5. 보유
제29조(안전조치의무)
개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.
개인정보의 안전성 확보 조치 (시행령 제30조)
1. 내부 관리계획의 수립ㆍ시행 및 점검
- 개인정보취급자 관리ㆍ감독 및 교육
- 개인정보 보호책임자 포함 개인정보 보호 조직의 구성 ㆍ운영
2. 개인정보 접근 권한 제한
- 개인정보처리시스템 접근 권한 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행
- 인증수단 적용 기준의 설정 및 운영
3. 개인정보 접근 통제
- 개인정보처리시스템에 대한 침입 탐지 및 차단
- 망 분리 (일일평균 이용자 수 100만명 이상인 개인정보처리자만 해당)
4. 개인정보 안전하게 저장 및 전송
- 비밀번호 일방향 암호화 저장
- 주민번호 등의 정보 암호화 저장
- 개인정보 또는 인증정보 송수신 시 해당 정보 암호화
5. 접속기록의 보관 및 위조ㆍ변조 방지
- 접속기록(접속일시, 접속지 정보, 계정, 처리한 정보주체 정보, 수행업무)
- 접속기록의 안전한 보관
6. 백신 설치ㆍ운영과 주기적 갱신ㆍ점검 조치
7. 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치
잘 알아둬야 하는 개인정보의 안전성 확보 조치 기준은 별도의 포스팅에서 다룰 예정이다.
개인정보보호법과 안전성 확보 조치 기준은 서로 연결되어 있기 때문에 내용을 연관지어서 알아야 한다.
제30조(개인정보 처리방침의 수립 및 공개)
① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.
| 순번 | 항목 | 필수 여부 |
| 1 | 처리 목적 | 필수 |
| 2 | 처리 및 보유 기간 | 필수 |
| 3 | 처리 항목 | 필수 |
| 4 | 파기절차 및 파기방법 | 필수 + 보존 시 근거와 보존 항목 |
| 5 | 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법 (열람, 정정/삭제, 자동화된 결정 거부/설명 요구 등) | 필수 |
| 6 | 민감정보의 공개 가능성 및 비공개를 선택하는 방법 | 해당 시 |
| 7 | 제3자 제공 관련 사항 | 해당 시 |
| 8 | 위수탁 관련 사항 | 해당 시 |
| 9 | 국외 이전의 근거 및 관련사항(이전 항목, 이전 국가/시기/방법, 이전받는 자, 이전받는 자의 이용목적 및 보유ㆍ이용 기간, 이전 거부방법, 절차 및 거부의 효과) | 해당 시 |
| 10 | 국내 대리인 지정 | 해당 시 |
| 11 | 개인정보 보호책임자의 성명 및 관련 부서의 명칭 및 연락처 | 필수 |
| 12 | 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항 | 해당 시 |
| 13 | 자동수집장치를 통해 제3자가 행태정보를 수집하는 경우의 그 수집/이용 및 거부 | 해당 시, 권장 |
| 14 | 국외 이전의 근거 및 관련사항(이전 항목, 이전 국가/시기/방법, 이전받는 자, 이전받는 자의 이용목적 및 보유ㆍ이용 기간, 이전 거부방법, 절차 및 거부의 효과) | 해당 시 |
| 15 | 개인정보의 안전성 확보 조치 사항 | 필수 |
| 16 | 국외에서 국내 정보주체 개인정보 수집시 개인정보를 처리하는 국가명 | 해당 시 |
| 17 | 가명정보의 처리 등 | 해당 시 |
| 18 | 정보주체 권익침해에 대한 구제 → 관련 전문기관 정보 안내 | 권장 |
| 19 | 고정형 영상정보처리기기 운영/관리방침 | 해당 시 |
| 20 | 이동형 영상정보처리기기 운영/관리방침 | 해당 시 |
| 21 | 개인정보 처리방침 변경사항 → 개정 이력 및 이전버전 내용 포함(신구대조표) | 필수 |
② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.
④ 보호위원회는 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다.
개인정보 처리방침을 보고 필수적인 내용이 전부 적절하게 포함되어 있는지 식별할 수 있어야 한다. 선택적으로 포함되어야 하는 항목도 누락 여부를 식별해낼 수 있어야 한다.
개인정보 처리방침 작성 가이드라인도 참조할 만 하다.
제30조의2(개인정보 처리방침의 평가 및 개선권고)
① 보호위원회는 개인정보 처리방침에 관하여 다음 각 호의 사항을 평가하고, 평가 결과 개선이 필요하다고 인정하는 경우에는 개인정보처리자에게 제61조제2항에 따라 개선을 권고할 수 있다.
1. 이 법에 따라 개인정보 처리방침에 포함하여야 할 사항을 적정하게 정하고 있는지 여부
2. 개인정보 처리방침을 알기 쉽게 작성하였는지 여부
3. 개인정보 처리방침을 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 여부
개인정보 처리방침의 평가 대상 및 절차(시행령 제31조의2) 및 개인정보 처리방침 평가에 관한 고시
1. 평가대상 선정기준 (매년 평가 시작일 기준 14일 전까지 평가계획 수립)
1) 전년도 매출액 1500억 이상 + 3개월 간 개인정보 정보주체 수 일일 평균 100만명 이상
2) 민감정보 또는 고유식별정보 3개월 간 정보주체 수 일일 평균 5만명 이상
3) 개인정보 처리방침 내 정보주체의 동의없이 처리할 수 있는 개인정보와 동의를 받아 처리하는 개인정보를 구분하지 않은 경우
4) 완전히 자동화된 시스템 또는 새로운 기술을 통해 개인정보를 처리함으로 인해 침해 발생 우려가 있는 경우
5) 최근 3년 간 개인정보 유출 또는 과징금/과태료를 부과받은 경우
6) 19세 미만 아동 또는 청소년이 주된 이용자인 정보통신서비스 제공자
2. 평가계획 통보
- 평가 개시 10일 전까지 해당 개인정보 처리자에게 평가계획을 통보해야 함
3. 평가위원회 구성
- 위원장 1명 + 위원 20명~50명 (위원 임기 1년)
4. 이의 신청
- 평가결과 통보일 기준 20일 이내에 개보위에 이의신청 가능
- 30일 이내에 이의신청 검토 후 결과 통지해야 함 (14일 연장 가능)
개보위에서 개인정보 처리방침을 평가할 수도 있다. 개인정보 처리방침에 문제가 있어 보이거나, 유출 사례가 있는 경우에는 조사받을 수도 있다.
10일 전에 통보한 후 바로 조사를 올 수 있다.
제32조(개인정보파일의 등록 및 공개)
① 공공기관의 장이 개인정보파일을 운용하는 경우에는 다음 각 호의 사항을 보호위원회에 등록하여야 한다. 등록한 사항이 변경된 경우에도 또한 같다.
1. 개인정보파일의 명칭
2. 개인정보파일의 운영 근거 및 목적
3. 개인정보파일에 기록되는 개인정보의 항목
4. 개인정보의 처리방법
5. 개인정보의 보유기간
6. 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자
7. 그 밖에 대통령령으로 정하는 사항
>>
8. 개인정보의 정보주체 수
9. 개인정보 처리 담당부서
10. 열람 요구 처리부서
② 다음 각 호의 어느 하나에 해당하는 개인정보파일에 대하여는 제1항을 적용하지 아니한다.
1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
2. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일
3. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
4. 일회적으로 운영되는 파일 등 지속적으로 관리할 필요성이 낮다고 인정되어 대통령령으로 정하는 개인정보파일
5. 다른 법령에 따라 비밀로 분류된 개인정보파일
③ 보호위원회는 필요하면 제1항에 따른 개인정보파일의 등록여부와 그 내용을 검토하여 해당 공공기관의 장에게 개선을 권고할 수 있다.
④ 보호위원회는 정보주체의 권리 보장 등을 위하여 필요한 경우 제1항에 따른 개인정보파일의 등록 현황을 누구든지 쉽게 열람할 수 있도록 공개할 수 있다.
⑤ 제1항에 따른 등록과 제4항에 따른 공개의 방법, 범위 및 절차에 관하여 필요한 사항은 대통령령으로 정한다.
⑥ 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관을 포함한다)의 개인정보파일 등록 및 공개에 관하여는 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙으로 정한다.
공공기관만 운용하는 개인정보파일 운용 관련하여 등록해야 하는 사항을 숙지해야 한다.
등록 예외 조항 중 일회성 파일을 잘 알아둬야 한다.
제33조(개인정보 영향평가)
① 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가(이하 “영향평가”라 한다)를 하고 그 결과를 보호위원회에 제출하여야 한다.
② 보호위원회는 대통령령으로 정하는 인력ㆍ설비 및 그 밖에 필요한 요건을 갖춘 자를 영향평가를 수행하는 기관(이하 “평가기관”이라 한다)으로 지정할 수 있으며, 공공기관의 장은 영향평가를 평가기관에 의뢰하여야 한다.
③ 영향평가를 하는 경우에는 다음 각 호의 사항을 고려하여야 한다.
1. 처리하는 개인정보의 수
2. 개인정보의 제3자 제공 여부
3. 정보주체의 권리를 해할 가능성 및 그 위험 정도
>>
4. 민감정보 또는 고유식별정보의 처리 여부
5. 개인정보 보유기간
④ 보호위원회는 제1항에 따라 제출받은 영향평가 결과에 대하여 의견을 제시할 수 있다.
⑤ 공공기관의 장은 제1항에 따라 영향평가를 한 개인정보파일을 제32조제1항에 따라 등록할 때에는 영향평가 결과를 함께 첨부하여야 한다.
⑥ 보호위원회는 영향평가의 활성화를 위하여 관계 전문가의 육성, 영향평가 기준의 개발ㆍ보급 등 필요한 조치를 마련하여야 한다.
⑦ 보호위원회는 제2항에 따라 지정된 평가기관이 다음 각 호의 어느 하나에 해당하는 경우에는 평가기관의 지정을 취소할 수 있다. 다만, 제1호 또는 제2호에 해당하는 경우에는 평가기관의 지정을 취소하여야 한다.
1. 거짓이나 그 밖의 부정한 방법으로 지정을 받은 경우
2. 지정된 평가기관 스스로 지정취소를 원하거나 폐업한 경우
3. 제2항에 따른 지정요건을 충족하지 못하게 된 경우
4. 고의 또는 중대한 과실로 영향평가업무를 부실하게 수행하여 그 업무를 적정하게 수행할 수 없다고 인정되는 경우
5. 그 밖에 대통령령으로 정하는 사유에 해당하는 경우
⑧ 보호위원회는 제7항에 따라 지정을 취소하는 경우에는 「행정절차법」에 따른 청문을 실시하여야 한다.
⑨ 제1항에 따른 영향평가의 기준ㆍ방법ㆍ절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
영향평가의 평가기준(시행령 제38조) 및 개인정보 영향평가에 대한 고시
1. 영향평가의 기준
- 개인정보의 종류ㆍ성질, 정보주체의 수
- 안전성 확보 조치의 수준
- 개인정보 침해의 위험요인별 조치 여부
- 개보법 및 개보법 시행령에 따라 필요한 조치 또는 의무의 위반 요소
2. 영향평가서: 평가기관 > 공공기관의 장 > 개보위
* 영향평가서 포함 내용:
- 대상 및 범위
- 평가 분야 및 항목
- 위험요인에 대한 분석ㆍ평가
- 조치 내용 및 개선계획
- 영향평가의 결과
* 공공기관의 장은 영향평가서 전달받은 날로부터 2개월 이내에 보호위원회에 제출
* 공공기관의 장은 영향평가 결과 개선사항으로 지적받은 사항에 대한 이행결과 및 계획 등을 영향평가서 제출받은 날로부터 1년 이내에 보호위원회에 제출
3. "개인정보 영향평가": 공공기관의 장이 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에 그 위험요인의 분석과 개선 사항 도출을 위한 평가를 말한다.
* 개인정보보호위원회 > (구성/운영) > 영향평가위원회 > (지정) > 영향평가기관
⑩ 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관을 포함한다)의 영향평가에 관한 사항은 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙으로 정하는 바에 따른다.
⑪ 공공기관 외의 개인정보처리자는 개인정보파일 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 영향평가를 하기 위하여 적극 노력하여야 한다.
PIA에 대한 근거 조항이다. 영향평가 시 고려사항을 잘 알아둬야 한다.
영향 평가서(2개월 이내)와 결과 및 이행조치 계획서(1년 이내)를 제출해야 하는 기간도 헷갈릴 수 있다.
영향평가는 계획 및 분석/설계 단계에서 이루어진다는 점도 중요하다. 평가절차를 전부 외울 필요는 없고, 흐름만 이해하면 될 것 같다.
제34조(개인정보 유출 등의 통지ㆍ신고)
① 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출(이하 이 조에서 “유출등”이라 한다)되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사항을 알려야 한다. 다만, 정보주체의 연락처를 알 수 없는 경우 등 정당한 사유가 있는 경우에는 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다.
1. 유출등이 된 개인정보의 항목
2. 유출등이 된 시점과 그 경위
3. 유출등으로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
② 개인정보처리자는 개인정보가 유출등이 된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다.
③ 개인정보처리자는 개인정보의 유출등이 있음을 알게 되었을 때에는 개인정보의 유형, 유출등의 경로 및 규모 등을 고려하여 대통령령으로 정하는 바에 따라 제1항 각 호의 사항을 지체 없이 보호위원회 또는 대통령령으로 정하는 전문기관에 신고하여야 한다. 이 경우 보호위원회 또는 대통령령으로 정하는 전문기관은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다.
④ 제1항에 따른 유출등의 통지 및 제3항에 따른 유출등의 신고의 시기, 방법, 절차 등에 필요한 사항은 대통령령으로 정한다.
개인정보 유출 등의 신고(시행령 제 40조)
① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우로서 개인정보가 유출등이 되었음을 알게 되었을 때에는 72시간 이내에 법 제34조제1항 각 호의 사항을 서면등의 방법으로 보호위원회 또는 같은 조 제3항 전단에 따른 전문기관에 신고해야 한다. 다만, 천재지변이나 그 밖에 부득이한 사유로 인하여 72시간 이내에 신고하기 곤란한 경우에는 해당 사유가 해소된 후 지체 없이 신고할 수 있으며, 개인정보 유출등의 경로가 확인되어 해당 개인정보를 회수ㆍ삭제하는 등의 조치를 통해 정보주체의 권익 침해 가능성이 현저히 낮아진 경우에는 신고하지 않을 수 있다.
1. 1천명 이상의 정보주체에 관한 개인정보가 유출등이 된 경우
2. 민감정보 또는 고유식별정보가 유출등이 된 경우
3. 개인정보처리시스템 또는 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대한 외부로부터의 불법적인 접근에 의해 개인정보가 유출등이 된 경우
② 제1항에도 불구하고 개인정보처리자는 제1항에 따른 신고를 하려는 경우로서 법 제34조제1항제1호 또는 제2호의 사항에 관한 구체적인 내용을 확인하지 못한 경우에는 개인정보가 유출등이 된 사실, 그때까지 확인된 내용 및
같은 항 제3호부터 제5호까지의 사항을 서면등의 방법으로 우선 신고해야 하며, 추가로 확인되는 내용에 대해서는 확인되는 즉시 신고해야 한다.
유출 등 발생 시 1조의 알려야하는 조항을 정보주체에게도 알리고, 개보위 또는 KISA에 신고해야 한다는 점을 알아둬야 한다.
1. 정보주체에게 알리는 기준: 1명 이상의 개인정보 유출 등
2. 기관에 신고하는 기준: 1000명 이상의 개인정보 유출 등 또는 1명 이상의 민감정보/고유식별정보 유출 등
3. 알리는 시기: 72시간 이내
4. 신고 예외: 3~5호만 우선 신고 가능
6. 파기
제21조(개인정보의 파기)
① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성, 가명정보의 처리 기간 경과 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.
>> 광고 기록: 6개월 보관
결제 기록: 5년 보관
계약 및 청약 철회: 5년 보관
소비자 불만 또는 분쟁 처리: 3년 보관
>> 해당 조항 내 "지체 없이" = 5일 이내
② 개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.
③ 개인정보처리자가 제1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장ㆍ관리하여야 한다.
>> 다른 DB에 저장해야 함 (별도의 구분자만 추가하거나, 테이블을 나눴지만 권한이 분리되지 않으면 불충분함)
④ 개인정보의 파기방법 및 절차 등에 필요한 사항은 대통령령으로 정한다.
개인정보의 안전성 확보조치 기준
제13조(개인정보의 파기)
① 개인정보처리자는 개인정보를 파기할 경우 다음 각 호 중 어느 하나의 조치를 하여야 한다.
1. 완전파괴(소각ㆍ파쇄 등)
2. 전용 소자장비(자기장을 이용해 저장장치의 데이터를 삭제하는 장비)를 이용하여 삭제
3. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
② 개인정보처리자가 개인정보의 일부만을 파기하는 경우, 제1항의 방법으로 파기하는 것이 어려울 때에는 다음 각 호의 조치를 하여야 한다.
1. 전자적 파일 형태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독
2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 구멍 뚫기 등으로 삭제
③ 기술적 특성으로 제1항 및 제2항의 방법으로 파기하는 것이 현저히 곤란한 경우에는 법 제58조의2에 해당하는 정보로 처리하여 복원이 불가능하도록 조치를 하여야 한다.
>> 익명 처리
분리 보관에 대해 명확히 알아둬야 한다. 특정 예시가 분리 보관에 부합하는지 아닌지의 여부를 알 수 있어야 하기 때문이다.
기술적으로 파기가 곤란할 때에는 익명 처리하는 것도 파기로서 인정되는 방법이다.
7. 정보주체 권리보장
제35조(개인정보의 열람)
① 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다.
② 제1항에도 불구하고 정보주체가 자신의 개인정보에 대한 열람을 공공기관에 요구하고자 할 때에는 공공기관에 직접 열람을 요구하거나 대통령령으로 정하는 바에 따라 보호위원회를 통하여 열람을 요구할 수 있다.
③ 개인정보처리자는 제1항 및 제2항에 따른 열람을 요구받았을 때에는 대통령령으로 정하는 기간 내에 정보주체가 해당 개인정보를 열람할 수 있도록 하여야 한다. 이 경우 해당 기간 내에 열람할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알리고 열람을 연기할 수 있으며, 그 사유가 소멸하면 지체 없이 열람하게 하여야 한다.
>> 10일 이내에 열람 요구에 대응해야 함
④ 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있다.
1. 법률에 따라 열람이 금지되거나 제한되는 경우
2. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
3. 공공기관이 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우
가. 조세의 부과ㆍ징수 또는 환급에 관한 업무
나. 「초ㆍ중등교육법」 및 「고등교육법」에 따른 각급 학교, 「평생교육법」에 따른 평생교육시설, 그 밖의 다른 법률에 따라 설치된 고등교육기관에서의 성적 평가 또는 입학자 선발에 관한 업무
>> 교원평가
다. 학력ㆍ기능 및 채용에 관한 시험, 자격 심사에 관한 업무
라. 보상금ㆍ급부금 산정 등에 대하여 진행 중인 평가 또는 판단에 관한 업무
마. 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무
⑤ 제1항부터 제4항까지의 규정에 따른 열람 요구, 열람 제한, 통지 등의 방법 및 절차에 관하여 필요한 사항은 대통령령으로 정한다.
정보주체가 열람 요구할 수 있는 사항(시행령 제41조)
1. 개인정보의 항목 및 내용
2. 개인정보의 수집ㆍ이용의 목적
3. 개인정보 보유 및 이용 기간
4. 개인정보의 제3자 제공 현황
5. 개인정보 처리에 동의한 사실 및 내용
열람 요구에 10일 이내 대응해야 한다는 점이 중요하다. 또한, 원칙적으로 본인만 요구를 할 수 있지만 아래의 케이스는 법정대리인이 요구할 수 있다.
1. 만 14세 미만 미성년자: 법정대리인만 요구 가능함
2. 만 14세 이상 미성년자: 법정대리인 또는 본인이 요구 가능함
열람을 요구할 수 있는 사항도 중요하다.
제35조의2(개인정보의 전송 요구)
① 정보주체는 개인정보 처리 능력 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대하여 다음 각 호의 요건을 모두 충족하는 개인정보를 자신에게로 전송할 것을 요구할 수 있다.
1. 정보주체가 전송을 요구하는 개인정보가 정보주체 본인에 관한 개인정보로서 다음 각 목의 어느 하나에 해당하는 정보일 것
가. 제15조제1항제1호, 제23조제1항제1호 또는 제24조제1항제1호에 따른 동의를 받아 처리되는 개인정보
나. 제15조제1항제4호에 따라 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 처리되는 개인정보
다. 제15조제1항제2호ㆍ제3호, 제23조제1항제2호 또는 제24조제1항제2호에 따라 처리되는 개인정보 중 정보주체의 이익이나 공익적 목적을 위하여 관계 중앙행정기관의 장의 요청에 따라 보호위원회가 심의ㆍ의결하여 전송 요구의 대상으로 지정한 개인정보
2. 전송을 요구하는 개인정보가 개인정보처리자가 수집한 개인정보를 기초로 분석ㆍ가공하여 별도로 생성한 정보가 아닐 것
3. 전송을 요구하는 개인정보가 컴퓨터 등 정보처리장치로 처리되는 개인정보일 것
② 정보주체는 매출액, 개인정보의 보유 규모, 개인정보 처리 능력, 산업별 특성 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대하여 제1항에 따른 전송 요구 대상인 개인정보를 기술적으로 허용되는 합리적인 범위에서 다음 각 호의 자에게 전송할 것을 요구할 수 있다.
1. 제35조의3제1항에 따른 개인정보관리 전문기관
2. 제29조에 따른 안전조치의무를 이행하고 대통령령으로 정하는 시설 및 기술 기준을 충족하는 자
③ 개인정보처리자는 제1항 및 제2항에 따른 전송 요구를 받은 경우에는 시간, 비용, 기술적으로 허용되는 합리적인 범위에서 해당 정보를 컴퓨터 등 정보처리장치로 처리 가능한 형태로 전송하여야 한다.
④ 제1항 및 제2항에 따른 전송 요구를 받은 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 법률의 관련 규정에도 불구하고 정보주체에 관한 개인정보를 전송하여야 한다.
1. 「국세기본법」 제81조의13
2. 「지방세기본법」 제86조
3. 그 밖에 제1호 및 제2호와 유사한 규정으로서 대통령령으로 정하는 법률의 규정
⑤ 정보주체는 제1항 및 제2항에 따른 전송 요구를 철회할 수 있다.
⑥ 개인정보처리자는 정보주체의 본인 여부가 확인되지 아니하는 경우 등 대통령령으로 정하는 경우에는 제1항 및 제2항에 따른 전송 요구를 거절하거나 전송을 중단할 수 있다.
⑦ 정보주체는 제1항 및 제2항에 따른 전송 요구로 인하여 타인의 권리나 정당한 이익을 침해하여서는 아니 된다.
최근 마이데이터 등으로 인해 중요해지는 조항이다.
마이데이터 가이드라인 을 참조하여 전송기관과 중계기간의 차이, 전송 절차 등의 상세한 내용을 알아야 한다.
제36조(개인정보의 정정ㆍ삭제)
① 제35조에 따라 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다.
② 개인정보처리자는 제1항에 따른 정보주체의 요구를 받았을 때에는 개인정보의 정정 또는 삭제에 관하여 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체 없이 그 개인정보를 조사하여 정보주체의 요구에 따라 정정ㆍ삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다.
>> 10일 이내
③ 개인정보처리자가 제2항에 따라 개인정보를 삭제할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.
④ 개인정보처리자는 정보주체의 요구가 제1항 단서에 해당될 때에는 지체 없이 그 내용을 정보주체에게 알려야 한다.
⑤ 개인정보처리자는 제2항에 따른 조사를 할 때 필요하면 해당 정보주체에게 정정ㆍ삭제 요구사항의 확인에 필요한 증거자료를 제출하게 할 수 있다.
제37조(개인정보의 처리정지 등)
① 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다. 이 경우 공공기관에 대해서는 제32조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다.
② 개인정보처리자는 제1항에 따른 처리정지 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다.
1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
2. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
3. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우
4. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우
③ 개인정보처리자는 정보주체가 제1항에 따라 동의를 철회한 때에는 지체 없이 수집된 개인정보를 복구ㆍ재생할 수 없도록 파기하는 등 필요한 조치를 하여야 한다. 다만, 제2항 각 호의 어느 하나에 해당하는 경우에는 동의 철회에 따른 조치를 하지 아니할 수 있다.
④ 개인정보처리자는 제2항 단서에 따라 처리정지 요구를 거절하거나 제3항 단서에 따라 동의 철회에 따른 조치를 하지 아니하였을 때에는 정보주체에게 지체 없이 그 사유를 알려야 한다.
⑤ 개인정보처리자는 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여 지체 없이 해당 개인정보의 파기 등 필요한 조치를 하여야 한다.
>> 처리 정지 요구가 인정된다면, 해당 개인정보를 처리할 이유가 소멸되는 것이기 때문에 지체없이 파기해야 함
제37조의2(자동화된 결정에 대한 정보주체의 권리 등)
① 정보주체는 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템을 포함한다)으로 개인정보를 처리하여 이루어지는 결정(「행정기본법」 제20조에 따른 행정청의 자동적 처분은 제외하며, 이하 이 조에서 “자동화된 결정”이라 한다)이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우에는 해당 개인정보처리자에 대하여 해당 결정을 거부할 수 있는 권리를 가진다. 다만, 자동화된 결정이 제15조제1항제1호ㆍ제2호 및 제4호에 따라 이루어지는 경우에는 그러하지 아니하다.
② 정보주체는 개인정보처리자가 자동화된 결정을 한 경우에는 그 결정에 대하여 설명 등을 요구할 수 있다.
③ 개인정보처리자는 제1항 또는 제2항에 따라 정보주체가 자동화된 결정을 거부하거나 이에 대한 설명 등을 요구한 경우에는 정당한 사유가 없는 한 자동화된 결정을 적용하지 아니하거나 인적 개입에 의한 재처리ㆍ설명 등 필요한 조치를 하여야 한다.
>> 요구에 응해 조치할 경우: 30일 이내 + 서면 등 (2회 연장 가능)
요구에 불응해 거절할 경우: 10일 이내 + 서면 등
④ 개인정보처리자는 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 정보주체가 쉽게 확인할 수 있도록 공개하여야 한다.
>> 개인정보 처리방침에 포함해야 함
AI를 주로 활용하지만 사람의 개입이 다소 포함되어 있는 경우와 같이 완전히 자동화되지 않은 결정에 대해서는 적용할 수 없는 법이다.
제38조(권리행사의 방법 및 절차)
① 정보주체는 제35조에 따른 열람, 제35조의2에 따른 전송, 제36조에 따른 정정ㆍ삭제, 제37조에 따른 처리정지 및 동의 철회, 제37조의2에 따른 거부ㆍ설명 등의 요구(이하 “열람등요구”라 한다)를 문서 등 대통령령으로 정하는 방법ㆍ절차에 따라 대리인에게 하게 할 수 있다.
② 만 14세 미만 아동의 법정대리인은 개인정보처리자에게 그 아동의 개인정보 열람등요구를 할 수 있다.
③ 개인정보처리자는 열람등요구를 하는 자에게 대통령령으로 정하는 바에 따라 수수료와 우송료(사본의 우송을 청구하는 경우에 한한다)를 청구할 수 있다. 다만, 제35조의2제2항에 따른 전송 요구의 경우에는 전송을 위해 추가로 필요한 설비 등을 함께 고려하여 수수료를 산정할 수 있다.
④ 개인정보처리자는 정보주체가 열람등요구를 할 수 있는 구체적인 방법과 절차를 마련하고, 이를 정보주체가 알 수 있도록 공개하여야 한다. 이 경우 열람등요구의 방법과 절차는 해당 개인정보의 수집 방법과 절차보다 어렵지 아니하도록 하여야 한다.
⑤ 개인정보처리자는 정보주체가 열람등요구에 대한 거절 등 조치에 대하여 불복이 있는 경우 이의를 제기할 수 있도록 필요한 절차를 마련하고 안내하여야 한다.
8. 손해배상 및 분쟁조정
제39조(손해배상책임)
① 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.
③ 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 5배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 개인정보처리자가 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다.
④ 법원은 제3항의 배상액을 정할 때에는 다음 각 호의 사항을 고려하여야 한다.
1. 고의 또는 손해 발생의 우려를 인식한 정도
2. 위반행위로 인하여 입은 피해 규모
3. 위법행위로 인하여 개인정보처리자가 취득한 경제적 이익
4. 위반행위에 따른 벌금 및 과징금
5. 위반행위의 기간ㆍ횟수 등
6. 개인정보처리자의 재산상태
7. 개인정보처리자가 정보주체의 개인정보 분실ㆍ도난ㆍ유출 후 해당 개인정보를 회수하기 위하여 노력한 정도
8. 개인정보처리자가 정보주체의 피해구제를 위하여 노력한 정도
제39조의2(법정손해배상의 청구)
① 제39조제1항에도 불구하고 정보주체는 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우에는 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.
>> 구체적인 손해액 산정이 어려울 경우
일반인은 구체적인 손해액 산정이 어렵기 때문에, 손해배상 시에는 법정손해배상으로 청구하면 법원이 손해액을 산정하도록 할 수 있다.
제39조의7(손해배상의 보장)
① 개인정보처리자로서 매출액, 개인정보의 보유 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자는 제39조 및 제39조의2에 따른 손해배상책임의 이행을 위하여 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다.
② 제1항에도 불구하고 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 조치를 하지 아니할 수 있다.
1. 대통령령으로 정하는 공공기관, 비영리법인 및 단체
2. 「소상공인기본법」 제2조제1항에 따른 소상공인으로서 대통령령으로 정하는 자에게 개인정보 처리를 위탁한 자
3. 다른 법률에 따라 제39조 및 제39조의2에 따른 손해배상책임의 이행을 보장하는 보험 또는 공제에 가입하거나 준비금을 적립한 개인정보처리자
③ 제1항 및 제2항에 따른 개인정보처리자의 손해배상책임 이행 기준 등에 필요한 사항은 대통령령으로 정한다.
손해배상책임 최소 금액 기준(시행령 제48조의7)
규모와 매출에 따른 적립금액 기준을 잘 알아둬야 한다. 인터뷰 예시에서는 "적립금은 xx원입니다." 라는 식으로 단 1줄로 나오지만, 해당 기준을 모르면 적립금이 적은지 많은지를 거의 알 수 없다.
제49조(집단분쟁조정)
① 국가 및 지방자치단체, 개인정보 보호단체 및 기관, 정보주체, 개인정보처리자는 정보주체의 피해 또는 권리침해가 다수의 정보주체에게 같거나 비슷한 유형으로 발생하는 경우로서 대통령령으로 정하는 사건에 대하여는 분쟁조정위원회에 일괄적인 분쟁조정(이하 “집단분쟁조정”이라 한다)을 의뢰 또는 신청할 수 있다.
② 제1항에 따라 집단분쟁조정을 의뢰받거나 신청받은 분쟁조정위원회는 그 의결로써 제3항부터 제7항까지의 규정에 따른 집단분쟁조정의 절차를 개시할 수 있다. 이 경우 분쟁조정위원회는 대통령령으로 정하는 기간 동안 그 절차의 개시를 공고하여야 한다.
>> 14일 내 절차의 개시 공고 의무
③ 분쟁조정위원회는 집단분쟁조정의 당사자가 아닌 정보주체 또는 개인정보처리자로부터 그 분쟁조정의 당사자에 추가로 포함될 수 있도록 하는 신청을 받을 수 있다.
④ 분쟁조정위원회는 그 의결로써 제1항 및 제3항에 따른 집단분쟁조정의 당사자 중에서 공동의 이익을 대표하기에 가장 적합한 1인 또는 수인을 대표당사자로 선임할 수 있다.
⑤ 분쟁조정위원회는 개인정보처리자가 분쟁조정위원회의 집단분쟁조정의 내용을 수락한 경우에는 집단분쟁조정의 당사자가 아닌 자로서 피해를 입은 정보주체에 대한 보상계획서를 작성하여 분쟁조정위원회에 제출하도록 권고할 수 있다.
⑥ 제48조제2항에도 불구하고 분쟁조정위원회는 집단분쟁조정의 당사자인 다수의 정보주체 중 일부의 정보주체가 법원에 소를 제기한 경우에는 그 절차를 중지하지 아니하고, 소를 제기한 일부의 정보주체를 그 절차에서 제외한다.
⑦ 집단분쟁조정의 기간은 제2항에 따른 공고가 종료된 날의 다음 날부터 60일 이내로 한다. 다만, 부득이한 사정이 있는 경우에는 분쟁조정위원회의 의결로 처리기간을 연장할 수 있다.
⑧ 집단분쟁조정의 절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
제51조(단체소송의 대상 등)
다음 각 호의 어느 하나에 해당하는 단체는 개인정보처리자가 제49조에 따른 집단분쟁조정을 거부하거나 집단분쟁조정의 결과를 수락하지 아니한 경우에는 법원에 권리침해 행위의 금지ㆍ중지를 구하는 소송(이하 “단체소송”이라 한다)을 제기할 수 있다.
>> 집단분쟁조정이 성립되지 않을 경우 단체소송 제기 가능
1. 「소비자기본법」 제29조에 따라 공정거래위원회에 등록한 소비자단체로서 다음 각 목의 요건을 모두 갖춘 단체
가. 정관에 따라 상시적으로 정보주체의 권익증진을 주된 목적으로 하는 단체일 것
나. 단체의 정회원수가 1천명 이상일 것
다. 「소비자기본법」 제29조에 따른 등록 후 3년이 경과하였을 것
2. 「비영리민간단체 지원법」 제2조에 따른 비영리민간단체로서 다음 각 목의 요건을 모두 갖춘 단체
가. 법률상 또는 사실상 동일한 침해를 입은 100명 이상의 정보주체로부터 단체소송의 제기를 요청받을 것
나. 정관에 개인정보 보호를 단체의 목적으로 명시한 후 최근 3년 이상 이를 위한 활동실적이 있을 것
다. 단체의 상시 구성원수가 5천명 이상일 것
라. 중앙행정기관에 등록되어 있을 것
소비자단체와 비영리민간단체는 집단분쟁조정이 성립되지 않은 건에 대해 단체소송을 제기할 수 있다. 전부 다 외울 수 있다면 좋겠지만, 소비자단체와 비영리민간단체 기준을 전부 외워야 할지는 약간 의문이다. 눈에 익숙해지는 정도면 충분할 것 같다.
'ISMS-P > 개인정보보호법' 카테고리의 다른 글
| 개인정보의 안전성 확보조치 기준 안내서 (0) | 2025.03.10 |
|---|---|
| 개인정보보호법-2(이용, 제공) (0) | 2025.03.06 |
| 개인정보보호법-1(일반, 수집) (0) | 2025.02.09 |