이빨 빠진 호랑이에 불과한 것이다.

권한 및 국제 협력, 제재 등에 대해서는 다음 기사에서 상세히 설명할 예정이다.

GDPR의 감독과 집행(2) (바로가기)