국가정보_태국

피해구제 체계

1개요

PDPA 개인정보 침해 신고와 고지(제37조), 불만사항 처리(제40장)에 관한 사항을 규정한다.

2개인정보 침해 신고 및 통지

개인정보보호법(PDPA)은 개인정보 침해 신고 요건을 부과하고 있으며, 특히 컨트롤러는 아래의 사항을 수행해야 한다(제37조).

① 개인정보 침해가 영향을 받는 개인의 권리와 자유에 대한 위험을 초래할 가능성이 없는 경우를 제외하고 72시간 이내에 개인정보 침해에 대해 개인정보보호위원회 사무국에 신고

② 개인정보 침해가 영향을 받는 개인의 권리와 자유에 높은 위험을 초래할 가능성이 있는 경우 지체 없이 정보주체에게 통지

또한 제40조에 따라 프로세서는 발생하는 모든 개인정보 위반을 컨트롤러에 알려야 한다.

고지 초안에 따르면 컨트롤러는 개인정보보호위원회 사무국에 아래의 정보를 통보하도록 하였다.

① 개인정보 침해의 성격에 대한 설명, 식별 가능한 경우 개인정보의 범주와 규모, 관련 정보주체의 수, 관련 처리 활동 기록

② 개인정보보호 책임자의 이름 및 연락처 세부정보 또는 컨트롤러의 기타 연락처 정보

③ 개인정보 침해의 가능한 결과에 대한 설명

④ 개인정보 침해의 부작용을 완화하기 위한 관리 조치 및 시정 조치에 대한 설명

컨트롤러가 정보주체에게 개인정보 침해를 통지해야 하는 경우 컨트롤러는 최소한 다음 정보를 통지해야 한다.

① 개인정보 침해의 성격에 대한 설명, 식별 가능한 경우 관련 개인정보의 범주 및 양, 관련 처리 활동 기록

② 개인정보보호 책임자의 이름 및 연락처 세부정보 또는 컨트롤러의 기타 연락처 정보

③ 개인정보 침해의 가능한 결과에 대한 설명

④ 개인정보 침해의 부작용을 완화하기 위한 관리 조치 및 시정 조치에 대한 설명

고시 초안에 따르면 개인정보 침해에 대한 조사가 필요하거나 추가 정보 공개를 방지하기 위해 개인정보보호위원회 사무국에 정보를 즉시 통지할 수 없는 경우 컨트롤러는 사후에 추가 정보를 그 사유(정보를 한 번에 통보할 수 없는 이유)와 함께 통지해야 하며 정보를 한 번에 알릴 수 없다.

컨트롤러는 면제가 적용되는 경우 정보주체에게 통지되지 않는 이유와 함께 개인정보 위반에 대한 사실, 그 영향 및 취해진 시정 조치를 포함하는 개인정보 위반을 기록해야 한다. 또한, 컨트롤러는 다음 조건 중 하나에 해당하는 경우 개인정보 위반에 대해 정보주체에게 통지하지 않는다.

① 컨트롤러가 적절한 기술적 및 조직적 보호 조치를 구현했으며 해당 조치가 위반의 영향을 받는 개인정보에 적용한 경우

② 컨트롤러가 정보주체의 권리와 자유에 대한 높은 위험이 더 이상 실현되지 않도록 보장하는 후속 조치를 취한 경우

③ 정보주체에 대한 개인정보 침해 통지에는 과도한 노력이 수반된 경우( 이 경우에는 이에 준하는 공문 또는 이와 유사한 조치 필요)

이외에 태국의 전기통신사업법(2001)에서는 개인정보 유출에 대해 즉 정보주체에게 통보하도록 규정하고 있다. 또한 국가전기통신위원회 고시에서는 전기통신이용자의 개인정보를 수집, 처리 및 유지하는 방법에 관한 전기통신사업자에 대한 규정과 지침을 포함하고 있다. 반면 금융분야, 의료 분야에서 개인정보 침해에 대한 의무조항은 없다.

3불만사항 처리

PDPA 제4장(불만사항)은 불만사항 처리사항을 규정한다.

(1) 전문가위원회 임명

개인정보보호위원회는 전문 분야에 따라 또는 개인정보보호위원회가 적절하다고 판단하는 바에 따라 하나의 이상의 전문가위원회를 임명해야 하며, 전문가위원회의 자격, 임기, 휴가 및 기타 운영은 개인정보보호위원회의 고시에 따른다(제71조).

(2) 전문가 위원회 역할과 권한

전문가 위원회는 다음과 같은 의무와 권한을 갖는다(제72조).

① 이 법에 따른 불만 사항을 검토한다.

② 정보주체에게 피해를 입히는 개인정보와 관련하여 컨트롤러 또는 프로세서의 직원 또는 계약자를 포함하여 컨트롤러 또는 프로세서의 모든 행위를 조사

③ 개인정보와 관련된 분쟁을 해결

④ 이 법에 따라 또는 개인정보보호위원회가 전문가위원회의 의무와 권한으로 규정된 기타 행위를 수행

(3) 불만사항 제기

정보주체는 컨트롤러나 프로세서의 직원이나 서비스 제공자를 포함한 컨트롤러 또는 프로세서가 이 법을 위반하거나 준수하지 않는 경우 불만을 제기할 권리가 있다(제73조1).

불만사항 접수, 수락 거부, 기각, 검토, 심사 기간은 개인정보보호위원회의 규칙을 준수하며, 관련 법률에 의거한 사항을 고려해야 한다(제73조2).

(4) 전문가위원회의 불만사항 처리

불만 제기자가 제73조 제2항의 규칙을 준수하지 않거나 제출된 불만사항이 해당 규칙에 따라 승인을 받는 것이 금지된 경우, 전문가위원회는 해당 불만사항을 고려하여 수락하지 말아야 한다(제73조1).

전문가위원회가 제72조 제1항에 따른 불만사항을 심의하거나 제72조 제2항에 따른 행위를 조사한 결과, 그러한 불만사항이나 행위가 근거가 없는 것으로 판명되면 전문가위원회는 그러한 불만이나 조사를 기각하기 위해 명령할 수 있다(제73조 제2항).

제73조 제2항의 규정에 따라 전문가위원회의 심의나 조사 결과 그러한 불만이나 행위가 해결될 수 있다고 판단되고 당사자가 분쟁을 해결하고자 하는 경우에는 전문가위원회는 분쟁 해결을 진행한다. 다만, 이러한 불만 또는 행위가 해결되지 아니하거나 분쟁이 해결되지 아니하는 경우에는 전문가위원회는 아래의 명령을 수행할 수 있는 권한이 있다(제73조 제3항).

① 컨트롤러 또는 프로세서가 지정된 기간 내에 해당 행위를 수행하거나 시정

② 컨트롤러 또는 프로세서가 정보주체에 피해를 주는 행위를 수행하는 것을 금지하거나 컨트롤러가 지정된 기간 내에 피해를 중지하는 행위를 수행하는 것을 금지

컨트롤러 또는 프로세서가 제73조 제2항의 명령을 준수하지 않는 경우, 행정 절차에 관한 법률에 따른 행정 집행과 관련된 조항이 준용되며 그대로 적용된다. 컨트롤러 또는 프로세서의 재산이 행정 절차에 관한 법률에서 요구하는 대로 경매에 의해 압류, 압류 또는 판매되는 경우, 전문가 위원회는 그러한 목적을 위해 경매에 의한 그러한 압류, 압류 및 판매를 명령할 권한을 가진다(제73조 제4항).

제72조 제1항, 제2항, 제3항에 따른 명령의 발령은 개인정보보호위원회의 통지에 따른 기준 및 방법에 따라야 한다. 전문가위원회의 명령은 전문가위원회 위원장이 서명하며, 전문가위원회의 명령은 최종이어야 한다. 제72조에 따라 진행하기 위하여 심사결과가 발표되면 전문가위원회는 그 결과를 제보자에게 그 사유와 함께 알려야 한다. 다른 법률에 의거하여 이미 공적 권한이 있는 민원에 대해 심의가 받아들여지지 않거나 기각되는 경우, 전문가위원회는 이를 민원인에게 알려야 한다. 제소인이 다른 법률에 따라 공무기관에 이러한 사항을 제안하고자 하는 경우, 전문가위원회는 이를 진행하여야 하며, 전문가위원회가 민원을 접수한 날부터 해당 공무기관이 민원을 접수한 것으로 간주한다(제73조 제5~9항).

전문가위원회는 불만사항의 주제 또는 이 법에 따른 개인정보보호와 관련된 기타 문제와 관련된 문서 또는 정보를 제출하도록 명령할 권한이 있다. 전문가위원회는 또한 누구에게나 사실 진술을 요청할 권한이 있다.(제74조)

(5) 담당관(Competent Officer)의 의무와 권한

제76조는 담당관의 이 법에 따라 업무를 수행하도록 다음의 의무와 권한을 부여한다.

① 컨트롤러, 프로세서 또는 모든 자연인에게 이 법에 따른 행위 또는 위법 행위와 관련하여 정보를 제공하거나 문서 또는 증거를 제출하도록 서면으로 요청

② 컨트롤러, 프로세서 또는 누구든지 개인정보보호법이나 이 법에 따라 발행된 통지를 위반하거나 준수 위반으로 피해를 입히거나 범죄를 저지른 경우 사실을 조사 및 수집하고 전문가위원회에 보고

위 ②의 의무를 수행함에 있어 정보주체의 이익을 보호하거나 공익 필요성이 있는 경우, 담당관은 컨트롤러 또는 이 법에 따른 범죄에 연루된 사람의 구내에 낮에 또는 업무 시간에 들어가서 사실을 조사 및 수집하거나 문서, 증거, 범죄와 관련되거나 자료를 압수나 확보하기 위해 관할 법원의 허가를 받기 위해 관할 법원에 소장을 제출해야 한다.

top