|
■■■ 관련 법률 ■■■
[개인정보보호법] 제32조(개인정보파일의 등록 및 공개) ① 공공기관의 장이 개인정보파일을 운용하는 경우에는 다음 각 호의 사항을 안전행정부장관에게 등록하여야 한다. 등록한 사항이 변경된 경우에도 또한 같다. 1. 개인정보파일의 명칭 2. 개인정보파일의 운영 근거 및 목적 3. 개인정보파일에 기록되는 개인정보의 항목 4. 개인정보의 처리방법 5. 개인정보의 보유기간 6. 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자 7. 그 밖에 대통령령으로 정하는 사항 ② 다음 각 호의 어느 하나에 해당하는 개인정보파일에 대하여는 제1항을 적용하지 아니한다. 1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일 2. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일 3. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일 4. 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보파일 5. 다른 법령에 따라 비밀로 분류된 개인정보파일 ③ 안전행정부장관은 필요하면 제1항에 따른 개인정보파일의 등록사항과 그 내용을 검토하여 해당 공공기관의 장에게 개선을 권고할 수 있다. ④ 안전행정부장관은 제1항에 따른 개인정보파일의 등록 현황을 누구든지 쉽게 열람할 수 있도록 공개하여야 한다. ⑤ 제1항에 따른 등록과 제4항에 따른 공개의 방법, 범위 및 절차에 관하여 필요한 사항은 대통령령으로 정한다. ⑥ 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관을 포함한다)의 개인정보파일 등록 및 공개에 관하여는 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙으로 정한다. |
○ 개인정보파일 등록 의무
- 파일 등록 의무자(표준지침 제53조) : 개인정보파일을 운용하는 경우 공공기관
1. 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다.) 및 그 소속 기관, 지방자치단체
2. 「국가인권위원회법」에 따른 국가인권위원회
3. 「공공기관의 운영에 관한 법률」에 따른 공공기관
4. 「지방공기업법」에 따른 지방공사 및 지방공단
5. 특별법에 의하여 설립된 특수법인
6. 「초·중등교육법」, 「고등교육법」및 그 밖의 다른 법률에 따라 설치된 각급 학교
- 파일 등록 주체(표준지침 제55조) : 공공기관의 개인정보 보호책임자
① 개인정보파일을 운용하는 공공기관의 개인정보 보호책임자는 그 현황을 안전행정부에 등록하여야 한다.
② 중앙행정기관, 광역자치단체, 특별자치시도, 기초자치단체는 안전행정부에 직접 등록하여야 한다.
③ 교육청 및 각급 학교 등은 교육과학기술부를 통하여 안전행정부에 등록하여야 한다.
④ 중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관은 상위 관리기관을 통하여 안전행정부에 등록하여야 한다.
- 파일 등록 사항(표준지침 제56조)
1. 개인정보파일을 운용하는 공공기관의 명칭
2. 개인정보파일의 명칭
3. 개인정보파일의 운영 근거 및 목적
4. 개인정보파일에 기록되는 개인정보의 항목
5. 개인정보파일로 보유하고 있는 개인정보의 정보주체 수
6. 개인정보의 처리방법
7. 개인정보의 보유기간
8. 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자
9. 해당 공공기관에서 개인정보 처리 관련 업무를 담당하는 부서
10. 개인정보의 열람 요구를 접수•처리하는 부서
11. 개인정보파일의 개인정보 중 법 제35조제4항에 따라 열람을 제한하거나 거절할 수 있는 개인정보의 범위 및 제한 또는 거절 사유
12. 법 제33조제1항에 따른 개인정보 영향평가를 받은 개인정보파일의 경우에는 그 영향평가의 결과
- 등록 시한 : 운용을 시작한 날로부터 60일 이내
○ 개인정보파일 등록 제외(표준지침 제54조)
- 헌법기관의 개인정보파일 : 국회, 법원, 헌법재판소, 중앙선거관리위원회 및 그 소속기관
- 법(법 제32조제2항)에 의한 등록면제 개인정보파일
1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
2. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일
3. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
4. 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보파일
5. 다른 법령에 따라 비밀로 분류된 개인정보파일
- 적용제외 개인정보파일(법 제58조제1항)
1. 공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보
2. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보
3. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는
개인정보
- 기타 등록 의무 적용 제외 개인정보파일 : 공공기관 CCTV 등
○ 개인정보파일 등록에 대한 개선권고(표준지침 제61조제3항)
1. 개인정보파일이 과다하게 운용된다고 판단되는 경우
2. 등록하지 않은 개인정보파일이 있는 경우
3. 개인정보파일 등록 사실이 삭제되었음에도 불구하고 개인정보파일을 계속 보유하고 있는 경우
4. 개인정보 영향평가를 받은 개인정보파일을 보유하고 있음에도 그 결과를 등록사항에 포함시키지 않은 경우
5. 기타 법 제32조에 따른 개인정보파일의 등록 및 공개에 위반되는 사항이 있다고 판단되는 경우
○ 개인정보파일의 관리
- 1개의 개인정보파일에 1개의 개인정보파일관리대장 작성
- 제3자의 개인정보파일 이용•제공 요청에 대한 ‘개인정보 목적외 이용•제공대장’에 기록 관리
○ 개인정보파일의 공개
- ‘개인정보파일등록•공개 시스템(www.privacy.go.kr)을 구축•운영
- 국민은 개인정보파일의 등록 사항 열람
5) 개인정보 영향평가
|
■■■ 관련 법률 ■■■
[개인정보보호법] 제33조(개인정보 영향평가) ① 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가(이하 "영향평가"라 한다.)를 하고 그 결과를 안전행정부장관에게 제출하여야 한다. 이 경우 공공기관의 장은 영향평가를 안전행정부장관이 지정하는 기관(이하 "평가기관"이라 한다.) 중에서 의뢰하여야 한다. ② 영향평가를 하는 경우에는 다음 각 호의 사항을 고려하여야 한다. 1. 처리하는 개인정보의 수 2. 개인정보의 제3자 제공 여부 3. 정보주체의 권리를 해할 가능성 및 그 위험 정도 4. 그 밖에 대통령령으로 정한 사항 ③ 안전행정부장관은 제1항에 따라 제출받은 영향평가 결과에 대하여 보호위원회의 심의·의결을 거쳐 의견을 제시할 수 있다. ④ 공공기관의 장은 제1항에 따라 영향평가를 한 개인정보파일을 제32조제1항에 따라 등록할 때에는 영향평가 결과를 함께 첨부하여야 한다. ⑤ 안전행정부장관은 영향평가의 활성화를 위하여 관계 전문가의 육성, 영향평가 기준의 개발·보급 등 필요한 조치를 마련하여야 한다. ⑥ 제1항에 따른 평가기관의 지정기준 및 지정취소, 평가기준, 영향평가의 방법·절차 등에 관하여 필요한 사항은 대통령령으로 정한다. ⑦ 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관을 포함한다.)의 영향평가에 관한 사항은 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙으로 정하는 바에 따른다. ⑧ 공공기관 외의 개인정보처리자는 개인정보파일 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 영향평가를 하기 위하여 적극 노력하여야 한다. |
○ 개인정보영향평가(PIA, Privacy Impact Assessment)
- 정의 : 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에 그 위험요인을 분석하고 개선사항을 도출하기 위한 평가
- 평가 제도 : 개인정보 수집•활용이 수반되는 사업 추진시 개인정보 오남용으로 인한 프라이버시 침해 위험이 잠재되어 있지 않는지 조사•예측•검토하고 개선하는 제도
- 목적: 평가대상 시스템 활용에 따른 잠재적 위험을 평가하여 개인정보 침해에 따른 피해를 줄일 수 있는지를 미리 검토•반영하는 것
○ 개인정보영향평가 대상(영 제35조)
- 민감정보 또는 고유식별번호의 처리가 수반되는 개인정보파일
- 다른 개인정보파일과 연계하려는 경우 50만명 이상 정보주체의 개인정보파일
- 일반적인 개인정보파일로 100만명 이상 정보주체에 관한 개인정보파일
- 영항평가를 받은 후 변경된 부분
○ 개인정보영향평가 실시 방법
- 평가기관에 의뢰하여 수행
- 고려사항(법 제33조제2항, 영 제36조)
1. 처리하는 개인정보의 수
2. 개인정보의 제3자 제공 여부
3. 정보주체의 권리를 해할 가능성 및 그 위험 정도
4. 민감정보 또는 고유식별정보의 처리 여부
5. 개인정보 보유기간
○ 개인정보영향평가 결과의 활용(법 제33조제3항,제4항)
③ 안전행정부장관은 제1항에 따라 제출받은 영향평가 결과에 대하여 보호위원회의 심의·의결을 거쳐 의견을 제시할 수 있다.
④ 공공기관의 장은 제1항에 따라 영향평가를 한 개인정보파일을 제32조제1항에 따라 등록할 때에는 영향평가 결과를 함께 첨부하여야 한다.
|
■■■ 관련 법률 ■■■
[개인정보보호법] 제34조(개인정보 유출 통지 등) ① 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다. 1. 유출된 개인정보의 항목 2. 유출된 시점과 그 경위 3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 4. 개인정보처리자의 대응조치 및 피해 구제절차 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처 ② 개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다. ③ 개인정보처리자는 대통령령으로 정한 규모 이상의 개인정보가 유출된 경우에는 제1항에 따른 통지 및 제2항에 따른 조치 결과를 지체 없이 안전행정부장관 또는 대통령령으로 정하는 전문기관에 신고하여야 한다. 이 경우 안전행정부장관 또는 대통령령으로 정하는 전문기관은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다. ④ 제1항에 따른 통지의 시기, 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다. |
○ 개인정보 유출 통지의무 발생(표준지침 제26호)
1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장매체가 권한이 없는 자에게 잘못 전달된 경우
4. 기타 권한이 없는 자에게 개인정보가 전달되거나 개인정보처리시스템 등에 접근 가능하게 된 경우
○ 개인정보 유출 통지 사항
1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
○ 개인정보 유출 통지 시기
- ‘지체없이’는 ‘5일 이내’를 의미한다.
- 유출된 개인정보의 확산 및 추가 유출을 방지하기 위하여 접속경로의 차단, 취약점 점검보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 해당 조치를 취한 후 지체없이 정보주체에게 알릴 수 있다.
○ 개인정보 유출에 대한 긴급한 조치
1. 개인정보가 유출되었을 것으로 의심되는 개인정보처리시스템의 접속권한 삭제•변경 또는 폐쇄 조치
2. 네트워크, 방화벽 등 대내•외 시스템 보안점검 및 취약점 보완 조치
3. 수사에 필요한 외부의 접속기록 등 증거 보존 조치
4. 정보주체에게 유출 관련 사실을 통지하기 위한 유출확인 웹페이지 제작 등의 통지방법 마련 조치
5. 기타 개인정보의 유출확산 방지를 위해 필요한 기술적관리적 조치
○ 개인정보 유출 통지 방법(영 제40조)
- 서면 등의 방법으로 정보주체에게 알려야 한다. : 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상응하는 방법을 이용한 개별적 통지 방법
- 구체적 내용이 확인되지 않은 경우 : 개인정보 유출 인지 à 긴급한 조치 à 유출 사실 및 유출 확인 내용 우선 통지 à 추후 확인되는 사항 통지
- 1만명 이상 유출인 경우 : 인터넷 홈페이지에 7일 이상 게재, 오프라인 개인정보처리자는 사업장 등의 보기 쉬운 장소에 게시
○ 피해 최소화 등의 조치 의무(제2항)
- 임시 대응 조치: 시스템 일시정지, 암호 등의 변경, 유출 원인 분석, 기술적 보안조치 강화, 시스템 변경, 기술지원 의뢰 및 복구 등
- 장래 피해 예방 조치: 유사사고 발생 방지 대책 수립 및 시행
- 유출을 야기한 직•간접적인 사고발생 원인 즉시 제거
- 미비한 기술적•물리적 보호조치 보완
○ 개인정보 유출 신고 의무(제3항, 영 제39조)
- 규모: 1만명 이상의 정보 유출
|
항목
|
내용
|
|
신고기관
|
- 안전행정부(개인정보 종합지원시스템)
- 한국정보화진흥원 - 한국인터넷진흥원 |
|
신고시기
|
5일 이내(정보주체에 대한 통지 및 조치결과 신고)
|
|
신고내용
|
기관명, 통지여부, 유출된 개인정보 항목•규모, 유출시점•경위, 유출피해 최소화 대책•조치 및 결과, 정보주체가 할 수 있는 피해 최소화 방법 및 구제절차, 담당부서, 담당자 및 연락처 등
|
|
신고방법
|
- 전자우편, 팩스, 인터넷 사이트를 통해 유출사고 신고 및 신고서 제출
- 시간적 여우가 없거나 특별한 사정이 있는 경우: 전화를 통하여 통지내용을 신고한 후, 유출 신고서를 제출할 수 있음. |
'정보보호관리체계(ISMS-P) > 개인정보보호' 카테고리의 다른 글
| 개인정보보호 제도(7) - 분쟁 조정 (0) | 2022.06.12 |
|---|---|
| 개인정보보호 제도(6) - 정보주체의 권리 (0) | 2022.06.12 |
| 개인정보보호 제도(4) (0) | 2022.06.12 |
| 개인정보보호 제도(3) - 영상정보처리기기의 설치•운영 제한 (0) | 2022.06.12 |
| 개인정보보호 제도(2) (0) | 2022.06.12 |