국가정보_캐나다

피해 구제 체계

1개요

개인정보보호 및 전자문서법(PIPEDA)의 10대 원칙의 ‘안전성 확보조치 (Safeguards)’와 ‘개인정보유출 통지규칙(Breach of Safeguards Regulations)’에 따라, 유출사고(Data Breach) 발생을 인지한 즉시 OPC에 보고하고 정보제공자에게도 유출사실을 통지하여야 한다고 규정하고 있다. 동 규칙은 유출사고의 발생에 따라 조직은 상당한 피해가 예상되는 경우의 통지절차를 아래와 같이 규정하고 있다.

첫째, 개인정보사고가 정보제공자에게 중대한 손해의 실질적인 위험(RROSH, Real Risk of Significant Harm)을 야기하는지 여부를 평가한다.

둘째, 만약 중대한 손해의 실질적인 위험을 야기한다고 판단하면 피해를 입은 정보제공자에게 해당 사실을 통지하고, 지체 없이 OPC에 유출사실을 보고하여야 한다. 만약 법집행기관, 서비스제공자 등과 공조하여 유출에 따른 개인의 피해를 감소할 수 있는 다른 조직이 있는 경우라면 해당조직에도 유출사실을 통지하여야 한다.

셋째, 서면으로 OPC에 대한 보고서를 작성하여야 한다.

[표 5] 개인정보 유출 사고 대응 절차

개인정보 유출 사고 대응 절차
절차 고려 사항
신고 대상 판단

민감성

개인정보 오남용 가능성

OPC 신고

개인정보 유출 경위

개인정보 유출 시점

피해를 입은 개인의 수

유출로 인한 피해를 최소화하기 위해 취한 노력

유출 사실의 통지 절차

기록 작성

사고 발생 날짜 또는 추정 날짜

사고에 대한 일반적인 설명

사고와 관련된 정보의 성격

OPC 신고 여부/개인 통지 여부

정보제공자 통지

개인정보 유출 경위

개인정보 유출 시점

피해를 입은 개인의 수

유출로 인한 피해를 최소화하기 위해 취한 노력

유출 사실의 통지 절차

피해를 입은 개인이 유출과 관련된 추가 정보를 얻을 수 있는 수신자 부담 연락처 또는 이메일 주소

조직의 내부 불만 처리 프로세스 및 OPC에 불만 제기 권한에 관한 정보

대상 조직 통지

피해 위험 감소 및 완화

법 집행기관

결제 기관

또한 OPC는 모든 조직에 ‘안전성 확보조치 (Safeguards)’를 적용하도록 요구하고 있으며, ‘안전성 확보조치 신고의무 규칙’(What you need to know about mandatory reporting of breaches of security safeguards)을 통해 OPC 보고 및 개인 통지가 필요한 항목과 방법을 상세히 설명하고 있다. 동 규칙은 GDPR의 개인정보보호 위반통지 요구사항(제33조, 제34조)과 매우 유사한 것으로 평가된다. 또한 이와 관련된 규제 영향분석서(Regulation Impact Analysis Statement)에서는 경제적 편익의 관점에서 해당 규정과 GDPR의 관련규정 간의 유사성이 캐나다-EU 간 무역에 긍정적 영향을 미칠 것이라고 분석하였다.
캐나다의 공공 부문 개인정보보호 법률인 프라이버시법(Privacy Act)은 개인정보보호 위반을 개인정보보호위원회 사무국(OPC)에 신고할 것을 연방 정부 부처에 대해 요구하지 않는다. 그 대신 정부는 강제적이지 않은 개인정보 침해에 대한 지침(Guidelines for Privacy Breaches)을 마련하여 특정 유형의 위반에 대해 개인정보보호위원회 사무국(OPC)에 신고할 것을 기관에 권고하고 있다.

[표 6] 개인정보 유출 사고 신고 관련 법규

개인정보 유출 사고 신고 관련 법규
구분 법규 주요 내용

(Act)
PIPEDA 제1장
(PIPEDA Division 1)
정의 조항 내 안전성 확보조치(Safeguard) 정의 규정
PIPEDA 부칙1의 제7원칙
(PIPEDA Schedule 1 - Principle 7)
안전성 확보 조치 원칙 규정
규칙
(Regulation)
안전성 확보조치 침해 규칙
(Breach of Security Safeguards Regulations: SOR/2018-64)
PIPEDA에 규정된 안전성 확보 조치 위반시 OPC 보고, 개인 통지, 기록 보관 의무를 규정
지침
(Guidance)
안전성 확보조치 침해의 신고 의무지침
(What you need to know about mandatory reporting of breaches of security safeguards)
OPC 보고, 개인 통지, 기록 보관 의무 관련 상세 기준 및 구체적인 절차를 해설

2개인에 의한 신고절차

OPC는 조직이 아니라 정보제공자인 개인이 자신의 개인정보 유출이 의심되는 상황에서도 감독기관을 통해 조치할 수 있도록 권고하고 있으며 개인은 개인정보 침해·유출에 대하여 다음의 2단계 프로세스에 따라 절차를 개시할 것을 권유하고 있다.

첫째, 유출이 의심되는 정보의 유형을 확인한다.

둘째, 책임 있는 조직유형을 선택하고 해당하는 감독기구에 접촉한다.

[표 7] 개인정보 유형별 규율

개인정보 유형별 규율
조직 유형 적용되는 법률 감독기구
연방정부 및 연방정부 산하기관 프라이버시법
(Privacy Act)
OPC
지방정부 및 지방 공립기관,지역 대중교통기관, 도서관, 공립학교, 병원 등 해당 주, 관련법에 의거 [표 5] 캐나다 각 주의 감독기구 현황을 참고
은행, 항공사, 전화 또는 방송회사 등 상업 활동에 종사하는 연방규제 사업체 개인정보보호 및 전자문서법 (PIPEDA) OPC
소매점, 서비스, 호텔, 레스토랑, 보험, 엔터테인먼트 등 상업 활동에 종사하는 민간부문조직 개인정보보호 및 전자문서법 (PIPEDA) 또는 해당 주, 관련법에 의거 OPC 또는 [표 5] 캐나다 각 주의 감독기구 현황을 참고
의사, 치과의사, 물리치료사, 심리학자 등 헬스케어 전문가 개인정보보호 및 전자문서법 (PIPEDA) 또는 해당 주, 관련법에 의거 OPC 또는 [표 5] 캐나다 각 주의 감독기구 현황을 참고
웹사이트, 블로그, 가정용 보안카메라 등 비상업적 목적으로 개인정보를 수집, 사용 또는 공개하는 개인 개인정보보호법 대상 아님
정당, 국회의원, 국회의원 개인정보보호법 대상 아님
스포츠협회, 전문협회, 클럽, 지지단체 등 상업 활동에 종사하지 않는 비영리 자선단체 개인정보보호법 대상 아님 (일부 주에서 별도 규정을 두는 경우 있음)
주로 캐나다 이외의 지역에서 사업을 수행하는 조직 개인정보보호 및 전자문서법 (PIPEDA) OPC
top