[법률상식] 태국 개인정보보호위원회의 과징금 부과

[법률상식] 태국 개인정보보호위원회의 과징금 부과

최근 태국 기인정보보호위원회(PDPC)는 다섯 건의사건에서 총 여덟 건의 과징금을 부과했다고 발표했습니다. 이번 제재는 국영기관부터 병원, 유통사, 화장품 회사, 완구업체까 지 다양한 분야에 걸쳐 이루어졌으며, 과징금 총액은 약 2,150만 바트(한화 약 9억 원)에 달합니다. 이는 태국에 서 개인정보보호법(PDPA, Personal Data Protection Act B.E. 2562 (2019))이 형식적인 선언이 아니라 실효적으로 집행되는 규제임을 보여주는 사례라 할 수 있습니다.

첫 번째 사건은 한 국가기관의 온라인 서비스에 대한 것입니다. 해당 기관의 웹 애플리케이션이 사이버 공격을 받아 약 20만 명의 개인정보가 다크웹에 유출·판매된 것입니다. 조사 결과, 개인정보보호 설계가 전혀 이루어지지 않았 고, 접근통제 체계와 보안점검·위험평가도 부재했으며, 개발사와 개인정보처리위탁계약조차 맺지 않았던 것으로 드러났습니다. 이 기관과 개발사는 각각 15만 3,120바트(약 467만 원)의 과징금을 부과받았습니다. 이는 공공기 관도 예외가 아님을 보여주는 대표적 사례로, 한국 기업이 태국 정부 프로젝트에 참여하거나 공공기관 시스템을 개발할 때에도 설계 단계부터 개인정보 처리에 대한 보안조치를 마련하지 않으면 책임을 면하기 어렵다는 점을 시사 합니다.

두 번째 사건은 민간병원에서 발생했습니다. 병원은 환자의 진료기록 파기를 외부 계약자에게 위탁했는데, 이 계약 자가 문서를 자택에 보관하다가 사탕 포장지로 재사용하는 바람에 1,000건 이상의 기록이 SNS를 통해 노출되었 습니다. 병원은 위탁 계약을 체결했음에도 불구하고, 실제 파기 과정에 대한 위탁자인 개인정보 처리자의 관리·감독 의무를 소홀히 한 책임을 물어 121만 바트(약 3,688만 원)의 과징금을 받았고, 처리수탁자인 위탁업체 역시 개인정 보 처리 규정 위반으로 1만 6,940바트PPM약 51만 원PR를 부과받았습니다. 위탁업체의 과실이라도 최종 책임은 개인정 보처리자(병원)에 있다는 점을 명확히 한 사례입니다. 기업들도 문서 파기나 데이터 삭제를 외부에 맡길 경우 계약 서만으로는 충분하지 않으며, 개인정보처리자로서 현장 점검과 관리 프로세스를 반드시 마련해야 할 것입니다.

세 번째 사건은 대형 전자제품 유통사에서 벌어졌습니다. 고객 100명 이상이 콜센터 사기 피해를 입은 후 집단 민원 을 제기했는데, 해당 회사는 유출 후에도 PDPA가 정한 기간 내에 피해자 보호 및 구제 조치를 취하지 않았습니다. 조사 결과, 보안조치 부실뿐 아니라 개인정보 보호책임자PPMDPOPR를 선임하지 않은 점도 확인되었습니다. 이에 따라 회사는 700만 바트(약 2억 1,338만 원)라는 가장 큰 금액의 과징금을 부과받았습니다. 이는 기업 규모와 매출이 과징금 산정에 반영될 수 있다는 점을 보여주며, 기업들이 태국 진출 시 개인정보 처리를 하는 사업의 경우 DPO를 지정하고 이에 그치지 않고 실질적 개인정보 관리 체계를 운영해야 한다는 점을 시사합니다.

네 번째 사건은 화장품 회사에서 발생했습니다. 이 회사는 고객 개인정보가 콜센터 사기 조직으로 유출되는 사고가 발생했음에도 불구하고, 적절한 보안조치를 마련하지 않았고, 침해사고를 PDPC에 즉시 통보하지 않았습니다. 다만 피해자 구제는 이루어졌으나, 법상 통지의무를 소홀히 한 점이 문제로 지적되어 250만 바트(약 7,621만 원)의 과징금이 부과되었습니다. 이는 태국에서 온라인 마케팅이나 고객 데이터 수집하고 처리하면서 발생할 수 있는 불가피한 침해사고 시에도 통지의무를 반드시 숙지해야 할 것입니다.

다섯 번째 사건은 수집형 장난감 회사의 예약시스템에서 발생했습니다. 회사는 외부 데이터 처리업체에 예약시스 템 관리를 맡겼는데, 시스템이 약 10분간 무단 접근을 받아 20만 건의 개인정보가 불법 수정되는 사고가 있었습니 다. 본사는 즉시 피해자 보호조치를 취했으나, 개인정보 처리수탁자인 데이터 처리업체가 사고를 신속히 차단하지 도, 개인정보처리PPM책임PR자인 회사에 통지하지도 않았습니다. 이로 인해 위 회사는 50만 바트(약 1,524만 원), 데이터 처리업체는 300만 바트(약 9,145만 원)의 과징금을 각각 부과받았습니다. 기업이 IT 아웃소싱 계약 시 개인정 보 처리 수탁회사에게 침해사고 통지 및 대응에 대한 교육을 철저히 하고 관리 책임을 질 수 있다는 점을 인지해야 합니다.

이 다섯 사건은 모두 세 가지 공통된 위반사항을 드러냅니다. 첫째, 개인정보 처리 위탁 시, 개인정보 처리 수탁자에 대한 적절한 보안조치와 정기적인 점검을 하지 않았다는 점, 둘째, 개인정보 침해사고가 발생했습에도 감독당국과 정보주체자에게 즉시 통보하지 않았다는 점, 셋째, DPO를 선임하지 않았거나 형힉적으로만 두었다는 점입니다.

태국 개인정보보호법은 다음과 같이 주요 의무를 규정하고 있습니다.

• 제37조: 개인정보처리자PPMData ControllerPR는 적절한 보안조치를 마련하고 개인정보 처리과정 전반에 대한 책임을 진다.
• 제40조: 개인정보처리자는 개인정보 침해사고 발생 시 지체 없이 감독기관과 정보주체에게 통지해야 한다.
• 제41조: 개인정보처리자는 일정 요건에 해당하는 경우 반드시 개인정보 보호책임자PPMDPOPR를 지정해야 한다.
  
  

이를 위반할 경우 제79조 이하에 따라 수백만 바트에 이르는 과징금이 부과될 수 있습니다.

이번 집행은 PDPC가 표방하는 "제로 데이터 브리치(Zero Data Breach)" 정책이 단순한 선언이 아니라 실질적 규제 기준으로 작동하고 있음을 확인시켜 줍니다. 한국 기업들은 태국 진출 시 서류상 규정 준수에만 그칠 것이 아니라, 데이터 파기 절차, 위탁업체 관리, 사고 대응 프로세스까지 실질적으로 작동하는 내부통제 체계를 구축해야 합니다.

법무법인 디엘지는 태국 외국인사업법(FBA) 및 개인정보보호법(PDPA)을 아우르는 현지 규제 리스크 진단, 계약 구조 설계, 내부통제 프로세스 구축을 지원해 드리고 있습니다. 태국 진출을 계획하거나 이미 진출한 기업이라면 이번 사례를 계기로 개인정보 처리관련 내부 규정과 실무 운영 방식을 점검하시기를 권유드립니다.

[출처: DLG']