개인정보보호 제도(4)

5) 영업양도 등에 따른 개인정보의 이전 제한

■■■ 관련 법률 ■■■ [개인정보보호법] 제27조(영업양도 등에 따른 개인정보의 이전 제한) ① 개인정보처리자는 영업의 전부 또는 일부의 양도·합병 등으로 개인정보를 다른 사람에게 이전하는 경우에는 미리 다음 각 호의 사항을 대통령령으로 정하는 방법에 따라 해당 정보주체에게 알려야 한다. 1. 개인정보를 이전하려는 사실 2. 개인정보를 이전받는 자(이하 "영업양수자등"이라 한다.)의 성명(법인의 경우에는 법인의 명칭을 말한다.), 주소, 전화번호 및 그 밖의 연락처 3. 정보주체가 개인정보의 이전을 원하지 아니하는 경우 조치할 수 있는 방법 및 절차 ② 영업양수자등은 개인정보를 이전받았을 때에는 지체 없이 그 사실을 대통령령으로 정하는 방법에 따라 정보주체에게 알려야 한다. 다만, 개인정보처리자가 제1항에 따라 그 이전 사실을 이미 알린 경우에는 그러하지 아니하다. ③ 영업양수자등은 영업의 양도·합병 등으로 개인정보를 이전받은 경우에는 이전 당시의 본래 목적으로만 개인정보를 이용하거나 제3자에게 제공할 수 있다. 이 경우 영업양수자등은 개인정보처리자로 본다. [개인정보보호법 시행령] 제29조(영업양도 등에 따른 개인정보 이전의 통지) ① 법 제27조제1항 각 호 외의 부분과 같은 조 제2항 본문에서 "대통령령으로 정하는 방법"이란 서면등의 방법을 말한다. ② 법 제27조제1항에 따라 개인정보를 이전하려는 자(이하 이 항에서 "영업양도자등"이라 한다.)가 과실 없이 제1항에 따른 방법으로 법 제27조제1항 각 호의 사항을 정보주체에게 알릴 수 없는 경우에는 해당 사항을 인터넷 홈페이지에 30일 이상 게재하여야 한다. 다만, 인터넷 홈페이지를 운영하지 아니하는 영업양도자등의 경우에는 사업장등의 보기 쉬운 장소에 30일 이상 게시하여야 한다.

○ 영업양도자 등의 통지의무(제1항)
- 정보주체의 개인정보 이전 거부권
 
○ 영업양수자 등의 통지의무(제2항)
- 당초의 목적 범위 내에서 이용 가능

4. 개인정보의 안전한 관리

1) 안전조치 의무

■■■ 관련 법률 ■■■ [개인정보보호법] 제29조(안전조치의무) 개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.

○ 관리적 안전조치 의무(시행령 제30조 제1항 제1목)
- 개인정보의 안전한 처리를 위한 내부 관리계획의 수립•시행
 
○ 기술적 안전조치 의무(시행령 제30조 제1항 제2목 ~ 제5목)
- 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치
- 개인정보를 안전하게 저장•전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
- 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조•변조 방지를 위한 조치
- 개인정보에 대한 보안프로그램의 설치 및 갱신

 

제3조(내부관리계획의 수립․시행) ① 개인정보처리자는 개인정보의 안전한 처리를 위하여 다음 각 호의 사항을 포함하는 내부관리계획을 수립․시행하여야 한다.
1. 개인정보 보호책임자의 지정에 관한 사항
2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
3. 개인정보의 안전성 확보에 필요한 조치에 관한 사항
4. 개인정보취급자에 대한 교육에 관한 사항
5. 그 밖에 개인정보 보호를 위하여 필요한 사항
② 소상공인은 제1항에 따른 내부관리계획을 수립하지 아니할 수 있다.
③ 개인정보처리자는 제1항 각호의 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다.

○ 물리적 안전조치 의무(시행령 제30조 제1항 제6목)
- 개인정보의 안전한 보관을 위한 보관시설의 마련
- 잠금장치 마련
 
○ 다른 법률
- 정보통신망법 제28조(개인정보의 보호조치): 정보통신서비스 제공자의 기술적•관리적 조치 의무
- 개인정보의 기술적관리적 보호조치 기준: 방송통신위원회고시 제2008-3호, 2008.5.19.)
- 신용정보법 제19조(신용정보전산시스템의 안전보호): 신용정보회사의 기술적•물리적•관리적 보안대책 수립 의무
 
2) 개인정보 처리방침의 수립 및 공개

■■■ 관련 법률 ■■■ [개인정보보호법] 제30조(개인정보 처리방침의 수립 및 공개) ① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 "개인정보 처리방침"이라 한다.)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다. 1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유 기간 3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다.) 4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다.) 5. 정보주체의 권리·의무 및 그 행사방법에 관한 사항 6. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항 ② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다. ③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다. ④ 안전행정부장관은 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다.

○ 개인정보 처리방침 기준
- 최소수집의무, 목적명확화의무,
 
○ 개인정보 처리방침 공개

■■■ 관련 법률 ■■■ [개인정보보호법 시행령] 제31조(개인정보 처리방침의 내용 및 공개방법 등) ① 법 제30조제1항제6호에서 "대통령령으로 정한 사항"이란 다음 각 호의 사항을 말한다. 1. 처리하는 개인정보의 항목 2. 개인정보의 파기에 관한 사항 3. 제30조에 따른 개인정보의 안전성 확보 조치에 관한 사항 ② 개인정보처리자는 법 제30조제2항에 따라 수립하거나 변경한 개인정보 처리방침을 개인정보처리자의 인터넷 홈페이지에 지속적으로 게재하여야 한다. ③ 제2항에 따라 인터넷 홈페이지에 게재할 수 없는 경우에는 다음 각 호의 어느 하나 이상의 방법으로 수립하거나 변경한 개인정보 처리방침을 공개하여야 한다. 1. 개인정보처리자의 사업장등의 보기 쉬운 장소에 게시하는 방법 2. 관보(개인정보처리자가 공공기관인 경우만 해당한다.)나 개인정보처리자의 사업장등이 있는 시·도 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조제1호가목·다목 및 같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법 3. 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물·소식지·홍보지 또는 청구서 등에 지속적으로 싣는 방법 4. 재화나 용역을 제공하기 위하여 개인정보처리자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법

- 개인정보보호법은 온라인과 오프라인을 구분하지 않고 적용되므로 인터넷 홈페이지나 게시, 관보 등을 통해 개인정보 처리방침을 공개하여야 한다.
 
○ 개인정보 처리방침 변경
- 변경하는 경우에도 개인정보주체가 변경 여부, 변경된 사항, 시기 등을 언제든지 쉽게 알 수 있도록 지속적으로 공개하여야 한다.
 
○ 개인정보 처리방침의 법적 효력
- 계약으로서 효력은 없으나, 약속으로서 효력은 있다.
- 개인정보 처리방침 내용과 개인정보처리자와 정보주체간 계약 내용이 다른 경우 정보주체에게 유리한 것을 적용한다.
 
3) 개인정보 보호책임자의 지정

■■■ 관련 법률 ■■■ [개인정보보호법] 제31조(개인정보 보호책임자의 지정) ① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다. ② 개인정보 보호책임자는 다음 각 호의 업무를 수행한다. 1. 개인정보 보호 계획의 수립 및 시행 2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선 3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제 4. 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축 5. 개인정보 보호 교육 계획의 수립 및 시행 6. 개인정보파일의 보호 및 관리·감독 7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무 ③ 개인정보 보호책임자는 제2항 각 호의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다. ④ 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고하여야 한다. ⑤ 개인정보처리자는 개인정보 보호책임자가 제2항 각 호의 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 된다. ⑥ 개인정보 보호책임자의 지정요건, 업무, 자격요건, 그 밖에 필요한 사항은 대통령령으로 정한다.

○ 개인정보 보호책임자 자격요건
- 개인정보 보호책임자의 지정요건을 정한다.
- 개인정보 보호책임자가 업무를 수행함에 있어 정당한 이유 없이 불이익을 주거나 받게하여서는 아니된다.
○ 개인정보 보호책임자의 업무(법 제31조제2항, 영 제32조제1항)
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리·감독
7. 법 제30조에 따른 개인정보 처리방침의 수립·변경 및 시행
8. 개인정보 보호 관련 자료의 관리
9. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기
 
○ 개인정보 보호책임자의 공개(표준지침 제23호)
- 개인정보 보호책임자의 지적 및 변경 사실, 성명과 부서명, 전화번호 등 연락처를 개인정보 처리방침에 공개하여야 한다.
- 개인정보 보호와 관련한 고충처리 및 상담을 실제로 처리할 수 있는 연락처를 공개하여야 한다.

 

[1] 개인정보보호법 시행령 제32조 제2항
1. 공공기관: 다음 각 목의 구분에 따른 기준에 해당하는 공무원 등
가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관: 고위공무원단에 속하는 공무원(이하 "고위공무원"이라 한다.) 또는 그에 상당하는 공무원
나. 가목 외에 정무직공무원을 장(長)으로 하는 국가기관: 3급 이상 공무원(고위공무원을 포함한다.) 또는 그에 상당하는 공무원
다. 가목 및 나목 외에 고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관: 4급 이상 공무원 또는 그에 상당하는 공무원
라. 가목부터 다목까지의 규정에 따른 국가기관 외의 국가기관(소속 기관을 포함한다.): 해당 기관의 개인정보 처리 관련 업무를 담당하는 부서의 장
마. 시·도 및 시·도 교육청: 3급 이상 공무원 또는 그에 상당하는 공무원
바. 시·군 및 자치구: 4급 공무원 또는 그에 상당하는 공무원
사. 제2조제5호에 따른 각급 학교: 해당 학교의 행정사무를 총괄하는 사람
아. 가목부터 사목까지의 규정에 따른 기관 외의 공공기관: 개인정보 처리 관련 업무를 담당하는 부서의 장. 다만, 개인정보 처리 관련 업무를 담당하는 부서의 장이 2명 이상인 경우에는 해당 공공기관의 장이 지명하는 부서의 장이 된다.
2. 공공기관 외의 개인정보처리자: 다음 각 목의 어느 하나에 해당하는 사람
가. 사업주 또는 대표자
나. 개인정보 처리 관련 업무를 담당하는 부서의 장 또는 개인정보 보호에 관한 소양이 있는 사람