3. 이용
제18조(개인정보의 목적 외 이용ㆍ제공 제한)
① 개인정보처리자는 개인정보를 제15조제1항에 따른 범위를 초과하여 이용하거나 제17조제1항 및 제28조의8제1항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다.
>> 정보주체에게 동의받은 목적 범위 내에서만 이용 및 제공해야 함
② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, 제5호부터 제9호까지에 따른 경우는 공공기관의 경우로 한정한다.
1. 정보주체로부터 별도의 동의를 받은 경우
2. 다른 법률에 특별한 규정이 있는 경우
3. 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의ㆍ의결을 거친 경우
6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
8. 법원의 재판업무 수행을 위하여 필요한 경우
9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
10. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우
③ 개인정보처리자는 제2항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보를 제공받는 자
2. 개인정보의 이용 목적(제공 시에는 제공받는 자의 이용 목적을 말한다)
3. 이용 또는 제공하는 개인정보의 항목
4. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다)
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
④ 공공기관은 제2항제2호부터 제6호까지, 제8호부터 제10호까지에 따라 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우에는 그 이용 또는 제공의 법적 근거, 목적 및 범위 등에 관하여 필요한 사항을 보호위원회가 고시로 정하는 바에 따라 관보 또는 인터넷 홈페이지 등에 게재하여야 한다.
>> 목적 외 이용/제공한 날로부터 30일 이내에 게재해야 함(인터넷 홈페이지 게재 시 10일 이상 유지)
⑤ 개인정보처리자는 제2항 각 호의 어느 하나의 경우에 해당하여 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 그 밖에 필요한 사항에 대하여 제한을 하거나, 개인정보의 안전성 확보를 위하여 필요한 조치를 마련하도록 요청하여야 한다. 이 경우 요청을 받은 자는 개인정보의 안전성 확보를 위하여 필요한 조치를 하여야 한다.
중요한 내용이 많은 조항이다.
1. 개인정보를 목적 외 용도로 이용/제공 시의 요건(5~9호는 공공기관으로 한정 > 관보 또는 인터넷 홈페이지에 공개)
2. 목적 외 이용/제공을 위해 동의받을 시 동의 항목
3. 공공기관은 관보 또는 인터넷 홈페이지 등에 게재(30일 이내 / 인터넷은 10일 이상 유지)
제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 통지)
① 정보주체 이외로부터 수집한 개인정보 처리 시 정보주체의 요구가 있으면 아래의 모든 사항을 알려야 함
1. 수집 출처
2. 처리 목적
3. 처리 정지 요구 및 동의 철회 권리가 있다는 사실
>> 정보주체가 1~3번 중 하나라도 요구한다면 3가지 사항을 반드시 모두 알려야 함(1~2가지만 알리면 안 됨)
② 기준에 부합하는 개인정보 처리자는 정보주체 이외로부터 수집 및 처리 시 1항의 모든 사항을 정보주체에게 알려야 함(개인정보에 연락처 없으면 해당 X)
>> 제20조의2(개인정보 이용ㆍ제공 내역의 통지)와 함께 통지할 수 있음
수집출처 통지 세부사항(시행령 제15조의2)
1. 통지 기준:
- 5만명 이상 민감정보/고유식별정보 처리
- 100만명 이상의 개인정보 처리
2. 통지 시기: 개인정보 제공받은 날로부터 3개월 이내 (주기적 제공 시 연 1회 이상)
3. 통지 방법
- 서면, 전자우편, 전화, 문자전송 등
- 재화 및 서비스 제공 과정에서 쉽게 알 수 있는 알림창
4. 통지 내역 보관(개인정보 파기 시까지)
- 정보주체에게 알린 사실
- 알린 시기
- 알린 방법
정보주체 요구 시 알려야 하는 사항(1개라도 요구하면 3개 모두 알려야 함)
+ 5만명/100만명 이상 개인정보처리자는 정보 수집 및 처리 시 3개월 이내에 통지하고, 통지 내역을 파기 시까지 보관 필요
제20조의2(개인정보 이용ㆍ제공 내역의 통지)
① 기준에 부합하는 개인정보 처리자는 개인정보의 이용ㆍ제공 내역(을 확인할 수 있는 방법)을 주기적으로 정보주체에게 통지해야 함
>> 통지내역 보관 의무 X
수집출처 통지 세부사항(시행령 제15조의3)
1. 통지 기준:
- 5만명 이상 민감정보/고유식별정보 처리
- 100만명 이상의 개인정보 처리
2. 통지 시기: 연 1회 이상
3. 통지 방법
- 서면, 전자우편, 전화, 문자전송 등
- 재화 및 서비스 제공 과정에서 쉽게 알 수 있는 알림창
4. 통지 항목
- 개인정보의 수집ㆍ이용 목적 및 수집한 개인정보의 항목
- 개인정보를 제공받은 제3자와 그 제공 목적 및 제공한 개인정보의 항목
5. 통지 예외대상
- 거부의사 표시한 정보주체
- 개인정보처리자 소속 임직원 또는 업무 관련기관
- 법률 상 규정 또는 법령 상 의무
- 공공기관 소관업무 관련
매년 이용/제공 내역을 통지해야 하는 의무를 발생시키는 조항이다. 통지 항목이 다른 항목들과 다르기 때문에 유의해야 한다.
통지 예외대상도 중요하다.(법률 또는 공공기관 소관업무로 인한 이용은 통지하지 않아도 되며, 개인정보처리자 소속 임직원도 통지 예외대상임)
제22조의2(아동의 개인정보 보호)
① 개인정보처리자는 만 14세 미만 아동의 개인정보를 처리하기 위하여 이 법에 따른 동의를 받아야 할 때에는 그 법정대리인의 동의를 받아야 하며, 법정대리인이 동의하였는지를 확인하여야 한다.
>> 동의 시 적법한 법정대리인인지 본인확인 등을 통해 검증 필요
② 제1항에도 불구하고 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보로서 대통령령으로 정하는 정보는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있다.
>> 최소한의 정보: 법정대리인 성명 및 연락처 (동의하지 않을 경우 5일 이내 법정대리인 개인정보 삭제)
③ 개인정보처리자는 만 14세 미만의 아동에게 개인정보 처리와 관련한 사항의 고지 등을 할 때에는 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어를 사용하여야 한다.
>> 법정대리인 동의받는 방법
1) 인터넷 사이트 이용 + 핸드폰 문자메시지
2) 인터넷 사이트 이용 + 카드정보 제공
3) 인터넷 사이트 이용 + 핸드폰 본인인증
4) 직접 서명날인 후 제출
5) 전자우편 이용
6) 전화로 동의 또는 전화로 확인할 수 있는 방법 제공
제23조(민감정보의 처리 제한)
①개인정보처리자는 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 “민감정보”라 한다)를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.
1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우
>> 민감정보: 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활, 유전정보, 범죄경력자료, 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보, 인종/민족
② 민감정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 조치를 하여야 한다.
③ 개인정보처리자는 재화 또는 서비스를 제공하는 과정에서 공개되는 정보에 정보주체의 민감정보가 포함됨으로써 사생활 침해의 위험성이 있다고 판단하는 때에는 재화 또는 서비스의 제공 전에 민감정보의 공개 가능성 및 비공개를 선택하는 방법을 정보주체가 알아보기 쉽게 알려야 한다.
특정 정보가 민감정보에 포함되는지 잘 숙지해야 하며, 민감정보의 공개 가능성 및 비공개를 선택하는 방법을 재화/서비스 제공 전에 알려야 한다는 점도 중요하다. 보통은 개인정보 처리방침에 포함한다.
제24조(고유식별정보의 처리 제한)
① 개인정보처리자는 다음 각 호의 경우를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보(이하 “고유식별정보”라 한다)를 처리할 수 없다.
1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우
>> 고유식별정보: 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호
③ 고유식별정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다.
④ 보호위원회는 처리하는 개인정보의 종류ㆍ규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제3항에 따라 안전성 확보에 필요한 조치를 하였는지에 관하여 대통령령으로 정하는 바에 따라 정기적으로 조사하여야 한다.
>> 아래 대상에 대해 3년에 1회 정기적으로 조사해야 함
- 1만명 이상의 고유식별정보를 처리하는 공공기관
- 법 위반 이력/내용/정도를 고려하여 조사의 필요성이 인정되는 공공기관
- 공공기관 외 고유식별정보 5만명 이상 처리하는 개인정보처리자
⑤ 보호위원회는 대통령령으로 정하는 전문기관으로 하여금 제4항에 따른 조사를 수행하게 할 수 있다.
제24조의2(주민등록번호 처리의 제한)
① 제24조제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다.
1. 법률ㆍ대통령령ㆍ국회규칙ㆍ대법원규칙ㆍ헌법재판소규칙ㆍ중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
3. 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 보호위원회가 고시로 정하는 경우
>> 정보주체의 동의 만으로는 처리하면 안 됨
② 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다.
>> 반드시 암호화 해야 함
③ 개인정보처리자는 제1항 각 호에 따라 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다.
④ 보호위원회는 개인정보처리자가 제3항에 따른 방법을 제공할 수 있도록 관계 법령의 정비, 계획의 수립, 필요한 시설 및 시스템의 구축 등 제반 조치를 마련ㆍ지원할 수 있다.
주민등록번호는 정보주체의 동의 만으로는 처리가 불가하다. 또한 암호화 조치가 무조건 적용되어야 한다.
제28조의2(가명정보의 처리 등)
① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.
② 개인정보처리자는 제1항에 따라 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 아니 된다.
가명정보를 처리할 수 있는 요건을 숙지해야 한다.
제28조의3(가명정보의 결합 제한)
① 제28조의2에도 불구하고 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합은 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행한다.
② 결합을 수행한 기관 외부로 결합된 정보를 반출하려는 개인정보처리자는 가명정보 또는 익명정보로 처리한 뒤 전문기관의 장의 승인을 받아야 한다.
③ 제1항에 따른 결합 절차와 방법, 전문기관의 지정과 지정 취소 기준ㆍ절차, 관리ㆍ감독, 제2항에 따른 반출 및 승인 기준ㆍ절차 등 필요한 사항은 대통령령으로 정한다.
제28조의4(가명정보에 대한 안전조치의무 등)
① 개인정보처리자는 제28조의2 또는 제28조의3에 따라 가명정보를 처리하는 경우에는 원래의 상태로 복원하기 위한 추가 정보를 별도로 분리하여 보관ㆍ관리하는 등 해당 정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 않도록 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.
② 개인정보처리자는 제28조의2 또는 제28조의3에 따라 가명정보를 처리하는 경우 처리목적 등을 고려하여 가명정보의 처리 기간을 별도로 정할 수 있다.
③ 개인정보처리자는 가명정보를 처리하고자 하는 경우에는 가명정보의 처리 목적, 제3자 제공 시 제공받는 자, 가명정보의 처리 기간(제2항에 따라 처리 기간을 별도로 정한 경우에 한한다) 등 가명정보의 처리 내용을 관리하기 위하여 대통령령으로 정하는 사항에 대한 관련 기록을 작성하여 보관하여야 하며, 가명정보를 파기한 경우에는 파기한 날부터 3년 이상 보관하여야 한다.
>> 가명정보 처리 시 기록 항목
1. 처리 목적
2. 가명처리 항목
3. 이용내역
4. 제3자 제공 시 제공받는 자
5. 처리 기간(처리 기간을 정한 경우에 한정)
가명정보 처리 시 기록 항목을 잘 알아둬야 한다. 일반적인 수집 동의 항목과 헷갈릴 수 있다. 해당 기록 항목은 가명정보 를 파기한 날로부터 3년 이상 보관해야 한다는 점도 중요하다.
제28조의5(가명정보 처리 시 금지의무 등)
① 제28조의2 또는 제28조의3에 따라 가명정보를 처리하는 자는 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 아니 된다.
② 개인정보처리자는 제28조의2 또는 제28조의3에 따라 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리를 중지하고, 지체 없이 회수ㆍ파기하여야 한다.
제28조의7(적용범위)
>> 가명정보 적용 예외:
1. 수집출처 통지
2. 이용/제공내역 통지
3. 영업 양수도 시 통지
4. 유출 통지/신고
5. 열람청구 등(열람 요구, 전송 요구, 정정/삭제 요구, 처리 정지 요구)
>> 가명정보 라고 해도, 아래의 내용에 대해서는 개인정보보호법 적용 대상임
1. 파기
2. 위수탁
3. 국외이전
4. 제공
제17조(개인정보의 제공)
① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다.
1. 정보주체의 동의를 받은 경우
2. 제15조제1항제2호, 제3호 및 제5호부터 제7호까지에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우
>> 계약 체결 및 이행 목적으로는 정보주체의 동의없이 개인정보를 제공할 수 없음
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보를 제공받는 자
2. 개인정보를 제공받는 자의 개인정보 이용 목적
3. 제공하는 개인정보의 항목
4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
④ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 제공할 수 있다.
이 조항 역시 눈감고도 외워야 하는 중요한 내용이다.
제3자 제공을 위한 동의 항목에 "받" 와 "하"를 헷갈리지 않도록 잘 알아둬야 한다.
제26조(업무위탁에 따른 개인정보의 처리 제한)
① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서로 하여야 한다.
1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
2. 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항
3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항
>>
1) 위탁업무의 목적 및 범위
2) 재위탁 제한 (재위탁 시 위탁자 동의 필요)
3) 안전성 확보 조치
4) 관리감독 및 손해배상 등 책임
② 위탁자는 위탁 업무 내용과 (재)수탁자를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
>> 개인정보 처리방침에 공개
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다.
④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다.
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다.
⑥ 수탁자는 위탁받은 개인정보의 처리 업무를 제3자에게 다시 위탁하려는 경우에는 위탁자의 동의를 받아야 한다.
⑦ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다.
헷갈리는 내용이 많은 조항이다.
1. 위수탁 계약서에 포함되는 내용
2. 재화 또는 서비스 홍보 목적의 업무 위탁은 정보주체 통지 필요(위탁 업무 내용, 수탁자) > 정보주체 동의가 필요한 것은 아님
3. 교육 및 관리감독 의무
4. 재위탁 제한 = 위탁자 동의 필요
제27조(영업양도 등에 따른 개인정보의 이전 제한)
① 개인정보처리자는 영업의 전부 또는 일부의 양도ㆍ합병 등으로 개인정보를 다른 사람에게 이전하는 경우에는 미리 다음 각 호의 사항을 대통령령으로 정하는 방법에 따라 해당 정보주체에게 알려야 한다.
1. 개인정보를 이전하려는 사실
2. 개인정보를 이전받는 자(이하 “영업양수자등”이라 한다)의 성명(법인의 경우에는 법인의 명칭을 말한다), 주소, 전화번호 및 그 밖의 연락처
3. 정보주체가 개인정보의 이전을 원하지 아니하는 경우 조치할 수 있는 방법 및 절차
② 영업양수자등은 개인정보를 이전받았을 때에는 지체 없이 그 사실을 대통령령으로 정하는 방법에 따라 정보주체에게 알려야 한다. 다만, 개인정보처리자가 제1항에 따라 그 이전 사실을 이미 알린 경우에는 그러하지 아니하다.
>> 1차적 통지 책임은 양도자에게 있으나, 양수자에게도 2차적으로 책임이 부과됨
③ 영업양수자등은 영업의 양도ㆍ합병 등으로 개인정보를 이전받은 경우에는 이전 당시의 본래 목적으로만 개인정보를 이용하거나 제3자에게 제공할 수 있다. 이 경우 영업양수자등은 개인정보처리자로 본다.
제28조의8(개인정보의 국외 이전)
① 개인정보처리자는 개인정보를 국외로 제공(조회되는 경우를 포함한다)ㆍ처리위탁ㆍ보관(이하 이 절에서 “이전”이라 한다)하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 국외로 이전할 수 있다.
1. 정보주체로부터 국외 이전에 관한 별도의 동의를 받은 경우
2. 법률, 대한민국을 당사자로 하는 조약 또는 그 밖의 국제협정에 개인정보의 국외 이전에 관한 특별한 규정이 있는 경우
3. 정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁ㆍ보관이 필요한 경우로서 다음 각 목의 어느 하나에 해당하는 경우
가. 제2항 각 호의 사항을 제30조에 따른 개인정보 처리방침에 공개한 경우
나. 전자우편 등 대통령령으로 정하는 방법에 따라 제2항 각 호의 사항을 정보주체에게 알린 경우
4. ISMS-P 인증 + 다음 각 목의 조치를 모두 한 경우
가. 개인정보 보호에 필요한 안전조치 및 정보주체 권리보장에 필요한 조치
나. 인증받은 사항을 개인정보가 이전되는 국가에서 이행하기 위하여 필요한 조치
5. 개인정보가 이전되는 국가 또는 국제기구의 개인정보 보호체계, 정보주체 권리보장 범위, 피해구제 절차 등이 이 법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준을 갖추었다고 보호위원회가 인정하는 경우
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 미리 다음 각 호의 사항을 정보주체에게 알려야 한다.
1. 이전되는 개인정보 항목
2. 개인정보가 이전되는 국가, 시기 및 방법
3. 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭과 연락처를 말한다)
4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간
5. 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과
③ 개인정보처리자는 제2항 각 호의 어느 하나에 해당하는 사항을 변경하는 경우에는 정보주체에게 알리고 동의를 받아야 한다.
④ 개인정보처리자는 제1항 각 호 외의 부분 단서에 따라 개인정보를 국외로 이전하는 경우 국외 이전과 관련한 이 법의 다른 규정, 제17조부터 제19조까지의 규정 및 제5장의 규정을 준수하여야 하고, 대통령령으로 정하는 보호조치를 하여야 한다.
⑤ 개인정보처리자는 이 법을 위반하는 사항을 내용으로 하는 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다.
최근 들어 중요해지고 있는 조항이다.
국외 이전 요건이 많기 때문에 잘 알아둬야 하며, 국외 이전 동의 항목에 국가, 시기 및 방법과 거부하는 방법, 절차 및 거부의 효과가 포함된 것도 중요하다.
제28조의9(개인정보의 국외 이전 중지 명령)
① 보호위원회는 개인정보의 국외 이전이 계속되고 있거나 추가적인 국외 이전이 예상되는 경우로서 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보처리자에게 개인정보의 국외 이전을 중지할 것을 명할 수 있다.
1. 제28조의8제1항, 제4항 또는 제5항을 위반한 경우
2. 개인정보를 이전받는 자나 개인정보가 이전되는 국가 또는 국제기구가 이 법에 따른 개인정보 보호 수준에 비하여 개인정보를 적정하게 보호하지 아니하여 정보주체에게 피해가 발생하거나 발생할 우려가 현저한 경우
>> 부적절한 근거를 통한 개인정보 국외 이전, 안전조치 미 수행, 개인정보보호법을 위반하여 국외 이전하는 경우
② 개인정보처리자는 제1항에 따른 국외 이전 중지 명령을 받은 경우에는 명령을 받은 날부터 7일 이내에 보호위원회에 이의를 제기할 수 있다.
제31조의2(국내대리인의 지정)
① 국내에 주소 또는 영업소가 없는 개인정보처리자로서 매출액, 개인정보의 보유 규모 등을 고려하여 대통령령으로 정하는 자는 다음 각 호의 사항을 대리하는 자(이하 “국내대리인”이라 한다)를 지정하여야 한다. 이 경우 국내대리인의 지정은 문서로 하여야 한다.
1. 제31조제3항에 따른 개인정보 보호책임자의 업무
2. 제34조제1항 및 제3항에 따른 개인정보 유출 등의 통지 및 신고
3. 제63조제1항에 따른 물품ㆍ서류 등 자료의 제출
>>
1) 전년도 전체 매출액 1조원 이상
2) 전년도 말 직전 3개월 간 개인정보가 관리되고 있는 국내 정보주체의 수가 일 평균 100만명 이상
② 국내대리인은 국내에 주소 또는 영업소가 있어야 한다.
③ 개인정보처리자는 제1항에 따라 국내대리인을 지정하는 경우에는 다음 각 호의 사항을 개인정보 처리방침에 포함하여야 한다.
1. 국내대리인의 성명(법인의 경우에는 그 명칭 및 대표자의 성명을 말한다)
2. 국내대리인의 주소(법인의 경우에는 영업소의 소재지를 말한다), 전화번호 및 전자우편 주소
④ 국내대리인이 제1항 각 호와 관련하여 이 법을 위반한 경우에는 개인정보처리자가 그 행위를 한 것으로 본다.
국외의 개인정보처리자에게 원활한 법 적용을 위한 조치인 것 같다. 국내대리인 지정 의무 요건이 전체 매출액 1조원 이상인 점이 다른 조항과 다른 부분이다.
또한 국내대리인을 지정하는 경우에는 그 성명과 주소, 연락처를 개인정보처리방침에 포함해야 한다.
'ISMS-P > 개인정보보호법' 카테고리의 다른 글
| 개인정보의 안전성 확보조치 기준 안내서 (0) | 2025.03.10 |
|---|---|
| 개인정보보호법-3(보유, 파기, 정보주체 권리보장, 손해보상, 분쟁조정) (0) | 2025.03.06 |
| 개인정보보호법-1(일반, 수집) (0) | 2025.02.09 |