| ■■■ 관련 법률 ■■■ [개인정보보호법] 제4조(정보주체의 권리) 정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다. 1. 개인정보의 처리에 관한 정보를 제공받을 권리 2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리 3. 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다. 이하 같다.)을 요구할 권리 4. 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리 5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리 |
○ 헌법상 기본권인 ‘개인정보자기결정권’을 반영
- 정보주체는 개인정보의 수집, 이용, 제공, 파기 등 개인정보의 처리에 관한 사항을 개인정보처리자로부터 제공받을 권리가 있다.
- 개인정보처리자는 수집, 이용, 제공목적 등에 관한 고지의무, 개인정보처리방침의 공개의무 등을 준수하여야 한다.
3) 개인정보의 처리에 관한 동의여부, 동의범위 등을 선택하고 결정할 권리
- 개인정보자기결정권: 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리
- 정보주체가 개인정보의 처리에 관하여 자율적, 실질적인 동의권을 확보하는 것은 개인정보자기결정원의 본질적 요소
- 개인정보의 수집, 이용 등의 목적, 개인정보의 항목 등이 정보주체에게 정확히 고지되어야 하고,
- 이에 대한 포괄적인 동의를 하도록 강요하는 것은 금지
4) 개인정보의 처리 여부를 확인하고 개인정보에 대한 열람을 요구할 권리
| ■■■ 관련 법률 ■■■ [개인정보보호법] 제35조(개인정보의 열람) ① 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다. ② 제1항에도 불구하고 정보주체가 자신의 개인정보에 대한 열람을 공공기관에 요구하고자 할 때에는 공공기관에 직접 열람을 요구하거나 대통령령으로 정하는 바에 따라 안전행정부장관을 통하여 열람을 요구할 수 있다. ③ 개인정보처리자는 제1항 및 제2항에 따른 열람을 요구받았을 때에는 대통령령으로 정하는 기간 내에 정보주체가 해당 개인정보를 열람할 수 있도록 하여야 한다. 이 경우 해당 기간 내에 열람할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알리고 열람을 연기할 수 있으며, 그 사유가 소멸하면 지체 없이 열람하게 하여야 한다. ④ 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있다. 1. 법률에 따라 열람이 금지되거나 제한되는 경우 2. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 3. 공공기관이 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우 가. 조세의 부과·징수 또는 환급에 관한 업무 나. 「초·중등교육법」 및 「고등교육법」에 따른 각급 학교, 「평생교육법」에 따른 평생교육시설, 그 밖의 다른 법률에 따라 설치된 고등교육기관에서의 성적 평가 또는 입학자 선발에 관한 업무 다. 학력·기능 및 채용에 관한 시험, 자격 심사에 관한 업무 라. 보상금·급부금 산정 등에 대하여 진행 중인 평가 또는 판단에 관한 업무 마. 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무 ⑤ 제1항부터 제4항까지의 규정에 따른 열람 요구, 열람 제한, 통지 등의 방법 및 절차에 관하여 필요한 사항은 대통령령으로 정한다. |
○ 개인정보보호법은 개인정보 열람요구권을 보장
- 직접 제공한 개인정보: 이름, 주소, 아이디
- 제3자 또는 공개된 소스에저 수집 및 생산한 개인정보: 주문내역, 통화내역, 신용카드 사용내역, 진료기록, 신용평가, 인사평가, 거래내역 등
- 서비스 제공 시 자동 생성된 개인정보: 수발신 내역, 입출기록, 쿠키, 로그기록 등
○ 열람요구의 방법•절차
- <개인정보 열람요구서[1]> 제출
- 공공기관에 요구: 직접 또는 안전행정부 장관을 통해 요구
○ 열람조치
- 열람을 요구받았을 때에는 10일 이내에 열람하도록 조치
- 일부만 열람하게 할 경우에는 <열람통지서>로 정보주체에게 통지
- 연기나 거절할 경우에는 <열람의 연기•거절통지서>를 정보주체에게 통지
[1] 개인정보보호법 시행령 제41조제1항 (열람요구 항목)
1. 개인정보의 항목 및 내용
2. 개인정보의 수집·이용의 목적
3. 개인정보 보유 및 이용 기간
4. 개인정보의 제3자 제공 현황
5. 개인정보 처리에 동의한 사실 및 내용
5) 개인정보의 처리 정지, 정정•삭제 및 파기를 요구할 권리
| ■■■ 관련 법률 ■■■ [개인정보보호법] 제36조(개인정보의 정정·삭제) ① 제35조에 따라 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다. ② 개인정보처리자는 제1항에 따른 정보주체의 요구를 받았을 때에는 개인정보의 정정 또는 삭제에 관하여 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체 없이 그 개인정보를 조사하여 정보주체의 요구에 따라 정정·삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다. ③ 개인정보처리자가 제2항에 따라 개인정보를 삭제할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다. ④ 개인정보처리자는 정보주체의 요구가 제1항 단서에 해당될 때에는 지체 없이 그 내용을 정보주체에게 알려야 한다. ⑤ 개인정보처리자는 제2항에 따른 조사를 할 때 필요하면 해당 정보주체에게 정정·삭제 요구사항의 확인에 필요한 증거자료를 제출하게 할 수 있다. ⑥ 제1항·제2항 및 제4항에 따른 정정 또는 삭제 요구, 통지 방법 및 절차 등에 필요한 사항은 대통령령으로 정한다. 제37조(개인정보의 처리정지 등) ① 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구할 수 있다. 이 경우 공공기관에 대하여는 제32조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구할 수 있다. ② 개인정보처리자는 제1항에 따른 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다. 1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 2. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 3. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우 4. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우 ③ 개인정보처리자는 제2항 단서에 따라 처리정지 요구를 거절하였을 때에는 정보주체에게 지체 없이 그 사유를 알려야 한다. ④ 개인정보처리자는 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여 지체 없이 해당 개인정보의 파기 등 필요한 조치를 하여야 한다. ⑤ 제1항부터 제3항까지의 규정에 따른 처리정지의 요구, 처리정지의 거절, 통지 등의 방법 및 절차에 필요한 사항은 대통령령으로 정한다. |
○ 정보주체의 정정•삭제 요구권 보장
- <개인정보 정정•삭제 요구서> 제출
○ 정정•삭제 등의 조치
- 개인정보처리자는 증거자료의 조사 : 정정•삭제를 요구받으면 개인정보를 조사하여야
- 개인정보처리자는 정정•삭제 요구사항 확인에 필요한 증거자료를 제출하게 할 수 있다
- 개인정보처리자는 요구가 정당하다면 10일 이내에 조치하여 <개인정보 정정•삭제 결과통지서>를 정보주체에게 통지
- 삭제할 때에는 복구 또는 재생되지 않도록 조치
○ 삭제 거부: 법률
- 통신비밀보호법 시행령 제41조(전기통신사업자의 협조의무 등)
- 전자상거래 등에서의 소비자보호에 관한 법률 시행령 제6조(사업자가 보존하는 거래기록 대상 등)
○ 정보주체의 처리정지 요구권
- 처리정지 요구권: 개인정보처리 활동에 대한 정지를 요구
- 동의 철회권: 정보주체 자신이 동의한 것에 대해서만 동의를 철회
- <개인정보 처리정지 요구서>를 개인정보처리자에게 제출
○ 개인정보의 처리정지
- 10일 이내 처리정지 조치한 사실 정보주체에게 통지
○ 처리정지 요구의 거부
- 10일 이내 거부 사유를 <개인정보 처리정지 요구에 대한 결과 통지서>로 정보주체에 통지
6) 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리
| ■■■ 관련 법률 ■■■ [개인정보보호법] 제39조(손해배상책임) ① 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. ② 개인정보처리자가 이 법에 따른 의무를 준수하고 상당한 주의와 감독을 게을리하지 아니한 경우에는 개인정보의 분실·도난·유출·변조 또는 훼손으로 인한 손해배상책임을 감경받을 수 있다. |
○ 손해배상청구권의 성립요건
- 개인정보보호법에 대한 위반행위가 있을 것
- 위반행위로 인해 손해가 발생했을 것
- 손해와 법 위반행위 사이의 인과관계가 있을 것
- 고의•과실 및 책임능력이 존재할 것
○ 고의•과실에 대한 개인정보처리자의 입증책임 전환
- 개인정보처리자 자신에게 고의 또는 과실이 없음을 스스로 입증하여야 한다.
○ 손해배상책임의 감경
- 개인정보처리자의 법규준수 및 선관주의의무를 전제로 감경
| ■■■ 관련 법률 ■■■ [개인정보보호법] 제22조(동의를 받는 방법) ⑤ 개인정보처리자는 만 14세 미만 아동의 개인정보를 처리하기 위하여 이 법에 따른 동의를 받아야 할 때에는 그 법정대리인의 동의를 받아야 한다. 이 경우 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있다. [개인정보보호법] 제38조(권리행사의 방법 및 절차) ② 만 14세 미만 아동의 법정대리인은 개인정보처리자에게 그 아동의 개인정보 열람등요구를 할 수 있다. |
○ 만 14세 미만 아동의 개인정보 처리시 법정대리인 동의
- 만 14세 미만 아동의 개인정보를 처리할 때에는 반드시 법정대리인의 동의를 받아야 한다.
- 법정대리인의 성명, 연락처는 아동으로부터 수집할 수 있다.
○ 만 14세 미만 아동의 법정대리인 순위
1. 친권자(부모)
2. 부모의 유언에 의한 후견인
3. 직계혈족으로 후견인
4. 3촌 이내 방계혈족으로 후견인
5. 보호시설의 장으로 후견인
○ 만 14세 미만 아동의 개인정보에 대한 법정대리인의 열람, 정정•삭제, 처리정지요구권
- 동의받는 방법에 따라 권리행사도 동일하게 법정대리인이 행사
| ■■■ 관련 법률 ■■■ [정보통신망법] 제30조(이용자의 권리 등) ① 이용자는 정보통신서비스 제공자등에 대하여 언제든지 개인정보 수집·이용·제공 등의 동의를 철회할 수 있다. ② 이용자는 정보통신서비스 제공자 등에 대하여 본인에 관한 다음 각 호의 어느 하나의 사항에 대한 열람이나 제공을 요구할 수 있고 오류가 있는 경우에는 그 정정을 요구할 수 있다. 1. 정보통신서비스 제공자 등이 가지고 있는 이용자의 개인정보 2. 정보통신서비스 제공자 등이 이용자의 개인정보를 이용하거나 제3자에게 제공한 현황 3. 정보통신서비스 제공자 등에게 개인정보 수집·이용·제공 등의 동의를 한 현황 ③ 정보통신서비스 제공자 등은 이용자가 제1항에 따라 동의를 철회하면 지체 없이 수집된 개인정보를 파기하는 등 필요한 조치를 하여야 한다. ④ 정보통신서비스 제공자 등은 제2항에 따라 열람 또는 제공을 요구받으면 지체 없이 필요한 조치를 하여야 한다. ⑤ 정보통신서비스 제공자 등은 제2항에 따라 오류의 정정을 요구받으면 지체 없이 그 오류를 정정하거나 정정하지 못하는 사유를 이용자에게 알리는 등 필요한 조치를 하여야 하고, 필요한 조치를 할 때까지는 해당 개인정보를 이용하거나 제공하여서는 아니 된다. 다만, 다른 법률에 따라 개인정보의 제공을 요청받은 경우에는 그 개인정보를 제공하거나 이용할 수 있다. ⑥ 정보통신서비스 제공자 등은 제1항에 따른 동의의 철회 또는 제2항에 따른 개인정보의 열람·제공 또는 오류의 정정을 요구하는 방법을 개인정보의 수집방법보다 쉽게 하여야 한다. ⑦ 영업양수자 등에 대하여는 제1항부터 제6항까지의 규정을 준용한다. 이 경우 "정보통신서비스 제공자 등"은 "영업양수자 등"으로 본다.. [정보통신망법] 제32조(손해배상) ① 이용자는 정보통신서비스 제공자 등이 이 장의 규정을 위반한 행위로 손해를 입으면 그 정보통신서비스 제공자등에게 손해배상을 청구할 수 있다. 이 경우 해당 정보통신서비스 제공자 등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. |
- 정보통신망법은 정보주체의 권리에 관한 총칙적 규정은 없으나 개별 규정에서 동의권, 동의철회권, 열람 및 정정요구권, 손해배상청구권을 규정하고 있다.
- 신용정보보호법은 개별 규정에서 신용정보주체의 동의철회권, 신용정보 제공사실 통보요구권, 신용정보의 열람 및 정정청구권, 신용정보주체의 손해배상청구권을 규정하고 있다.
'정보보호관리체계(ISMS-P) > 개인정보보호' 카테고리의 다른 글
| 개인정보보호 제도(8) - 단체 소송 (0) | 2022.06.12 |
|---|---|
| 개인정보보호 제도(7) - 분쟁 조정 (0) | 2022.06.12 |
| 개인정보보호 제도(5) (0) | 2022.06.12 |
| 개인정보보호 제도(4) (0) | 2022.06.12 |
| 개인정보보호 제도(3) - 영상정보처리기기의 설치•운영 제한 (0) | 2022.06.12 |