해외콘텐츠 법령정보
브라질의 게임 정책과 법제 VII - 개인정보의 수집과 동의 (2)
요약 정보
| 국가 | 브라질 | 장르 | 게임 |
|---|---|---|---|
| 기관 | (-) | 구분 | 기타 |
| 제정일 | (-) | 개정일 | (-) |
상세 정보
브라질의 게임 정책과 법제 VII
- 개인정보의 수집과 동의 (2)
1. 개인정보의 처리와 보호
1-1. 개인정보 이용내역 통지
Q. 개인정보 이용을 이용자에게 알려야하는 규정이 있는지. 있다면 어떠한 방법으로 이용자에게 통지해야 하는지? 만약 통지 수단 (이메일,
핸드폰 번호 등)이 없다면 이용 내역을 통지하지 않아도 되는지?
A. 이용자에게 개인정보 이용을 통지해야 함.
부연 설명
브라질 개인정보보호법 제9조에 따르면, 데이터 대리인은 명확하고 적절하며 명백한 방식으로 다음 사항을 제공해야 함.
이는 자유로운 접근 원칙을 준수하기 위한 규정에 명시된 기타 특성들 중 일부임.
I. 처리의 구체적인 목적
II. 처리의 유형과 기간, 상업 및 산업 비밀을 준수할 것
III. 관리자의 신원 확인
IV. 관리자의 연락처 정보
V. 관리자가 데이터를 공유하는 목적과 관련된 정보
VI. 처리를 담당할 대리인의 책임
VII. 정보주체의 권리, 특히 개인정보보호법 제18조에 명시된 권리에 대한 명확한 언급.
이 정보를 제공하는 방법에 대한 구체적인 권고 사항은 없으나, 시장 관행으로는 개인정보 처리 방침 또는 개인정보 보호 공지를 통해
이를 공개하는 것이 일반적임. 이러한 정보를 공개할 필요성은 면제되지 않으며, 사용자가 해당 조치에 접근하지 않는다는 것을 회사가
인지한 경우, 이용자가 접근할 수 있는 다른 수단을 통해 이를 제공해야 함.
1-2. 광고성 정보 (수신, 동의, 고지, 발송, 방법)
Q1. 한국의 정보통신망법과 같은 광고성 정보(이메일, 핸드폰 번호, 모바일 앱 푸쉬) 발송에 적용되는 규제가 있는지?
A. 광고정보 송신에 적용되는 규제가 존재함.
부연 설명
국가통신청(ANATEL)에 따르면 텔레마케팅 서비스(휴대전화 번호 또는 휴대전화)를 통해 광고를 발송하는 것에 적용되는 규정이 있음.
2019년 ANATEL의 결정에 따라 '전화 금지(No Me Perturbe) 국가 목록'이 만들어졌으며, 이는 통신 제품 및 서비스를 제공하는 소비자의
유선 및 이동 전화 번호를 등록하는 국가 부문별 목록임. 이 목록은 자동 급여 공제 대출 및 자동 급여 공제 신용카드 제공도 포함하게
되었으며, 다른 경제 부문의 기업들도 이 목록에 포함될 수 있음.
2021년 법률 제10413/2021호 브라질 국가통신청(ANATEL)법이 공포되어, 번호 자원 할당 운영 절차가 승인되었다.
이 기관은 브라질 전역에서 가입자가 통화를 수신할 수 있도록 하는 문자 집합인 비지리적 코드(CNG) 303을 능동적 텔레마케팅 활동에
독점적으로 사용하도록 규정하였으며, 이를 위해 다른 코드의 사용을 금지하였음. 이에 따라 발신자 코드는 사용자 단말기 화면에
0303N7N6N5N4N3N2N1 형식으로 표시되기 시작함.
또한, 법률은 능동적 텔레마케팅 활동이 전화 통화나 메시지를 통해 제품이나 서비스를 제공하는 행위에 해당한다고 명시하고 있음.
사용자의 요청에 따라 운영자는 이러한 종류의 전화를 사전에 차단해야 함.
법률 제10413/2021호에 의해 통신망은 전화를 수신하는 사용자가 발신하는 텔레마케팅 회사의 코드를 명확하게 시각화 할 수 있도록 해야
한다고 규정하고 있음. 따라서 2022년 6월부터 제품이나 서비스를 제공하는 모든 텔레마케팅 회사는 0303 코드를 사용해야 하며,
이를 통해 소비자는 발신자를 식별하고 전화를 받을지 여부를 결정할 수 있음.
국가통신청은 2022년 6월 초에 결정명령 제160/2022/COGE/SCO호를 통해 이를 결정하였으며, 이는 브라질 시장 선두 기업인
Claro S.A., Telefônica Brasil S.A., TIM S.A.를 포함한 여러 통신 서비스 제공업체들에게 다음과 같은 사항을 요구했음.
i. 기관이 할당한 번호 자원을 사용하지 않는 통화를 차단해야 하며, 이는 자체 STFC 또는 SMP 네트워크에서 발신되거나 상호 연결에서
발신되는 경우를 모두 포함한다.
ii. 인간의 다이얼링, 서비스, 통신 능력을 초과하는 대량의 통화 유발을 위한 기술적 솔루션의 사용(3초 이내에 완료되거나 끊어지는)을 번호
자원의 부적절한 사용 및 통신의 부적절한 사용으로 간주한다.
iii. 명령 이전 30일 동안 하루에 100,000건 이상의 0~3초 지속 통화를 발생시킨 사용자 목록과 해당 특성을 가진 일일 통화량 정보를
식별하여 국가통신청에 송부해야 한다.
iv. 명령 발표(2022년 6월 6일) 15일 후, 하루에 0~3초 지속되는 통화를 최소 100,000건 발신하는 사용자를 식별하고 15일 동안 해당
발신을 차단해야 한다.
v. 2주마다 차단된 사용자와 사용된 해당 번호 자원, 통신량, 통화가 차단된 날짜에 대한 보고서를 국가통신청에 송부해야 한다.
vi. 위의 (iv)와 (v)항에 언급된 결정사항은 3개월 동안 유효하다.
추가적으로, 해당 결정 명령은 통보 서비스 제공자와 확인된 위반 사용자(즉, 텔레마케팅 회사)가 조치를 준수하지 않을 경우 5천만 브라질
헤알(BRL) 이하의 벌금을 부과할 가능성을 규정하고 있음. 국가통신청 규정 외에도, 소비자보호법(법률 제8078/90호)은 마케팅에 관하여
다음과 같이 규정하고 있음.
A. 소비자는 오해를 불러일으키거나 남용적인 광고, 강압적이거나 불공정한 상업적 방법, 그리고 제품 및 서비스 제공 시 강요되거나 부당한
관행과 조항으로부터 보호받을 권리가 있다(제6조 IV목).
B. 전화 또는 우편 환불을 통한 제안이나 판매가 이루어질 경우, 제조업체의 이름과 주소는 포장, 광고 및 모든 상업 거래에 사용되는 양식에
명시해야 한다. 발신 소비자에게 비용이 발생하는 경우 소비자에게 비용이 발생하는 경우 전화로 상품 및 서비스 광고를 하는 것은
금지된다.
C. 광고는 소비자가 명확하게 식별할 수 있어야 하며, 제공자는 주장에 대한 사실적, 기술적, 과학적 데이터를 보유하여야 한다.
허위 또는 남용 광고는 엄격히 금지된다. 허위 광고는 제품이나 서비스의 성질, 특성, 가격에 대해 소비자를 기만할 수 있는 거짓 정보나
누락된 정보를 포함한다. 폭력 선동, 차별적 메시지, 공포나 어린이의 미숙함을 이용, 환경 가치를 무시하는 내용, 또는 유해하거나
안전하지 않은 소비자 행동을 조장하는 모든 콘텐츠를 포함한다. 광고의 진실성과 정확성을 입증할 책임은 광고주에게 있다
(제36조부터 제38조).
Q2. 한국의 정보통신망법과 같은 광고성 정보(이메일, 핸드폰 번호, 모바일 앱 푸쉬) 발송에 적용되는 규제가 있다면, 광고성 정보를 보낼 때
지켜야 하는 표기 의무가 있는지?
A. 소비자보호법 (법률 제8078/90호) 제33조에 따르면 전화 또는 우편 환불을 통한 제안 또는 판매의 경우, 제조업체의 이름과 주소는 포장,
광고 및 상업 거래에 사용되는 모든 양식에 명시하여야 함. 발신 소비자에게 비용이 발생하는 경우 전화를 통한 상품 및 서비스 광고는
금지됨.
부연 설명
마케팅에 관한 형사 처벌 규정은 다음과 같음.
제63조 - 제품의 유해성 또는 위험성에 대한 명시적인 단어 또는 표시를 포장, 포장지, 용기 또는 광고에 누락한 경우 벌금 – 6개월 이상
2년 이하의 구금 및 벌금. §제1항 - 제공될 서비스의 위험성에 대해 명시적인 서면 권고를 통해 경고하지 않은 자는 동일한 처벌을 받는다.
§제2항 - 범죄가 과실인 경우 벌금 – 1개월 이상 6개월 이하의 구금 또는 벌금.
Q3. 이용자에게 광고성 정보를 보내기 위한 조건은 어떻게 되는지(명시적인 사전 수신동의 등)?
A. 회사에서 사용자에게 광고를 보내는 것은 회사에서 흔히 하는 데이터 처리 활동에 해당함.
부연 설명
다른 유형들과 마찬가지로, 데이터 대리인은 데이터 처리를 지원할 적절한 법적 근거를 제시해야 함. 사용자와 이전에 연락이 있고
(사용자가 광고 콘텐츠를 받을 합리적인 기대가 있다는 판단의 근거가 되는), 광고 활동을 수행하는데 민감한 데이터가 사용되지 않는 경우,
회사는 광고 활동을 정당화하기 위해 정당한 이익을 근거로 할 수 있음. 이 경우, 사용자에게 쉽게 선택 해제할 수 있는 옵션과 데이터가 수집
될 때 이 데이터 처리 목적에 대한 명확한 투명성 조치를 취해야 함(제7조 IX목 및 제10조). 사용자와 이전에 연락이 없었던 경우,
사용자에게 광고를 보내기 위해 데이터를 수집하는 최선의 선택은 동의이며, 이 동의는 자발적이고, 통지에 기반하며, 광고 활동을
특정해야 함(제7조 I목).
1-3. 개인정보 파기
Q1. 개인정보를 파기해야 하는 의무가 있는지?
A. 브라질 개인정보보호법 제15와 제16조에 규정되어 있음.
Q2. 개인정보를 어떠한 경우에 파기해야 하는지?
A. 개인정보보호법 제15조에 따르면, (I) 목적이 달성되었거나 데이터가 더 이상 필요하지 않거나 특정 목적을 달성하는 데 적합하지 않음이
확인된 경우, (II) 처리 기간의 종료 (III) 정보주체가 동의 철회권을 행사할 때를 포함하여, 이 법 제8조의 5항에 따라 제공된 경우 공익을
고려하여 통보, (IV) 이 법의 규정을 위반하여 국가 기관이 결정한 경우 중 어느 하나에 해당하는 경우에는 개인 데이터 처리는
종료되어야 함.
Q3. 개인정보를 파기해야 한다면, 한국의 전자상거래법, 통신비밀보호법과 같이 별도의 정보를 보관하도록 하는 특별 규정이 있는지?
※ 접속기록 3개월, 표시/광고에 관한 기록 6개월, 계약 또는 청약철회 등에 관한 기록 5년, 대금 결제 및 재화공급등에 관한 기록 5년,
소비자의 불만 또는 분쟁처리에 관한 기록 3년
A. 개인정보보호법 제16조에 따르면, 개인정보는 다음의 어느 하나에 해당하는 목적을 위해 저장할 수 있음. (I) 관리자가 법적 또는 규제
의무를 준수하기 위한 경우, (II) 연구 기관이 개인 데이터를 익명화하여 연구하는 경우, (III) 이 법에서 정한 데이터 처리 요건을 준수하는
경우, (IV) 제3자의 접근이 금지되고 데이터가 익명화된 경우. 또한, 인터넷 민사 기본체계는 애플리케이션 제공자가 사용자가
애플리케이션에 접속한 후 6개월 동안 로그를 저장하도록 요구함. 다른 구체적인 상황(예: 노무, 사회 보장 관계 기타의 상황)은 각자 특정
일정을 따를 수 있으며 이는 개별적으로 분석해야 함.
1-4. 장기 미 접속 계정 휴면 처리 방법
Q. 한국의 개인정보보호법과 같이 1년간 서비스를 이용하지 않는 이용자의 개인정보를 파기 또는 분리보관 해야 하는 규제가 있는지?
A. 규정 없음.
1-5. 개인정보 처리 방침
Q1. 국내의 경우 법령에 의해서 개인정보처리방침에 필수적으로 기재해야 하는 내용이 정해져 있음. 이와 유사하게 법적으로 필수적으로
기재해야 하는 내용이 있는지? 그리고 필수는 아니지만 가이드라인 등을 통해 기재가 권장되는 내용이 있는지?
A. 개인정보처리방침에 의무적으로 기재해야 하는 사항이 있음.
부연 설명
브라질 개인정보보호법(LGPD) 제9조에 따르면 데이터 대리인은 자유로운 접근 원칙에 부합하는 다른 특징과 함께 명확하고 적절하며
명백한 방식으로 다음 사항을 규정해야 함.
I. 처리의 구체적인 목적
II. 처리의 유형과 기간, 상업 및 산업 비밀을 준수할 것
III. 관리자의 신원 확인
IV. 관리자의 연락처 정보
V. 관리자가 데이터를 공유하는 목적과 관련된 정보
VI. 처리를 수행할 대리인의 책임
VII. 정보주체의 권리, 특히 개인정보보호법 제18조에 명시된 권리에 대한 명확한 언급.
Q2. 개인정보 처리방침을 어떻게 공개해야 한다는 사실을 정한 규제가 있는지?
A. 없음.
1-6. 이용자 개인정보 권익보호방법
Q1. 이용자에게 보장해 주어야 하는 개인정보 관련 권리가 있는지(열람권, 정정권, 이동권, 처리정지권, 삭제권)?
A. 브라질 개인정보보호법 (Lei Geral de Proteção de Dados, LGPD) 제18조에 따르면 정보주체의 권리는 다음과 같음. (I) 처리 사실 확인,
(II) 데이터 접근, (III) 불완전하거나 부정확하거나 최신이 아닌 데이터의 수정, (IV) 불필요하거나 과도한 데이터 또는 이 법의 규정을
준수하지 않는 방식으로 처리된 데이터의 익명화, 차단 또는 삭제, (V) 명시적 요청에 따라 다른 서비스 제공자나 제품 제공자로 데이터의
이동, 국가 기관의 규정에 따라 상업 및 산업 비밀을 준수할 것, (VI) 데이터 주체의 동의로 처리된 개인 데이터의 삭제, 단 이 법 제16조에
명시된 상황은 예외이다, (VII) 데이터 관리자가 데이터를 공유한 공공 및 민간 기관에 대한 정보, (VIII) 동의 거부 가능성과 그 거부의 결과에
대한 정보, (IX) 이 법 제8조 제5항에 명시된 대로 동의 철회.
Q2. 개인정보 관련 권리가 있다면, 각 권리를 행사하기 위한 조건이 있는지(무제한으로 행사가능, 사업자가 합리적인 이유가 있다면 제한
가능 등)?
A. 브라질 개인정보보호법 제18조 제3항에 따르면 정보주체의 신원 또는 법정 대리인이 그의 이름으로 행동하는 경우, 요청에 응답하기 전에
신원을 확인해야 함. 만약 신원 확인이 불가능한 경우, 같은 조항의 제4항에 따르면, 관리자는 정보주체에게 다음을 설명해야 함.
(I) 자신이 데이터 처리 대리인이 아니며, 가능한 경우 대리인이 누구인지 지목해야 함, (II) 즉각적인 조치를 취할 수 없는 사실적 또는 법적
이유를 설명해야 함, 또한, 제5항에 따르면 요청은 정보 주체에게 비용부담 없이 규정된 기간과 조건 내에서 이행되어야 함.
1-7. 개인정보 침해에 대한 보상 보험 요건
Q1. 정보주체의 개인정보 관련 사고(유출, 노출, 훼손, 분실 등)가 발생될 경우 정보주체에게 고지해야 하는 의무가 있는지?
A. 브라질 개인정보보호법 제48조에 따르면 개인정보에 영향을 미치는 보안 사고로 인해 정보주체에게 관련 위험이 발생하는 경우,
브라질 데이터 보호 기관과 정보주체에게 직접 통지해야 함.
부연 설명
2024년 결의안 제15/2024호(사건 대응 조치에 대한 의무를 규정함) 제5조에 따르면, 사건이 정보주체에게 중요한 위험을 나타내기 위해
다음 측면을 고려해야 함.
제5조. 보안 사고는 데이터 주체의 이익과 기본권에 중대한 영향을 미칠 수 있으며, 다음의 어느 하나가 관여된 경우 데이터 주체에게 관련된
위험 또는 손해를 초래할 수 있다.
I. 민감한 개인정보
II. 아동, 청소년 또는 노인과 관련된 데이터
III. 금융 데이터
IV. 시스템 인증 데이터
V. 법적, 사법의 또는 전문가 비밀로 보호되는 데이터
VI. 대규모 데이터
§ 제1항 - 중대한 이익과 권리에 중대한 영향을 미칠 수 있는 보안 사고는 처리 활동이 권리 행사를 방해하거나 서비스 이용을 방해할 수
있는 상황에서 발생하며, 정보주체에게 차별, 신체적 무결성 침해, 평판과 명예권리 침해, 금융 사기 또는 신원 도용과 같은 물질적 또는
도덕적 피해를 초래할 수 있다.
§ 제2항 - 대규모 데이터 사고는 상당수의 정보주체가 관여되는 것을 말하며, 이때 데이터의 양, 지속 시간, 빈도 및 데이터 주체의 지리적
범위를 고려한다.
§ 제3항 - 브라질 개인정보 보호국은 정보주체에게 중대한 위험이나 손해를 초래할 수 있는 사건을 평가하는 데 있어 처리 대리인을
지원하기 위한 지침을 발표할 수 있다.
Q2. 정보주체에게 고지 의무가 있다면, 몇 명 이상의 개인정보 사고 시 그러한 의무가 부과되는지, 고지 방법이 규정되어 있는지[홈페이지에
사고 사실 공개, 개별 연락 (이메일, 전화 등)]?
A. 개인정보 사고의 통지 의무는 특정한 사고 수에 따라 발생되지는 않음. 어떤 사고이든 해당 사고가 정보주체에게 관련된 위험을 시사하는
경우 당국과 데이터 주체에게 통지할 의무가 발생할 수 있음.
부연 설명
데이터 주체에 대한 통지 방법에 관해서는, 브라질 데이터 보호 기관의 결의안 제15/2024호에 따르면 사고가 개인정보에 영향을 미쳤음을
인지한 시점부터 3영업일 이내에 통지를 해야 한다고 규정하고 있음.
(1) 이때 다음 정보를 공개한다.
(a) 영향을 받은 개인정보의 성격과 범주에 대한 설명, (b) 상업 및 산업 비밀을 고려하여 데이터 보호를 위해 사용된 기술 및 보안 조치,
(c) 정보주체에 미칠 수 있는 잠재적 영향을 특정하여 사건과 관련된 위험, (d) 이 조항의 본문에 명시된 시간 내에 통지가 이루어지지 않은
경우 지연 사유, (e) 적절한 경우, 사건의 영향을 치유하거나 완화하기 위해 채택된 또는 채택될 조치, (f) 보안 사건을 인지한 날짜,
(g) 정보를 얻을 수 있는 연락처 및 해당되는 경우 담당자 연락처
(2) 다음 기준을 채택한다.
(a) 간단하고 이해하기 쉬운 언어를 사용한다, (b) 각 데이터 주체를 식별할 수 있는 경우, 컨트롤러가 보유자에게 연락하기 위해 일반적으로
사용하는 전화, 이메일, 전자 메시지 또는 편지와 같은 수단을 사용하여 개별적이고 직접적인 방법으로 소통한다.
(3) 직접적이고 개별적인 소통이 불가능하거나 영향을 받은 보유자를 부분적으로 또는 전체적으로 식별할 수 없는 경우, 관리자는 사건 발생
사실을 정해진 시간 내에, 그리고 본문에서 정의된 정보와 함께, 웹사이트, 애플리케이션, SNS 및 보유자에 대한 서비스 제공 채널과 같은
가용한 공개 수단을 통해 통보해야 한다. 이 통보는 최소한 3개월 동안 직접적이고 쉬운 시각화 그래픽 과 함께 널리 알릴 수 있도록
공개해야 한다.
Q3. 정보주체에게 고지해야 할 경우 고지 시간이 규정되어 있는지(사고 사실을 인지한 순간부터 1주일 이내 등)?
A. 결의안 제15/2024호에 따르면, 사건이 개인정보에 영향을 미쳤음을 인지한 후 3영업일 이내에 통지를 해야 함.
Q4. 정보주체의 개인정보 관련 사고(유출, 노출, 훼손, 분실 등)가 발생될 경우 관계당국에 신고해야 하는 의무가 있는지?
A. 개인정보보호법 제48조에 따르면, 개인정보에 영향을 미치는 보안 사고로 인해 정보주체에게 관련 위험이 발생하는 경우, 브라질 데이터
보호 기관과 정보주체에게 직접 통지해야 함.
Q5. 신고 의무가 있다면 몇 명 이상의 개인정보 사고 시 그러한 의무가 부과되는지? 신고 시간이 정해져 있는지(사고 사실을 인지한 순간부터
1주일 이내 등)?
A. 개인정보 사고가 발생했을 때 사고 수를 기준으로 통지 의무가 발생하지는 않음. 모든 사고는 해당 사고가 정보주체에게 관련된 위험을
시사하는 경우 관리자가 당국과 데이터 주체에게 통지할 의무를 발생시킬 수 있음.
부연 설명
통지 방법에 관해서는, 2024년 제15호 결의안(Resolution n. 15/2024) 제6조에 따르면, 관리자가 개인 데이터 사고가 발생한 것을 인지한
시점부터 3영업일 이내에 통지를 수행해야 함. 이는 특정 법률에 규정된 보고 기한이 존재하는 경우에 적용됨.
(1) 통보는 다음과 같은 내용을 공개해야 한다.
(a) 영향을 받는 개인정보의 성격과 범주에 대한 설명, (b) 영향을 받는 정보주체의 수를 상세히 설명하며, 해당 상황이 있는 경우 아동,
청소년 또는 노인의 수를 특정, (c) 상업 및 산업 비밀을 적절히 고려하여 채택된 개인정보를 보호하기 위한 기술적 및 보안 조치, (d) 사고와
관련된 위험을 식별하고, 정보주체에 미칠 수 있는 영향을 확인, (e) 본 조항에서 정한 기간 내에 통보가 이루어지지 않은 경우의 지연 사유,
(f) 소유자에게 미칠 사고의 영향을 치유하거나 완화하기 위해 채택된 또는 채택될 조치, (g) 사고가 발생한 날짜(확인 가능한 경우) 및
관리자가 인지한 날짜, (h) 책임자 또는 관리자를 대표하는 자의 세부 사항, (i) 관리자의 신원 및 소규모 처리 대리인임을 선언하는 경우
해당 내용, (j) 해당하는 경우 운영자의 신원, (k) 주요 원인을 식별 가능한 경우 이를 포함하여 사고에 대한 설명, (l) 사고로 영향을 받는 처리
활동에서 처리되는 정보주체의 총 수.
해당 정보는 통보로부터 20영업일 이내에 합리적인 방식으로 보완해야 할 수 있음.
보안 사고를 보고하려면 브라질 개인정보 보호국이 제공하는 전자 양식을 사용해야 함. 보안 사고 보고는 관리인을 대리인을 통해 계약,
고용 또는 기능적 관계를 증명하는 문서를 첨 부하여 제출해야 하며, 또는 관리인이 담당자를 통해 계약, 고용 또는 기능적 관계를 증명하는
문서를 첨부하여 브라질 개인정보 보호국에 제출해야 함.
위에서 언급한 문서들은 이 조항의 제목에 명시된 기한 내에 보안 사고 보고서와 함께 제출해야 함.
1-8. 데이터 침해에 대한 보상
Q. 한국은 개인정보보호법 제39조의9(손해배상의 보장)에 따라 손해배상책임의 이행을 위해 보험 또는 공제에 가입하거나 준비금을 적립하는
등 필요한 조치를 하여야 함. 이와 유사한 규제가 있는지?
A. 보험 가입 규정 따로 없음.
1-9. 개인정보 유출 손해 배상 보험
Q. 개인정보 규제(법령)를 위반하거나 개인정보 사고가 발생된 경우 과태료, 과징금 등은 최대 얼마까지 부과되는지?
A. 브라질 개인정보보호법 제52조 및 결의안 제4/2023호에 따르면 과태료는 법인, 그룹 또는 기업 집단의 전년도 매출액의 2% 이하이며,
세금을 제외하고 50,000,000.00 헤알(오천만 헤 알) 이하임. 그러나 벌금만이 유일한 제재가 아니라는 점이 중요함. 위반 상황에 따라
적용될 다른 제재도 있음.
부연 설명
브라질 데이터 보호 기관은 적절한 양형에 다음 사항을 고려함(결의안 제4/2023호, 제7조)
(i) 위반의 심각성과 성격 및 영향을 받은 개인 권리, (ii) 위반자의 선의, (iii) 위반자가 얻은 또는 의도한 이익, (iv) 위반자의 경제적 상황,
(v) 특정 범죄 재범 여부, (vi) 일반 재범 여부, (vii) 이 규정의 부록 I에 따른 피해 정도, (viii) 위반자의 협력, (ix) 개인정보보호법에 부합하는
방식으로 데이터의 안전하고 적절한 처리를 목표로 하는 내부 체계 및 절차의 반복적인 채택 입증, (x) 모범 사례 및 거버넌스 정책의 채택,
(xi) 신속한 시정 조치의 채택, (xii) 과실의 심각성 과 제재의 강도 간의 비례성
2023년 제4호 결의안에 명시된 바와 같이, 브라질 개인정보 보호국(ANPD)은 다음과 같은 경 우에 단순 벌금을 부과함.
1. 위반자가 정해진 기한 내에 예방 또는 시정 조치를 준수하지 않는 경우, 2. 위반이 심각한 것으로 분류되는 경우, 3. 위반의 성격, 데이터
처리 활동, 또는 사건의 특정 상황으로 인해 다른 제재가 적절하지 않다고 판단되는 경우
과태료 금액의 결정은 다음 요소를 기반으로 함.
(a) 위반의 분류, (b) 제재 이전의 최근 회계 연도에서 법률에 따른 부문의 회사를 제외한 위반자의 특정 세금을 제외한 수익 금액,
(c) 위반으로 인한 피해 정도 - 특정 분야의 관련 법률이 적용되는 회사의 경우, 수익은 특정 상황에 따라 조정될 수 있음, (d) 위반자가
정확하거나 완전한 문서를 제출하지 않을 경우, 브라질 개인 정보 보호국은 미리 정의된 절대값 범위를 기반으로 수익을 추정할 수 있음
결의안 제4호는 벌금을 증가시킬 수 있는 여러 가중 상황을 규정하고 있음.
(a) 특정 재발의 경우 벌금을 40% 이하 증액 가능, (b) 일반 재발의 경우 벌금을 20% 이하 증액 가능, (c) 예방 또는 시정 조치의 불이행의
경우 벌금을 90% 이하 증액 가능
반대로, 경감 사유는 벌금을 줄일 수 있음. 예시는 다음과 같음.
(a) 위반 행위가 진행되는 과정에서 중단된 경우 75% 이하 벌금 감액 가능, (b) 정보주체에게 피해를 최소화하는 거버넌스 선관행이나
체계를 채택한 경우 20% 이하 벌금 감액 가능, (c) 위반자가 협력하거나 선의로 행동을 입증한 경우 벌금 5% 감액
추가적으로, 브라질 개인정보 보호국은 비금전적 제재의 준수를 보장하기 위해 일일 벌금을 부과할 수 있으며, 이는 위반 당 최대 한도에
따라 결정됨. 요약하자면, 브라질 개인정보 보호국 이 부과하는 벌금은 위반의 심각성, 위반자의 수익, 그리고 절차 전후의 행위를 고려한
상세한 기준에 따라 계산됨. 최종 금액은 가중 및 경감 요인에 따라 조정하여, 위반의 중대성과 위반자의 행위에 비례한 처벌이
이루어지도록 함.
링크
(-)
- Helpdesk1566-9984 welcon@kocca.kr
- 본 페이지에 게시된 이메일 주소가 자동 수집되는 것을 거부하며, 이를 위반시 정보통신법에 의해 처벌됨을 유념하시기 바랍니다.
58326 전라남도 나주시 교육길 35 (빛가람동 351) 한국콘텐츠진흥원 사업자등록번호 105-82-17272 - Copyright 2020. Korea Creative Content Agency All rights reserved.
