12.개인정보 파기
■■■ 개인정보보호법 ■■■ 제21조(개인정보의 파기) ① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다. ② 개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다. ③ 개인정보처리자가 제1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장·관리하여야 한다. ④ 개인정보의 파기방법 및 절차 등에 필요한 사항은 대통령령으로 정한다. |
■■■ 개인정보보호법 표준지침 ■■■ 제11조(개인정보의 파기방법 및 절차) ① 개인정보처리자는 개인정보의 보유기간이 경과된 경우에는 정당한 사유가 없는 한 보유기간의 종료일로부터 5일 이내에, 개인정보의 처리 목적 달성, 해당 서비스의 폐지, 사업의 종료 등 그 개인정보가 불필요하게 되었을 때에는 정당한 사유가 없는 한 개인정보의 처리가 불필요한 것으로 인정되는 날로부터 5일이내에 그 개인정보를 파기하여야 한다. ② 시행령 제16조제2호의 ‘복원이 불가능한 방법’이란 사회통념상 현재의 기술수준에서 적절한 비용이 소요되는 방법을 말한다. ③ 개인정보처리자는 개인정보의 파기에 관한 사항을 기록․관리하여야 한다. ④ 개인정보파기의 시행 및 확인은 개인정보 보호책임자의 책임하에 수행된다. ⑤ 개인정보 보호책임자는 개인정보 파기 시행 후 파기 결과를 확인하여야한다. ⑥ 개인정보처리자 중 공공기관의 개인정보파일 파기에 관하여는 제62조 및 제63조를 적용한다. 제12조(법령에 따른 개인정보의 보존) 개인정보처리자가 법 제21조제1항단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 법령에따라 해당 개인정보 또는 개인정보파일을 보존한다는 점을 분명히 표시하여야 한다. |
■■■ 정보통신망법 ■■■ 제29조(개인정보의 파기) 정보통신서비스제공자등은 다음 각 호의 어느 하나에 해당하는 경우에는 당해 개인정보를 지체 없이 파기하여야 한다. 다만, 다른 법률에 따라 개인정보를 보존하여야 하는 경우에는 그러하지 아니하다. 1. 제22조제1항·제23조제1항 단서 또는 제24조의2제1항 및 제2항의 규정에 따라 동의를 얻은 개인정보의 수집·이용 목적 또는 제22조제2항 각 호에서 정한 해당 목적을 달성한 경우 2. 제22조제1항·제23조제1항 단서 또는 제24조의2제1항 및 제2항의 규정에 따라 동의를 얻은 개인정보의 보유 및 이용 기간이 종료한 경우 3. 제22조제2항의 규정에 따라 이용자의 동의를 얻지 않고 수집·이용한 때에는 제27조의2제2항제3호의 규정에 따른 개인정보의 보유 및 이용 기간이 종료한 경우 4. 사업을 폐지하는 경우 |
벌칙 규정 | 벌칙 |
개인정보 미파기 | 3천 만원 이하 과태료 |
개인정보를 분리하여 저장·관리하지 않는 경우 | 1천 만원 이하 과태료 |
○ (파기시점) 정보통신망법에서는 개인정보의 수집 및 이용목적이 달성된 후 등 개인정보를 파기하여야 할 경우 지체 없이 파기하여야 한다.
- ‘지체 없이’란 ‘즉시’파기를 의미하진 않으며, 합리적 이유 및 근거에 따라 가장 빠른 시기를 의미한다. 이용자의 삭제요청과 삭제조치 시점이 차이가 없는 것이 가장 바람직하나, 삭제조치에 다소 시간이 소요될 수 있는 내부사유(예를 들어, 개인정보 파기에 대한 승인 절차 등)가 존재하는 경우는 합리적인 수준일 것을 요한다. 다만 이러한 경우라도 삭제요청이 된 개인정보는 이용하지 않도록 주의하여야 한다.
○ (파기방법) 개인정보는 파기 후 식별할 수 없는 방법으로 파기하여야 한다.
- 종이에 출력된 개인정보나 가입신청서 등 개인정보가 기재된 문서의 경우 분쇄기로 분쇄하거나 소각하여야 한다.
- 전자적 파일 형태로 저장된 개인정보 기록은 재생할 수 없는 기술적 방법을 사용하여 삭제하여야 한다.
○ (파기사유) 개인정보는 ① 개인정보 수집 및 목적이 달성된 경우 ② 이용자에게 고지하거나 동의받은 보유 및 이용 기간이 종료된 경우 ③ 사업을 폐지하는 경우에 파기 하여야 한다.
○ (개인정보 취급위탁시 정보파기) 개인정보 취급위탁의 경우에도 위탁 업무에 따른 개인정보 이용 및 제공목적, 보유 및 이용기간 등이 정해져 있을 것이므로 해당 파기 사유가 발생하는 경우 취급하고 있는 개인정보를 파기하여야 한다.
- 특히 제3자에게 제공된 개인정보의 경우 개인정보 접근 범위가 넓어짐에 따라 유출 위험이 증가하므로 개인정보 제공시 보유 및 이용기간 등 파기 시점을 명확히 하고 파기 여부를 확인하여야 한다.
※ 정보통신서비스제공자는 위탁자가 정보통신망법을 위반하지 않도록 관리·감독할 의무가 있으므로 위탁자의 개인정보 파기 여부 및 파기 방법을 확인하여야 함.
○ (파기 시점 도래 전 개인정보 관리 방법) 이용자가 회원탈퇴 혹은 서비스 해지 등 동의 철회 이후에도 관련 법률 등에 따라 개인정보를 보유하여야 하는 경우에는 회원의 개인정보DB와 분리하여 해지 고객의 개인정보를 별도로 관리하고 그 접근권한을 최소화하여 일반 직원들의 접근을 제한하고 반드시 필요한 경우에만 열람 혹은 처리가 가능하도록 하여야 한다.
'정보보호관리체계(ISMS-P) > 개인정보보호' 카테고리의 다른 글
개인정보의 안전성 확보조치 기준 및 해설(1) (0) | 2022.06.12 |
---|---|
개인정보 생명주기 관리 - 이용자의 개인정보에 대한 권리 (0) | 2022.06.12 |
개인정보 생명주기 관리 - 개인정보 기술적·관리적 보호조치 (0) | 2022.06.12 |
개인정보 생명주기 관리 - 개인정보관리책임자 지정 (0) | 2022.06.12 |
개인정보 생명주기 관리 - 영업의 양수·양도시 개인정보 이전 (0) | 2022.06.12 |