ภาระผูกพันในการกำหนดผู้รับผิดชอบในการปกป้องข้อมูลส่วนบุคคล
การกำหนดผู้รับผิดชอบในการปกป้องข้อมูลส่วนบุคคล
- ผู้ประกอบการห้างสรรพสินค้าออนไลน์ทุกรายต้องกำหนดให้มีเจ้าหน้าที่ปกป้องข้อมูลส่วนบุคคลซึงมีหน้าที่ประมวลผลข้อมูลส่วนบุคคล(「พระราชบัญญัติส่งเสริมการใช้เครือข่ายสารสนเทศและการสื่อสารและการคุ้มครองข้อมูล」 มาตรา 31(1)).
- เจ้าหน้าที่ปกป้องข้อมูลส่วนบุคคลนี้ต้องมีตำแหน่งเป็น① เจ้าของธุรกิจหรือตัวแทนของเจ้าของ หรือ ② ผู้บริหาร(ในกรณีที่ไม่มีผู้บริหาร ให้หัวหน้าแผนกที่ดูแลเรื่องการประมวลผลข้อมูลส่วนบุคคลเป็นผู้ดูแล) (「พระราชบัญญัติส่งเสริมการใช้เครือข่ายสารสนเทศและการสื่อสารและการคุ้มครองข้อมูล」 มาตรา 31(1) และ「พระราชกฤษฎีกาใช้บังคับพระราชบัญญัติส่งเสริมการใช้เครือข่ายสารสนเทศและการสื่อสารและการคุ้มครองข้อมูล」 มาตรา 32(2) อนุวรรค 2).
ภาระผูกพันในการบังคับใช้มาตรการป้องกันสำหรับข้อมูลส่วนบุคคล
มาตรการป้องกันทางเทคนิคและทางการบริหารข้อมูลส่วนบุคคล
- ผู้ประกอบการห้างสรรพสินค้าออนไลน์ทุกราย ต้องใช้มาตรการรักษาความปลอดภัยทางเทคนิคและทางสถานที่ กำหนดแผนการความปลอดภัยเช่นแผนจัดการภายในอาคารและการเก็บบันทึกรายการผู้เข้าใช้ข้อมูล เพื่อป้องกันการสูญหาย การโจรกรรม การรั่วไหล การปลอมแปลงหรือแก้ไข หรือความเสียหายที่จะเกิดขึ้นกับข้อมูลส่วนบุคคลของผู้บริโภค และสร้างความมั่นคงปลอดภัยให้กับข้อมูลดังกล่าว (「พระราชบัญญัติส่งเสริมการใช้เครือข่ายสารสนเทศและการสื่อสารและการคุ้มครองข้อมูล」 มาตรา 29).
- ผู้ใดละเมิดข้อบัญญัตินี้ต้องโทษปรับทางปกครองไม่เกิน 30 ล้านวอน (「พระราชบัญญัติส่งเสริมการใช้เครือข่ายสารสนเทศและการสื่อสารและการคุ้มครองข้อมูล」 มาตรา 75(2) อนุวรรค 6).
ข้อห้ามเกี่ยวกับการรั่วไหลของข้อมูลส่วนบุคคล
- ผู้ประกอบการห้างสรรพสินค้าออนไลน์ซึ่งทำการประมวลผลหรือเคยประมวลผลข้อมูลส่วนบุคคลของผู้บริโภคห้ามกระทำการใด ๆ ดังต่อไปนี้ (「พระราชบัญญัติส่งเสริมการใช้เครือข่ายสารสนเทศและการสื่อสารและการคุ้มครองข้อมูล」 มาตรา 59 อนุวรรค 2 และ 3).
· การเปิดเผยข้อมูลส่วนบุคคลที่ผู้ประกอบการได้รับทราบในระหว่างการปฏิบัติกิจการหรือการส่งต่อข้อมูลส่วนบุคคลนี้ให้บุคคลอื่นโดยปราศจากการอนุญาต
· การทำความเสียหายทำลาย เปลี่ยนแปลง ปลอมแปลงหรือทำให้รั่วไหลซึ่งข้อมูลส่วนบุคคลของบุคคลอื่นโดยปราศจากการอำนาจหรือในลักษณะที่เกินขอบเขตของอำนาจที่ได้รับมา
- ผู้ใดละเมิดข้อบัญญัตินี้ ต้องโทษจำคุกไม่เกิน 5 ปี หรือปรับไม่เกิน 50 ล้านวอน (「พระราชบัญญัติส่งเสริมการใช้เครือข่ายสารสนเทศและการสื่อสารและการคุ้มครองข้อมูล」 มาตรา 71 อนุวรรค 5 และ 6).
มาตรการที่จำเป็นเพื่อรองรับการใช้ข้อมูลอย่างผิดกฎหมาย
- เมื่อผู้บริโภคได้รับหรือคาดว่าจะได้รับความเสียหายในทรัพย์สินของตน อันเป็นผลมาจากการถูกใช้ข้อมูลของตน โดยไม่ชอบด้วยกฎหมาย ผู้ประกอบการห้างสรรพสินค้าออนไลน์ ต้องใช้มาตรการดังต่อไปนี้ เช่น การยืนยันตัวตน หรือการฟื้นฟูความเสียหาย (「พระราชบัญญัติคุ้มครองผู้บริโภค ในการพาณิชย์อิเล็กทรอนิกส์」 มาตรา 11(2) และ「พระราชกำหนดการบังคับใช้กฎหมายตามพระราช บัญญัติคุ้มครองผู้บริโภคในการพาณิชย์อิเล็กทรอนิกส์」 มาตรา 12)
√ ยืนยันการใช้ข้อมูลที่ผิดกฎหมายและมอบบันทึกการทำธุรกรรมที่เกี่ยวข้องให้กับผู้บริโภคหากผู้บริโภคร้องขอ
√ ฟื้นฟูข้อมูลที่เกี่ยวข้องกับผู้บริโภคซึ่งถูกปลอมแปลงโดยการนำไปใช้อย่างผิดกฎหมาย
√ ฟื้นฟูจากความเสียหายที่เกิดจากการนำข้อมูลไปใช้อย่างผิดกฎหมาย
- หากผู้ประกอบการฯ ไม่ปฏิบัติหน้าที่ตามข้อกำหนดข้างต้น คณะกรรมการความเป็นธรรมทางการค้าอาจสั่งให้ ผู้ประกอบการดังกล่าวดำเนินการตามมาตรการแก้ไขได้ หากมีการฝ่าฝืนซ้ำแม้ว่าจะได้มีคำสั่งให้ดำเนินการตาม มาตรการแก้ไขแล้ว แต่ไม่ได้การปฏิบัติตามคำสั่ง หรือมาตรการแก้ไขเพียงอย่างเดียว ยังไม่นับว่าเพียงพอต่อการ ป้องกันความเสียหายที่จะเกิดกับผู้บริโภค หรือไม่สามารถชดใช้ความเสียหายให้กับผู้บริโภคได้ คณะกรรมการความ เป็นธรรมทางการค้า อาจสั่งให้ระงับการดำเนินธุรกิจทั้งหมดหรือบางส่วน ภายในกำหนดระยะเวลาไม่เกิน 1 ปี หรือใช้มาตรการสั่งปรับกับผู้ประกอบการได้ (「พระราชบัญญัติคุ้มครองผู้บริโภค ในการพาณิชย์อิเล็กทรอนิกส์」 มาตรา 32(1) อนุวรรค 1 มาตรา 32(4) และมาตรา 34(1))
ภาระผูกพันในการทำลายข้อมูลส่วนบุคคล
การทำลายข้อมูลส่วนบุคคลหมดเวลาการเก็บข้อมูล
- เมื่อผู้บริโภคไม่ได้มีการใช้งานข้อมูลหรือการบริการคมนาคมเป็นเวลา1ปี (ในกรณีที่ระยะเวลานั้นมีกำหนดในกฎหมายอื่นหรีอมีคำร้องจากผู้ใช้บริการให้ใช้ระยะเวลาตามกฎหรือคำร้องนั้นๆ ) ผู้ประกอบการห้างสรรพสินค้าออนไลน์ต้องทำลายข้อมูลส่วนบุคคลที่เกี่ยวข้องทันทีที่หมดเวลาการเก็บข้อมูลโดยไม่ล่าช้า หรือให้เก็บและจัดการข้อมูลนั้นแยกต่างหากจากข้อมูลส่วนบุคคลของผู้บริโภคบุคคลอื่นๆ (「พระราชบัญญัติส่งเสริมการใช้เครือข่ายสารสนเทศและการสื่อสารและการคุ้มครองข้อมูล」 บทบัญญัติของมาตรา 39-6(1) และ「พระราชกฤษฎีกาใช้บังคับพระราชบัญญัติส่งเสริมการใช้เครือข่ายสารสนเทศและการสื่อสารและการคุ้มครองข้อมูล」 มาตรา 48-5(1)).
- ผู้ประกอบการห้างสรรพสินค้าออนไลน์ต้องแจ้งผู้บริโภคด้วยการส่งไปรษณีย์อีเมล แฟกซ์ โทรศัพท์ ส่งข้อความ หรือวิธีการในลักษณะนี้ ภายใน 30 วันก่อนวันที่จะหมดเวลาการเก็บข้อมูลตามช่วงที่กล่าวไว้ข้างต้น (「พระราชบัญญัติส่งเสริมการใช้เครือข่ายสารสนเทศและการสื่อสารและการคุ้มครองข้อมูล」 มาตรา 39-6(2) และ「พระราชกฤษฎีกาใช้บังคับพระราชบัญญัติส่งเสริมการใช้เครือข่ายสารสนเทศและการสื่อสารและการคุ้มครองข้อมูล」 มาตรา 48-5(4)).
การลงโทษการละเมิด
- ผู้ใดไม่ทำลายข้อมูลส่วนบุคคลหรือไม่ใช้มาตรการที่จำเป็น เช่นการทำลายข้อมูลส่วนบุคคลจะต้องโทษปรับทางปกครองไม่เกิน 30 ล้านวอน (「พระราชบัญญัติส่งเสริมการใช้เครือข่ายสารสนเทศและการสื่อสารและการคุ้มครองข้อมูล」 มาตรา 75(2) อนุวรรค 4).