[개인정보보호위원회] 개인정보보호 법규 위반에 대한 과징금 부과기준 (2020.08.05)

안녕하세요. 황컴플라이언스 입니다.

[개인정보보호위원회] 개인정보보호 법규 위반에 대한 과징금 부과기준 (2020.08.05)

○ 자료명 : 개인정보보호 법규 위반에 대한 과징금 부과기준

○ 제정일 : 2020년 08월

○ 주관부처 : 개인정보보호위원회

---

(개인정보보호위원회) 개인정보보호 법규 위반에 대한 과징금 부과기준(개인정보보호위원회고시)(제2020-6호)(20200805).pdf

0.08MB

[별표] 추가적 가중ㆍ감경 금액(제8조 관련).pdf

0.08MB

개인정보보호 법규 위반에 대한 과징금 부과기준 (2020.08.05) : 개인정보보호위원회

---

제1조(목적)

• 이 고시는 「개인정보 보호법」(이하 "법"이라 한다) 제39조의15제4항, 같은 법 시행령(이하 "영"이라 한다) 제 48조의11제4항 및 [별표 1의5]에 따른 과징금 부과에 필요한 세부기준을 정함을 목적으로 한다.

제2조(과징금 산정 절차 및 기준)

• 과징금은 법 제39조의15제3항 각 호에서 정한 참작사유와 이에 영향을 미치는 행위를 고려 하여 산정하되, 기준금액에 필수적 가중·감경, 추가적 가중·감경을 거쳐 과징금을 산정한다.

제3조(기준금액)

• ① 기준금액은 관련 매출액에 영 [별표 1의5] 2.가. 1)에 따른 부과기준율을 곱한 금액으로 정한다.
• ② 영 제48조의11제2항 각 호의 어느 하나에 해당하여 제1항을 적용할 수 없는 경우에는 아래 표에 따라 기준금액을 정한다.

제4조(관련 매출액의 산정)

• ① 관련 매출액은 위반 정보통신서비스 제공자등의 위반행위로 인하여 직접 또는 간접적으로 영향 을 받는 서비스의 직전 3개 사업년도의 연평균 매출액으로 한다.
• ② 제1항에 따른 관련 매출액 산정시 서비스의 범위는 「전기통신사업법」 제5조를 기준으로 판단하되, 구체적인 판단에 있어 서는 다음 각 호의 사항을 고려하여야 한다.
• 1. 서비스 제공 방식
• 2. 서비스 가입 방법(서비스 가입시 온라인 가입인지 오프라인 가입인지 여부 및 하나의 사업자가 수 개의 웹사이트를 운영 하는 경우 독립되어 각각 별개의 가입을 요구하는지 여부 등을 의미한다)
• 3. 이용약관에서 규정한 서비스 범위
• 4. 개인정보 데이터베이스 관리 조직·인력 및 시스템 운영 방식
• ③ 서비스에 대한 매출액은 회계자료를 참고하여 정하되, 이를 통해 위반행위와 관련한 서비스의 매출액을 산정하기 곤란한 경우에는 해당 정보통신서비스 제공자등의 과거 실적, 동종 유사 역무제공사업자의 과거 실적, 사업계획, 그 밖에 시장상황 등을 종합적으로 고려하여 매출액을 산정할 수 있다.

제5조(중대성의 판단)

• ① 영 [별표 1의5] 2. 가. 1)에 따른 위반행위의 중대성의 판단기준 중 고의·중과실 여부는 영리 목적의 유무, 영 제48조의2에 따른 안전성 확보조치 이행 여부 등을 고려하여 판단한다.
• ② 위반 정보통신서비스 제공자등에게 고의·중과실이 없으면 위반행위의 중대성을 보통 위반행위로 판단한다.
• ③ 위반 정보통신서비스 제공자등에게 고의·중과실이 있으면 위반행위의 중대성을 매우 중대한 위반행위로 판단한다. 다만 , 위반행위의 결과가 다음 각 호의 사항 중 모두 해당하는 경우에는 보통 위반행위로, 1개 이상 2개 이하에 해당하는 경우에 는 중대한 위반행위로 감경한다.
• 1. 위반 정보통신서비스 제공자등이 위반행위로 인해 직접적으로 이득을 취득하지 않은 경우 2. 위반행위로 인한 개인정보의 피해규모가 위반 정보통신서비스 제공자등이 보유하고 있는 개인정보의 100분의 5 이내인 경우 3. 이용자의 개인정보가 공중에 노출되지 않은 경우

제6조(필수적 가중·감경)

• ① 위반기간을 고려하여 다음 각 호와 같이 과징금을 조정한다.
• 1. 단기 위반행위: 위반기간이 1년 이내인 경우는 기준금액을 유지한다.
• 2. 중기 위반행위: 위반기간이 1년 초과 2년 이내인 경우에는 기준금액의 100분의 25에 해당하는 금액을 가산한다.
• 3. 장기 위반행위: 위반기간이 2년을 초과하는 경우에는 기준금액의 100분의 50에 해당하는 금액을 가산한다.
• ② 위반횟수를 고려하여 다음 각 호와 같이 과징금을 조정한다.
• 1. 최초 위반행위: 위반 정보통신서비스 제공자등이 최근 3년간 법 제39조의15제1항 각 호에 해당하는 행위로 과징금 처분 을 받은 적이 없는 경우에는 제1항에 따른 조정을 거친 금액에서 기준금액의 100분의 50에 해당하는 금액을 감경한다.
• 2. 2회 이상의 위반행위: 위반 정보통신서비스 제공자등이 최근 3년간 법 제39조의15제1항 각 호에 해당하는 행위로 1회 이 상의 과징금 처분을 받은 경우에는 제1항에 따른 조정을 거친 금액을 유지한다.
• ③ 제2항에서 과거 위반횟수를 산정할 때에는 시정조치 명령이나 과징금 부과의 무효 또는 취소판결이 확정된 건을 제외한다.

제7조(위반기간의 산정)

• ① 제6조제1항에 따른 위반기간은 위반행위의 개시일부터 종료일까지의 기간을 말한다. 다만, 위반 행위가 과징금 부과처분을 명하는 개인정보보호위원회의 심의종결일까지 종료되지 아니한 경우에는 해당 사건에 대한 개인 정보보호위원회의 심의종결일을 위반행위의 종료일로 본다.
• ② 제1항에 따른 위반기간을 산정하면서 위반행위의 개시일 또는 종료일이 불분명한 경우에는 위반 정보통신서비스 제공자 등의 영업·재무관련 자료, 임직원·이용자 등의 진술, 동종 유사 정보통신서비스 제공자등의 영업 및 거래실태·관행 등을 고 려하여 이를 산정할 수 있다.

제8조(추가적 가중·감경)

• 개인정보보호위원회는 사업자의 위반행위 주도 여부, 조사 협력 여부 등을 고려하여 필수적 가중·감 경을 거친 금액의 100분의 50의 범위 내에서 [별표]에 따라 추가적으로 가중하거나 감경할 수 있다.

제9조(시정조치의 명령)

• 개인정보보호위원회는 과징금 부과와 함께 법 제64조제1항에 따라 해당 위반행위의 중지나 시정을 위 하여 필요한 시정조치를 명할 수 있으며, 위반 정도가 경미하다고 판단되는 경우에는 과징금 부과를 시정조치의 명령으로 갈 음할 수 있다.

제10조(재검토 기한)

• 개인정보보호위원회는 「훈령·예규 등의 발령 및 관리에 관한 규정」(대통령훈령 제394호)에 따라 이 고시 에 대하여 2020년 8월 11일을 기준으로 매 3년이 되는 시점(매 3년째의 8월 10일까지를 말한다)마다 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.