아주 단단히 이해하고 외워야 하는 법이다. 본인이 숙지하기 쉽도록 많은 부분을 생략하고 편집했으며, 각각의 개인정보 처리 범주는 임의로 분류했으니 정확한 내용은 법령 원문 확인이 필요하다.
1. 일반
제2조(정의)
이 법에서 사용하는 용어의 뜻은 다음과 같다.
1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다)
1의2. “가명처리”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.
2. “처리”란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.
3. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
4. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
5. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
6. “공공기관”이란 다음 각 목의 기관을 말한다.
가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체
나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관
7. “고정형 영상정보처리기기”란 일정한 공간에 설치되어 지속적 또는 주기적으로 사람 또는 사물의 영상 등을 촬영하거나 이를 유ㆍ무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다.
7의2. “이동형 영상정보처리기기”란 사람이 신체에 착용 또는 휴대하거나 이동 가능한 물체에 부착 또는 거치(据置)하여 사람 또는 사물의 영상 등을 촬영하거나 이를 유ㆍ무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다.
정의된 용어를 잘 알아야 다른 조항을 봐도 헷갈리지 않는다.
1. 개인정보: 살아있는 개인을 식별할 수 있는 정보
- 결합하여 식별 가능성이 있는 정보와 가명정보를 포함 (가명처리: 일부를 삭제 / 일부 또는 전부를 대체)
2. 개인정보처리자: 업무를 목적으로 개인정보를 처리하는 자
3. 공공기관: 국법헌중의 행정사무 처리 기관, 중앙행정기관, 지방자치단체
제3조(개인정보 보호 원칙)
① 개인정보의 처리 목적을 명확화 + 목적범위 내 최소한의 개인정보만을 적법하고 정당하게 수집
② 목적 외의 용도로 활용 X
③ 개인정보의 정확성, 완전성 및 최신성을 보장
④ 개인정보를 안전하게 관리
⑤ 정보주체의 권리를 보장(개인정보 처리방침 공개 + 열람청구 보장 등)
⑥ 사생활 침해를 최소화하는 방법으로 개인정보를 처리
⑦ 익명 또는 가명으로 처리
⑧ 법령 상 책임과 의무를 준수하고 실천
개인정보 보호 원칙은 개인정보 보호의 기반이므로 충분히 숙지해야 한다
개인적으로는 1번과 2번 항목이 헷갈리는데, 1번은 최소한의 개인정보를 수집해야 한다는 취지이며, 2번은 수집 목적에 맞는 용도로만 써야 한다는 취지이다.
제4조(정보주체의 권리)
정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다.
1. 개인정보의 처리에 관한 정보를 제공받을 권리
2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
3. 개인정보의 처리 여부를 확인하고 개인정보에 대한 열람(사본의 발급을 포함한다. 이하 같다) 및 전송을 요구할 권리
4. 개인정보의 처리 정지, 정정ㆍ삭제 및 파기를 요구할 권리
5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리
6. 완전히 자동화된 개인정보 처리에 따른 결정을 거부하거나 그에 대한 설명 등을 요구할 권리
제11조의2(개인정보 보호수준 평가)
① 보호위원회는 공공기관 중 중앙행정기관 및 그 소속기관, 지방자치단체, 그 밖에 대통령령으로 정하는 기관을 대상으로 매년 개인정보 보호 정책ㆍ업무의 수행 및 이 법에 따른 의무의 준수 여부 등을 평가(이하 “개인정보 보호수준 평가”라 한다)하여야 한다.
② 보호위원회는 개인정보 보호수준 평가에 필요한 경우 해당 공공기관의 장에게 관련 자료를 제출하게 할 수 있다.
③ 보호위원회는 개인정보 보호수준 평가의 결과를 인터넷 홈페이지 등을 통하여 공개할 수 있다.
1. 평가 주기: 매년
2. 평가 대상: 공공기관, 공기업
또는 특수법인 및 학교 중 아래 중 하나에 해당하는 경우
1) 5만명 이상의 민감정보 또는 고유식별정보 처리
2) 100만명 이상의 개인정보 처리
3) 최근 3년간 개인정보 침해사고 2회 이상 또는 과징금/과태료 1회이상
4) 그 밖에 개인정보 침해 우려가 크다고 판단되는 경우
일부 공공기관에 대해서 개인정보 보호수준을 평가를 할 수 있도록 하는 조항이다. 침해사고가 많이 발생했거나 침해 우려가 큰 케이스(개인정보 이슈가 발생했을 경우)에 대해 시행할 수 있다는 점을 기억해야 할 것 같다.
제28조(개인정보취급자에 대한 감독)
① 개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 자(이하 “개인정보취급자”라 한다)의 범위를 최소한으로 제한하고, 개인정보취급자에 대하여 적절한 관리ㆍ감독을 하여야 한다.
② 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다.
파견, 파트타이머도 개인정보취급자로 간주될 수 있다. 또한 정기적인 필요한 교육을 실시해야 한다는 문구도 중요하다.
- 정기적: 일정 주기마다 정해진 시기에 교육을 계획적으로 진행해야 함 (매년, 매 반기 등)
- 필요한 교육: 개인정보취급자가 개인정보를 적절히 취급할 수 있도록 하는 목적과 관련이 있는 내용이어야 함
제31조(개인정보 보호책임자의 지정 등)
① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다. 다만, 종업원 수, 매출액 등이 대통령령으로 정하는 기준에 해당하는 개인정보처리자의 경우에는 지정하지 아니할 수 있다.
>> 소상공인은 개인정보 보호책임자 지정 의무 없음
개인정보 보호책임자 지정 요건(시행령 제32조3항)
1. 공공기관
1 국법헌중 행정사무 처리 기관 및 중앙행정기관 고위공무원 2 기관장: 정무직공무원 3급 이상 3 기관장: 고위공무원, 3급 공무원 4급 이상 4 상기 3개 외 국가기관 개인정보 처리 담당 부서장 5 시ㆍ도 및 시ㆍ도 교육청 3급 이상 6 시ㆍ군 및 자치구 4급 이상 7 학교 행정사무 총괄하는 자 8 그 외 공공기관 개인정보 처리 담당 부서장
2. 공공기관 외
1) 사업주 또는 대표자
2) 임원(임원이 없을 경우에는 개인정보 처리 담당 부서장)
3. 개인정보 보호책임자 추가 자격요건
1) 자격 적용기준
- 연간 매출액 1500억 이상 + 5만명 이상 민감정보/고유식별정보 처리
- 연간 매출액 1500억 이상 + 100만명 이상 개인정보 처리
- 직전 연도 재학생 2만명 이상 대학교
- 상급종합병원
- 공공시스템운영기관
2) 자격 요건
- 개인정보보호, 정보보호, 정보기술 경력을 총 4년 이상 보유
- 개인정보보호 경력은 최소 2년 이상 필수
3) 경력 대체요건
- 박사: 해당 경력 2년
- 석사: 해당 경력 1년
- 학사: 해당 경력 6개월
② 제1항 단서에 따라 개인정보 보호책임자를 지정하지 아니하는 경우에는 개인정보처리자의 사업주 또는 대표자가 개인정보 보호책임자가 된다.
>> 해당 조항으로 인해 모든 개인정보처리자에는 개인정보 보호책임자가 존재함
③ 개인정보 보호책임자는 다음 각 호의 업무를 수행한다. (7~9조는 시행령 제32조2항)
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리ㆍ감독
7. 개인정보 처리방침 관리
8. 개인정보 처리와 관련된 인적ㆍ물적 자원 및 정보의 관리
9. 개인정보 파기
④ 개인정보 보호책임자는 제3항 각 호의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다.
⑤ 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고하여야 한다.
⑥ 개인정보처리자는 개인정보 보호책임자가 제3항 각 호의 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 되며, 개인정보 보호책임자가 업무를 독립적으로 수행할 수 있도록 보장하여야 한다.
⑦ 개인정보처리자는 개인정보의 안전한 처리 및 보호, 정보의 교류, 그 밖에 대통령령으로 정하는 공동의 사업을 수행하기 위하여 제1항에 따른 개인정보 보호책임자를 구성원으로 하는 개인정보 보호책임자 협의회를 구성ㆍ운영할 수 있다.
⑧ 보호위원회는 제7항에 따른 개인정보 보호책임자 협의회의 활동에 필요한 지원을 할 수 있다.
⑨ 제1항에 따른 개인정보 보호책임자의 자격요건, 제3항에 따른 업무 및 제6항에 따른 독립성 보장 등에 필요한 사항은 매출액, 개인정보의 보유 규모 등을 고려하여 대통령령으로 정한다.
개인정보 보호책임자 자격요건은 헷갈리는 부분이며, 철저히 알아둬야 한다. 개인정보 보호책임자의 업무 내용도 마찬가지이다.
법 4항부터는 굳이 암기하지 않고, 내용의 이해만 하면 될 것 같다.
2. 수집
제15조(개인정보의 수집ㆍ이용)
① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정 또는 법령상 의무
3. 공공기관 소관 업무
4. 정보주체와 체결한 계약을 이행하거나 계약을 체결
5. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익
6. 개인정보처리자의 정당한 이익
7. 공중위생 등 공공의 안전과 안녕
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보의 수집ㆍ이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
③ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다.
>> 고려사항
1) 수집 목적과의 관련성
2) 추가적인 이용/제공 예측 가능성
3) 정보주체 이익 침해여부
4) 가명처리 또는 암호화 등 안전성 확보조치 여부
** 지속적으로 추가 이용 시 개인정보 처리방침에 공개해야 함
개인정보보호법의 시작이자 끝이다. 굳이 기억해내려고 노력하지 않아도 달달 나올 정도로 잘 알아둬야 한다.
개인적으로 특히 헷갈리는 내용은 아래와 같다.
1. 개인정보 수집 동의항목의 변경이 있을 때에도 동의를 받아야 한다는 점
2. 동의 없이 개인정보를 추가 이용할 수 있는 조건
3. 동의 없이 개인정보를 지속적으로 추가 이용할 경우 개인정보 처리방침에 공개해야 한다는 점
제16조(개인정보의 수집 제한)
① 목적에 필요한 최소한의 개인정보를 수집하여야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.
② 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리고 개인정보를 수집하여야 한다. (동의받지 않고 수집 가능한 경우에는 정보주체에게 알리지 않고 수집할 수 있으므로 해당되지 않음)
③ 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다.
최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담해야 한다는 점이 중요하다.
또한 최소한의 개인정보 외의 개인정보 수집에 동의하지 않을 수 있다는 점이 개인정보 수집 동의 양식에서 언급되는지 꼭 확인해야 한다. 동의받지 않고 수집 가능한 경우(법 제15조1항2호~7호)는 정보주체에게 알리지 않아도 된다.
제22조(동의를 받는 방법)
① 개인정보처리자는 이 법에 따른 개인정보의 처리에 대하여 정보주체(제22조의2제1항에 따른 법정대리인을 포함한다. 이하 이 조에서 같다)의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다. 이 경우 다음 각 호의 경우에는 동의 사항을 구분하여 각각 동의를 받아야 한다.
1. 정보주체 동의 하 수집 (제15조제1항제1호)
2. 정보주체 동의 하 제공 (제17조제1항제1호)
3. 개인정보 목적 외 이용 및 제공 (제18조제2항제1호)
4. 개인정보 제공받은 자의 목적 외 이용 및 제공 (제19조제1호)
5. 민감정보 처리 (제23조제1항제1호)
6. 고유식별정보 처리 (제24조제1항제1호)
7. 재화나 서비스를 홍보하거나 판매를 권유 목적
② 개인정보처리자는 제1항의 동의를 서면(전자문서 포함)으로 받을 때에는 개인정보의 수집ㆍ이용 목적, 수집ㆍ이용하려는 개인정보의 항목 등 대통령령으로 정하는 중요한 내용을 보호위원회가 고시로 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 하여야 한다.
③ 개인정보처리자는 정보주체의 동의 없이 처리할 수 있는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 제30조제2항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 정보주체에게 알려야 한다. 이 경우 동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보처리자가 부담한다.
⑤ 개인정보처리자는 정보주체가 선택적으로 동의할 수 있는 사항을 동의하지 아니하거나 제1항제3호 및 제7호에 따른 동의를 하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다.
동의받는 방법(시행령 제17조)
1. 동의 조건
- 자유로운 의사에 따라 동의여부 결정 (필요 시 거부가 가능해야 함)
- 동의받는 내용이 구체적이고 명확해야 함
- 쉽게 이해할 수 있는 문구 사용
- 동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공
2. 동의 방법
- 서면 발급/우편/팩스 → 정보주체 서명한 동의서 회신
- 전화
- 인터넷 홈페이지 → 정보주체 동의 여부 표시
- 전자우편
3. 중요한 내용 (밑줄, 굵기, 색깔 등으로 구분하여 표시)
- 홍보/판매권유 연락 가능성
- 민감정보/고유식별정보(주민번호 제외) 처리여부
- 보유 및 이용기간 (제공 시에는 제공받는 자의 보유 및 이용기간)
- 제공받는 자 및 제공받는 자의 처리목적
시행령 및 관련 고시의 내용이 아주 중요하다.
특히 "중요한 내용"이 무엇인지 정확히 알고, 개인정보 수집 동의 양식에서 명확하게 구분되어 표시되어 있는지를 알 수 있어야 한다.
제25조(고정형 영상정보처리기기의 설치ㆍ운영 제한)
① 누구든지 다음 각 호의 경우를 제외하고는 공개된 장소에 고정형 영상정보처리기기를 설치ㆍ운영하여서는 아니 된다.
1. 법령에서 구체적으로 허용하고 있는 경우
2. 범죄의 예방 및 수사를 위하여 필요한 경우
3. 시설의 안전 및 관리, 화재 예방을 위하여 정당한 권한을 가진 자가 설치ㆍ운영하는 경우
4. 교통단속을 위하여 정당한 권한을 가진 자가 설치ㆍ운영하는 경우
5. 교통정보의 수집ㆍ분석 및 제공을 위하여 정당한 권한을 가진 자가 설치ㆍ운영하는 경우
6. 촬영된 영상정보를 저장하지 아니하는 경우로서 대통령령으로 정하는 경우 (통계값 산출)
② 누구든지 불특정 다수가 이용하는 목욕실, 화장실, 발한실(發汗室), 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있도록 고정형 영상정보처리기기를 설치ㆍ운영하여서는 아니 된다. 다만, 교도소, 정신보건 시설 등 법령에 근거하여 사람을 구금하거나 보호하는 시설로서 대통령령으로 정하는 시설에 대하여는 그러하지 아니하다.
③ 제1항 각 호에 따라 고정형 영상정보처리기기를 설치ㆍ운영하려는 공공기관의 장과 제2항 단서에 따라 고정형 영상정보처리기기를 설치ㆍ운영하려는 자는 공청회ㆍ설명회의 개최 등 대통령령으로 정하는 절차를 거쳐 관계 전문가 및 이해관계인의 의견을 수렴하여야 한다.
④ 제1항 각 호에 따라 고정형 영상정보처리기기를 설치ㆍ운영하는 자(이하 “고정형영상정보처리기기운영자”라 한다)는 정보주체가 쉽게 인식할 수 있도록 다음 각 호의 사항이 포함된 안내판을 설치하는 등 필요한 조치를 하여야 한다. 다만, 「군사기지 및 군사시설 보호법」 제2조제2호에 따른 군사시설, 「통합방위법」 제2조제13호에 따른 국가중요시설, 그 밖에 대통령령으로 정하는 시설의 경우에는 그러하지 아니하다.
1. 설치 목적 및 장소
2. 촬영 범위 및 시간
3. 관리책임자의 연락처
4. 그 밖에 대통령령으로 정하는 사항 (수탁자 연락처)
>> 산불예방, 교통단속은 안내판 설치하는 대신 인터넷 사이트에 공지 가능
⑤ 고정형영상정보처리기기운영자는 고정형 영상정보처리기기의 설치 목적과 다른 목적으로 고정형 영상정보처리기기를 임의로 조작하거나 다른 곳을 비춰서는 아니 되며, 녹음기능은 사용할 수 없다.
⑥ 고정형영상정보처리기기운영자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 제29조에 따라 안전성 확보에 필요한 조치를 하여야 한다.
⑦ 고정형영상정보처리기기운영자는 대통령령으로 정하는 바에 따라 고정형 영상정보처리기기 운영ㆍ관리 방침을 마련하여야 한다. 다만, 제30조에 따른 개인정보 처리방침을 정할 때 고정형 영상정보처리기기 운영ㆍ관리에 관한 사항을 포함시킨 경우에는 고정형 영상정보처리기기 운영ㆍ관리 방침을 마련하지 아니할 수 있다.
고정형 영상정보처리기기 운영ㆍ관리 방침(시행령 제25조)
>> 아래의 내용을 포함해야 함
1. 고정형 영상정보처리기기의 설치 근거 및 설치 목적
2. 고정형 영상정보처리기기의 설치 대수, 설치 위치 및 촬영 범위
3. 관리책임자, 담당 부서 및 영상정보에 대한 접근 권한이 있는 사람
4. 영상정보의 촬영시간, 보관기간, 보관장소 및 처리방법
5. 고정형영상정보처리기기운영자의 영상정보 확인 방법 및 장소
6. 정보주체의 영상정보 열람 등 요구에 대한 조치
7. 영상정보 보호를 위한 기술적ㆍ관리적 및 물리적 조치
8. 그 밖에 고정형 영상정보처리기기의 설치ㆍ운영 및 관리에 필요한 사항
⑧ 고정형영상정보처리기기운영자는 고정형 영상정보처리기기의 설치ㆍ운영에 관한 사무를 위탁할 수 있다. 다만, 공공기관이 고정형 영상정보처리기기 설치ㆍ운영에 관한 사무를 위탁하는 경우에는 대통령령으로 정하는 절차 및 요건에 따라야 한다.
>> 공공기관은 아래 내용이 포함된 문서를 통해서 위탁해야 함
1) 위탁 목적 및 범위
2) 재위탁 제한
3) 영상정보 접근 제한 등 안전성 확보조치
4) 영상정보 관리 현황 점검
5) 손해배상 등 책임
외울 것이 많은 조항이다.
1. 고정영 영처기를 설치 및 운영할 수 있는 조건
2. 개인의 사생활을 현저히 침해하는 공간 내부를 촬영할 수 있는 조건이 이동형 영처기와 다르다는 점
3. 고정형 영처기 운영 관리 방침의 내용
4. 공공기관이 고정형 영처기 설치/운영 업무 위탁 시 문서에 포함해야 하는 사항
제25조의2(이동형 영상정보처리기기의 운영 제한)
① 업무를 목적으로 이동형 영상정보처리기기를 운영하려는 자는 다음 각 호의 경우를 제외하고는 공개된 장소에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상(개인정보에 해당하는 경우로 한정한다. 이하 같다)을 촬영하여서는 아니 된다.
1. 제15조제1항 각 호의 어느 하나에 해당하는 경우
2. 촬영 사실을 명확히 표시하여 정보주체가 촬영 사실을 알 수 있도록 하였음에도 불구하고 촬영 거부 의사를 밝히지 아니한 경우. 이 경우 정보주체의 권리를 부당하게 침해할 우려가 없고 합리적인 범위를 초과하지 아니하는 경우로 한정한다.
② 누구든지 불특정 다수가 이용하는 목욕실, 화장실, 발한실, 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있는 곳에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영하여서는 아니 된다. 다만, 인명의 구조ㆍ구급 등을 위하여 필요한 경우로서 대통령령으로 정하는 경우에는 그러하지 아니하다.
>> 구금시설이라도 예외조항 없음
③ 제1항 각 호에 해당하여 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영하는 경우에는 불빛, 소리, 안내판 등 대통령령으로 정하는 바에 따라 촬영 사실을 표시하고 알려야 한다.
이동형 영처기는 촬영 사실을 명확히 알려야 한다는 점이 중요하다.
그리고 개인의 사생활을 현저히 침해할 수 있는 공간 내부를 촬영할 수 있는 조건이 고정형 영처기와 다르다는 점에 유의해야 한다.
이동영 영처기와 관련된 내용은 개인정보 처리방침에 포함하지 않아도 된다.
'ISMS-P > 개인정보보호법' 카테고리의 다른 글
| 개인정보의 안전성 확보조치 기준 안내서 (0) | 2025.03.10 |
|---|---|
| 개인정보보호법-3(보유, 파기, 정보주체 권리보장, 손해보상, 분쟁조정) (0) | 2025.03.06 |
| 개인정보보호법-2(이용, 제공) (0) | 2025.03.06 |