개인정보 보호법 - 제4장 개인정보의 안전한 관리.
개인정보 보호법 - 제4장 개인정보의 안전한 관리에 대해 본 글에서 살펴보려고 합니다.
개인정보 보호법 - 제4장 개인정보의 안전한 관리는 제29조 ~ 제34조의 2로 이루어져 있습니다.
개인정보 보호법
제4장 개인정보의 안전한 관리
제29조(안전조치 의무)
개인정보처리자는 개인정보가 분실•도난•유출•위조•변조 또는 훼손되지 아니하도록 내부 관리 계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적•관리적 및 물리적 조치를 하여야 한다. [개정 2015.07.24]
제30조(개인정보 처리 방침의 수립 및 공개)
(1). 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리 방침”이라 한다)을 정하여야 한다.
이 경우 공공기관은 제32조에 따라 등록 대상이 되는 개인정보 파일에 대하여 개인정보 처리 방침을 정한다. [개정 2016.03.29, 2020.02.04, 2023.03.14]
- 개인정보의 처리 목적
- 개인정보의 처리 및 보유 기간
- 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
3의 2. 개인정보의 파기절차 및 파기방법(제21조 제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존 근거와 보존하는 개인정보 항목을 포함한다)
3의 3. 제23조 제3항에 따른 민감정보의 공개 가능성 및 비공개를 선택하는 방법(해당되는 경우에만 정한다) - 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
4의 2. 제28조의 2 및 제28조의 3에 따른 가명 정보의 처리 등에 관한 사항(해당되는 경우에만 정한다) - 정보주체와 법정대리인의 권리•의무 및 그 행사방법에 관한 사항
- 제31조에 따른 개인정보 보호 책임자의 성명 또는 개인정보 보호 업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
- 인터넷 접속 정보 파일 등 개인정보를 자동으로 수집하는 장치의 설치•운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)
- 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항
(2). 개인정보처리자가 개인정보 처리 방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
(3). 개인정보 처리 방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.
(4). 보호 위원회는 개인정보 처리 방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다. [개정 2013.03.23, 2014.11.19, 2017.07.26, 2020.02.04]
제30조의 2(개인정보 처리 방침의 평가 및 개선 권고)
(1). 보호 위원회는 개인정보 처리 방침에 관하여 다음 각 호의 사항을 평가하고, 평가 결과 개선이 필요하다고 인정하는 경우에는 개인정보처리자에게 제61조 제2항에 따라 개선을 권고할 수 있다.
- 이 법에 따라 개인정보 처리 방침에 포함하여야 할 사항을 적정하게 정하고 있는지 여부
- 개인정보 처리 방침을 알기 쉽게 작성하였는지 여부
- 개인정보 처리 방침을 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 여부
(2). 개인정보 처리 방침의 평가 대상, 기준 및 절차 등에 필요한 사항은 대통령령으로 정한다.
[본 조 신설 2023.03.14]
제31조(개인정보 보호 책임자의 지정 등)
(1). 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호 책임자를 지정하여야 한다.
다만, 종업원 수, 매출액 등이 대통령령으로 정하는 기준에 해당하는 개인정보처리자의 경우에는 지정하지 아니할 수 있다. [개정 2023.03.14]
(2). 제1항 단서에 따라 개인정보 보호 책임자를 지정하지 아니하는 경우에는 개인정보처리자의 사업주 또는 대표자가 개인정보 보호 책임자가 된다. [신설 2023.03.14]
(3). 개인정보 보호 책임자는 다음 각 호의 업무를 수행한다. [개정 2023.03.14]
- 개인정보 보호 계획의 수립 및 시행
- 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
- 개인정보 처리와 관련한 불만의 처리 및 피해 구제
- 개인정보 유출 및 오용•남용 방지를 위한 내부통제 시스템의 구축
- 개인정보 보호 교육 계획의 수립 및 시행
- 개인정보 파일의 보호 및 관리•감독
- 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무
(4). 개인정보 보호 책임자는 제3항 각 호의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다. [개정 2023.03.14]
(5). 개인정보 보호 책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선 조치를 하여야 하며, 필요하면 소속 기관 또는 단체의 장에게 개선 조치를 보고하여야 한다. [개정 2023.03.14]
(6). 개인정보처리자는 개인정보 보호 책임자가 제3항 각 호의 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 되며, 개인정보 보호 책임자가 업무를 독립적으로 수행할 수 있도록 보장하여야 한다. [개정 2023.03.14]
(7). 개인정보처리자는 개인정보의 안전한 처리 및 보호, 정보의 교류, 그 밖에 대통령령으로 정하는 공동의 사업을 수행하기 위하여 제1항에 따른 개인정보 보호 책임자를 구성원으로 하는 개인정보 보호 책임자 협의회를 구성•운영할 수 있다. [신설 2023.03.14]
(8). 보호 위원회는 제7항에 따른 개인정보 보호 책임자 협의회의 활동에 필요한 지원을 할 수 있다. [신설 2023.03.14]
(9). 제1항에 따른 개인정보 보호 책임자의 자격요건, 제3항에 따른 업무 및 제6항에 따른 독립성 보장 등에 필요한 사항은 매출액, 개인정보의 보유 규모 등을 고려하여 대통령령으로 정한다. [개정 2023.03.14]
[제목 개정 2023.03.14]
제31조의 2(국내 대리인의 지정)
(1). 국내에 주소 또는 영업소가 없는 개인정보처리자로서 매출액, 개인정보의 보유 규모 등을 고려하여 대통령령으로 정하는 자는 다음 각 호의 사항을 대리하는 자(이하 “국내 대리인”이라 한다)를 지정하여야 한다.
이 경우 국내 대리인의 지정은 문서로 하여야 한다. [개정 2023.03.14]
- 제31조 제3항에 따른 개인정보 보호 책임자의 업무
- 제34조 제1항 및 제3항에 따른 개인정보 유출 등의 통지 및 신고
- 제63조 제1항에 따른 물품•서류 등 자료의 제출
(2). 국내 대리인은 국내에 주소 또는 영업소가 있어야 한다. [개정 2023.03.14]
(3). 개인정보처리자는 제1항에 따라 국내 대리인을 지정하는 경우에는 다음 각 호의 사항을 개인정보 처리 방침에 포함하여야 한다. [개정 2023.03.14]
- 국내 대리인의 성명(법인의 경우에는 그 명칭 및 대표자의 성명을 말한다)
- 국내 대리인의 주소(법인의 경우에는 영업소의 소재지를 말한다), 전화번호 및 전자우편 주소
(4). 국내 대리인이 제1항 각 호와 관련하여 이 법을 위반한 경우에는 개인정보처리자가 그 행위를 한 것으로 본다. [개정 2023.03.14]
[본 조 신설 2020.02.04]
{제39조의 11에서 이동 [2023.03.14]}
제32조(개인정보 파일의 등록 및 공개)
(1). 공공기관의 장이 개인정보 파일을 운용하는 경우에는 다음 각 호의 사항을 보호 위원회에 등록하여야 한다.
등록한 사항이 변경된 경우에도 또한 같다. [개정 2013.03.23, 2014.11.19, 2017.07.26, 2020.02.04]
- 개인정보 파일의 명칭
- 개인정보 파일의 운영 근거 및 목적
- 개인정보 파일에 기록되는 개인정보의 항목
- 개인정보의 처리 방법
- 개인정보의 보유기간
- 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자
- 그 밖에 대통령령으로 정하는 사항
(2). 다음 각 호의 어느 하나에 해당하는 개인정보 파일에 대하여는 제1항을 적용하지 아니한다. [개정 2023.03.14]
- 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보 파일
- 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호 처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보 파일
- {조세범처벌법}에 따른 범칙 행위 조사 및 {관세법}에 따른 범칙 행위 조사에 관한 사항을 기록한 개인정보 파일
- 일회적으로 운영되는 파일 등 지속적으로 관리할 필요성이 낮다고 인정되어 대통령령으로 정하는 개인정보 파일
- 다른 법령에 따라 비밀로 분류된 개인정보 파일
(3). 보호 위원회는 필요하면 제1항에 따른 개인정보 파일의 등록 여부와 그 내용을 검토하여 해당 공공기관의 장에게 개선을 권고할 수 있다. [개정 2013.03.23, 2014.11.19, 2017.07.26, 2020.02.04, 2023.03.14]
(4). 보호 위원회는 정보주체의 권리 보장 등을 위하여 필요한 경우 제1항에 따른 개인정보 파일의 등록 현황을 누구든지 쉽게 열람할 수 있도록 공개할 수 있다. [개정 2013.03.23, 2014.11.19, 2017.07.26, 2020.02.04, 2023.03.14]
(5). 제1항에 따른 등록과 제4항에 따른 공개의 방법, 범위 및 절차에 관하여 필요한 사항은 대통령령으로 정한다.
(6). 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관을 포함한다)의 개인정보 파일 등록 및 공개에 관하여는 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙으로 정한다.
제32조의 2(개인정보 보호 인증)
(1). 보호 위원회는 개인정보처리자의 개인정보 처리 및 보호와 관련한 일련의 조치가 이 법에 부합하는지 등에 관하여 인증할 수 있다. [개정 2017.07.26, 2020.02.04]
(2). 제1항에 따른 인증의 유효기간은 3년으로 한다.
(3). 보호 위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 대통령령으로 정하는 바에 따라 제1항에 따른 인증을 취소할 수 있다.
다만, 제1호에 해당하는 경우에는 취소하여야 한다. [개정 2017.07.26, 2020.02.04]
- 거짓이나 그 밖의 부정한 방법으로 개인정보 보호 인증을 받은 경우
- 제4항에 따른 사후관리를 거부 또는 방해한 경우
- 제8항에 따른 인증기준에 미달하게 된 경우
- 개인정보 보호 관련 법령을 위반하고 그 위반 사유가 중대한 경우
(4). 보호 위원회는 개인정보 보호 인증의 실효성 유지를 위하여 연 1회 이상 사후관리를 실시하여야 한다. [개정 2017.07.26, 2020.02.04]
(5). 보호 위원회는 대통령령으로 정하는 전문기관으로 하여금 제1항에 따른 인증, 제3항에 따른 인증 취소, 제4항에 따른 사후관리 및 제7항에 따른 인증 심사원 관리 업무를 수행하게 할 수 있다. [개정 2017.07.26, 2020.02.04]
(6). 제1항에 따른 인증을 받은 자는 대통령령으로 정하는 바에 따라 인증의 내용을 표시하거나 홍보할 수 있다.
(7). 제1항에 따른 인증을 위하여 필요한 심사를 수행할 심사원의 자격 및 자격 취소 요건 등에 관하여는 전문성과 경력 및 그 밖에 필요한 사항을 고려하여 대통령령으로 정한다.
(8). 그 밖에 개인정보 관리체계, 정보주체 권리 보장, 안전성 확보 조치가 이 법에 부합하는지 여부 등 제1항에 따른 인증의 기준•방법•절차 등 필요한 사항은 대통령령으로 정한다.
[본 조 신설 2015.07.24]
제33조(개인정보 영향 평가)
(1). 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보 파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가(이하 “영향 평가”라 한다)를 하고 그 결과를 보호 위원회에 제출하여야 한다. [개정 2013.03.23, 2014.11.19, 2017.07.26, 2020.02.04, 2023.03.14]
(2). 보호 위원회는 대통령령으로 정하는 인력•설비 및 그 밖에 필요한 요건을 갖춘 자를 영향 평가를 수행하는 기관(이하 “평가 기관”이라 한다)으로 지정할 수 있으며, 공공기관의 장은 영향 평가를 평가 기관에 의뢰하여야 한다. [신설 2023.03.14]
(3). 영향 평가를 하는 경우에는 다음 각 호의 사항을 고려하여야 한다. [개정 2023.03.14]
- 처리하는 개인정보의 수
- 개인정보의 제3자 제공 여부
- 정보주체의 권리를 해할 가능성 및 그 위험 정도
- 그 밖에 대통령령으로 정한 사항
(4). 보호 위원회는 제1항에 따라 제출받은 영향 평가 결과에 대하여 의견을 제시할 수 있다. [개정 2013.03.23, 2014.11.19, 2017.07.26, 2020.02.04, 2023.03.14]
(5). 공공기관의 장은 제1항에 따라 영향 평가를 한 개인정보 파일을 제32조 제1항에 따라 등록할 때에는 영향 평가 결과를 함께 첨부하여야 한다. [개정 2023.03.14]
(6). 보호 위원회는 영향 평가의 활성화를 위하여 관계 전문가의 육성, 영향 평가 기준의 개발•보급 등 필요한 조치를 마련하여야 한다. [개정 2013.03.23, 2014.11.19, 2017.07.26, 2020.02.04, 2023.03.14]
(7). 보호 위원회는 제2항에 따라 지정된 평가 기관이 다음 각 호의 어느 하나에 해당하는 경우에는 평가 기관의 지정을 취소할 수 있다.
다만, 제1호 또는 제2호에 해당하는 경우에는 평가 기관의 지정을 취소하여야 한다. [신설 2023.03.14]
- 거짓이나 그 밖의 부정한 방법으로 지정을 받은 경우
- 지정된 평가 기관 스스로 지정 취소를 원하거나 폐업한 경우
- 제2항에 따른 지정 요건을 충족하지 못하게 된 경우
- 고의 또는 중대한 과실로 영향 평가 업무를 부실하게 수행하여 그 업무를 적정하게 수행할 수 없다고 인정되는 경우
- 그 밖에 대통령령으로 정하는 사유에 해당하는 경우
(8). 보호 위원회는 제7항에 따라 지정을 취소하는 경우에는 {행정절차법}에 따른 청문을 실시하여야 한다. [신설 2023.03.14]
(9). 제1항에 따른 영향 평가의 기준•방법•절차 등에 관하여 필요한 사항은 대통령령으로 정한다. [개정 2023.03.14]
(10). 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관을 포함한다)의 영향 평가에 관한 사항은 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙으로 정하는 바에 따른다. [개정 2023.03.14]
(11). 공공기관 외의 개인정보처리자는 개인정보 파일 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 영향 평가를 하기 위하여 적극 노력하여야 한다. [개정 2023.03.14]
제34조(개인정보 유출 등의 통지•신고)
(1). 개인정보처리자는 개인정보가 분실•도난•유출(이하 이 조에서 “유출 등”이라 한다) 되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사항을 알려야 한다.
다만, 정보주체의 연락처를 알 수 없는 경우 등 정당한 사유가 있는 경우에는 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다. [개정 2023.03.14]
- 유출 등이 된 개인정보의 항목
- 유출 등이 된 시점과 그 경위
- 유출 등으로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
- 개인정보처리자의 대응조치 및 피해 구제 절차
- 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당 부서 및 연락처
(2). 개인정보처리자는 개인정보가 유출 등이 된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다. [개정 2023.03.14]
(3). 개인정보처리자는 개인정보의 유출 등이 있음을 알게 되었을 때에는 개인정보의 유형, 유출 등의 경로 및 규모 등을 고려하여 대통령령으로 정하는 바에 따라 제1항 각 호의 사항을 지체 없이 보호 위원회 또는 대통령령으로 정하는 전문기관에 신고하여야 한다.
이 경우 보호 위원회 또는 대통령령으로 정하는 전문기관은 피해 확산 방지, 피해 복구 등을 위한 기술을 지원할 수 있다. [개정 2013.03.23, 2014.11.19, 2017.07.26, 2020.02.04, 2023.03.14]
(4). 제1항에 따른 유출 등의 통지 및 제3항에 따른 유출 등의 신고의 시기, 방법, 절차 등에 필요한 사항은 대통령령으로 정한다. [개정 2023.03.14]
[제목 개정 2023.03.14]
제34조의 2(노출된 개인정보의 삭제•차단)
(1). 개인정보처리자는 고유식별 정보, 계좌 정보, 신용카드 정보 등 개인정보가 정보통신망을 통하여 공중(公衆)에 노출되지 아니하도록 하여야 한다. [개정 2023.03.14]
(2). 개인정보처리자는 공중에 노출된 개인 정보에 대하여 보호 위원회 또는 대통령령으로 지정한 전문기관의 요청이 있는 경우에는 해당 정보를 삭제하거나 차단하는 등 필요한 조치를 하여야 한다. [개정 2023.03.14]
[본 조 신설 2020.02.04]
{제29조의 10에서 이동, 종 전 제34조의 2는 삭제 [2023.03.14]}
개인정보 보호법 더 보기
개인정보 보호법 - 제1장 총칙 완벽정리
개인정보 보호법 - 제1장 총칙. 개인정보 보호법 - 제1장 총칙에 대해 본 글에서 살펴보려고 합니다.개인정보 보호법 - 제1장 총칙은 제1조 ~ 제6조로 이루어져 있습니다. 개인정보 보호법제1장
highlaws.tistory.com
개인정보 보호법 - 제2장 개인정보 보호정책의 수립 등 완벽정리
개인정보 보호법 - 제2장 개인정보 보호정책의 수립 등. 개인정보 보호법 - 제2장 개인정보 보호정책의 수립 등에 대해 본 글에서 살펴보려고 합니다.개인정보 보호법 - 제2장 개인정보 보호정책
highlaws.tistory.com
개인정보 보호법 - 제3장 개인정보의 처리_제1절 개인정보의 수집, 이용, 제공 등 완벽정리
개인정보 보호법 - 제3장 개인정보의 처리_제1절 개인정보의 수집, 이용, 제공 등. 개인정보 보호법 - 제3장 개인정보의 처리_제1절 개인정보의 수집, 이용, 제공 등에 대해 본 글에서 살펴보려고
highlaws.tistory.com
개인정보 보호법 - 제3장 개인정보의 처리_제2절 개인정보의 처리 제한 완벽정리
개인정보 보호법 - 제3장 개인정보의 처리_제2절 개인정보의 처리 제한. 개인정보 보호법 - 제3장 개인정보의 처리_제2절 개인정보의 처리 제한에 대해 본 글에서 살펴보려고 합니다.개인정보 보
highlaws.tistory.com
개인정보 보호법 - 제3장 개인정보의 처리_제3절 가명정보의 처리에 관한 특례 완벽정리
개인정보 보호법 - 제3장 개인정보의 처리_제3절 가명정보의 처리에 관한 특례. 개인정보 보호법 - 제3장 개인정보의 처리_제3절 가명정보의 처리에 관한 특례에 대해 본 글에서 살펴보려고 합니
highlaws.tistory.com
개인정보 보호법 - 제3장 개인정보의 처리_제4절 개인정보의 국외 이전 완벽정리
개인정보 보호법 - 제3장 개인정보의 처리_제4절 개인정보의 국외 이전. 개인정보 보호법 - 제3장 개인정보의 처리_제4절 개인정보의 국외 이전에 대해 본 글에서 살펴보려고 합니다. 개인정보
highlaws.tistory.com
'행정일반 > 개인정보 및 개인정보 보호법 + 시행령' 카테고리의 다른 글
| 개인정보 보호법 - 제6장 삭제 완벽정리 (3) | 2024.11.06 |
|---|---|
| 개인정보 보호법 - 제5장 정보주체의 권리 보장 완벽정리 (2) | 2024.11.03 |
| 개인정보 보호법 - 제3장 개인정보의 처리_제4절 개인정보의 국외 이전 완벽정리 (1) | 2024.11.02 |
| 개인정보 보호법 - 제3장 개인정보의 처리_제3절 가명정보의 처리에 관한 특례 완벽정리 (4) | 2024.11.02 |
| 개인정보 보호법 - 제3장 개인정보의 처리_제2절 개인정보의 처리 제한 완벽정리 (7) | 2024.11.01 |