개인정보보호 7주차_STUDY : CPO가 알아야 할필수 개인정보 법률지식

개인정보의정의와유형
개인정보의처리기준(원칙)
정보주체의권리보장
기타

 

 

📌 개인정보보호 관련 법규

 

 

 

📌 개인정보의 정의와 유형

 

1주차 내용을 비슷하게 다루고 있어서 해당 내용을 참고하면 될 것 같다.

 

개인정보보호 1주차_STUDY : 개인정보보호법 주요내용 (tistory.com)

개인정보보호 1주차_STUDY : 개인정보보호법 주요내용

 

 

📌 개인정보의처리기준(원칙)

 

 

 

 

개인정보의 수집·이용 및 제공

 

정보주체의 동의를 받는 방법(제22조)

 

➡ 개인정보 수집 시 고유식별정보, 민감정보, 제3자 제공 등에 대하여 반드시 별도로 고지하고 별도로 동의 획득

 

매체별 동의를 받는 방법(영 제17조)

➡ 개별 통지(식별) + 동의 + 증빙 보관

 

• 서면 동의
• 전화 동의
• 전화 + 인터넷 동의
• 인터넷 동의
• 이메일 동의
• 기타

 

Q. 개인정보처리방침에 동의를 받을 수 있나?

Q. 개인정보처리동의서를 링크하고 동의를 받을 수 있나?

Q. 구두로 동의를 받는 것도 유효한가?

 

 

✔ 그 밖의 개인정보처리의 적법 근거

 

계약의 체결 및 이행

➡ 부동산의 소유관계 사전 조사, 주문상품 배송, 품질보증, 식의품·자동차 리콜 등

 

개인정보처리자의 정당한 이익

➡ 채권 회수, 보안을 위한 인터넷 모니터링, 자재 창고앞 CCTV 설치 등

 

 

 

특수유형의 개인정보 수집, 이용 및 제공

 

민감정보의 처리(제23조, 영 제18조)

- 원칙 : 처리 금지

· 정보주체에 대한 고지 및 “별도의” 동의

· 법령상 처리 요구 또는 허용

- 보호 조치 · 제29조에 따른 안전성 확보 조치 : 접근 통제 및 차단, 송수신 암호화 등

 

- 민감정보의 종류

· 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보

· 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보: 유전정보, 범죄경력자료정보, 생체 인식(특징)정보, 인종·민족 정보

 

고유식별정보의 처리(제24조), 주민등록번호의 처리(제24조의2) 

 

- 원칙 : 처리 금지

정보주체에 대한 고지 및 “별도의” 동의

· 법령상 처리 요구 또는 허용

- 보호 조치

· 암호화 등 안전성 확보 조치

- 고유식별정보의 종류 · 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호

 

 

민감정보, 고유식별정보를 처리할 수 있도록 법에서 허용하는 경우

 

 

 

특수유형의 개인정보 수집, 이용 및 제공

 

고정형 영상정보처리기기의 설치·운영(제25조)

→ 공개된 장소에서 고정형 영상정보처리기기 설치운영에 관해 규정

 

 

▶ 위 조항에 해당하는 사례 함께 살펴보기

 

 

마찬가지로 이동형 영상정보처리기기에 관한 종류, 조항등을 중복적으로 다뤄서 아래에서 참고하면 될 것 갔다.

 

개인정보보호 1주차_STUDY : 개인정보보호법 주요내용 (tistory.com)

개인정보보호 1주차_STUDY : 개인정보보호법 주요내용

 

 

개인정보 처리 (업무) 위탁

개인정보처리업무 위 ·수탁 방법

 

- 위 ·수탁 계약 방법

•  문서에 의한 계약

- 위 ·수탁 계약 내용

•  위탁업무의 목적 및 범위
•  재위탁 제한, 재위탁을 하려면 위탁자의 동의를 받아야 함
•  개인정보의 안전성 확보 조치
•  수탁자에 대한 감독 : 개인정보보호교육, 개인정보 관리 현황 점검 등
•  수탁자의 손해배상 등
•  위탁업무 수행 목적 외 개인정보 처리 금지

 

처리위탁 사실의 공개 또는 개별 통지

- (원칙) 공개 : 위탁 업무의 내용, 수탁업체

· 일반 개인정보처리 업무 위탁

- (예외) 개별 통 지 (알림 ): 위탁 업무의 내용, 수탁업체

· 홍보 ·판매 권유 업무 위탁

 

 

개인정보 처리위탁과 제3자 제공의 차이

 

 

주요 개정사항

 

 

수탁자에 대한 관리·감독

 

✔  위탁자의 수탁자 관리·감독·교육 의무

- 관리감독의무 : 수탁자 교육, 처리 현황 점검 등

- 손해배상책임 : 수탁자를 소속 직원으로 간주 → 위탁자의 책임. 구상권

 

✔ 수탁자의 의무 사항

- 위탁받은 업무 범위 외 이용·제공 금지

- 개인정보처리자에 관한 규정 준용

  ·15조~제18조, 제21조, 제22조, 제22조의2, 제23조, 제24조, 제24조의2, 제25조, 제25조의2, 제27조, 제28조, 제28조의2~제28조의5, 제28조의7~제28조의11, 제29조, 제30조, 제30조의2, 제31조, 제33조, 제34조, 제34조의2, 제35조, 제35조의2, 제36조, 제37조, 제37조의2, 제38조, 제59조, 제63조, 제63조의2 및 제64조의2

 

Q 개인정보 유출사고 시 수탁자와 위탁자 중 누가 유출 신고 및 통지 의무를 부담하나?

 

 

 

▶ 개인정보의 국외 이전과 관련된 사항도 1주차 돌아보면서 함께 살펴보기 

 

 

개인정보 처리방침

개인정보 처리방침 수립 및 공개(제30조)

※ 개인정보처리방침작성내용과방법

▪ 개인정보보호법 제30조, 시행령제31조, 표준개인정보보호지침제19조~제21조

▪ 개인정보보호법에서공개하라고한내용

▪ 개인정보보호위원회, 「개인정보처리방침작성지침(일반, 공공기관)」, 2022.3.

 

개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침을 정하여야 한다. 이 경우 공공기관은 제32조(개인정보파일의 등록 및 공개)에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.

 

1. 개인정보의 처리 목적

2. 개인정보의 처리 및 보유 기간

3. 개인정보의 제3자 제공에 관한 사항

 

 3의2. 개인정보의 파기절차 및 파기방법

 3의3. 제23조 제3항에 따른 민감정보의 공개 가능성 및 비공개를 선택하는 방법 (신설)

 

4. 개인정보처리의 위탁에 관한 사항

 

 4의2. 제28조의2 및 제28조의3에 따른 가명정보의 처리 등에 관한 사항(신설)

 

 

[추가] 제37조의2(자동화된결정에대한정보주체의 권리등)

개인정보처리자는 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 정보주체가 쉽게 확인할 수 있도록 공개하여야 한다.

 

 

[신설] 개인정보 처리방침의 평가 및 개선권고(제30조의2)

▶ 평가기준, 평가대상, 평가 기준 및 절차 살펴보기

 

 

📌 정보주체의 권리 보장

 

정보주체의 권리 보장

 

동의철회권 

개인정보처리자는 정보주체가 동의를 철회하면 이를 거부할 수 없음

예시 ) 뉴스레터 수신 동의 철회

 

[개정 전] 동의를 철회하면 반드시 개인정보를 파기

[개정 후] 처리정지권과 같은 사유로 파기하지 않을 수 있도록 함

 

 

 

신설	시행일
제35조의2(개인정보의 전송 요구)	2024. 3. 15부터 1년 이내
제35조의3(개인정보관리 전문기관)	2024. 3. 15
제35조의4(개인정보 전송 관리 및 지원)	2023. 9. 15

 

 

전송요구권이란?

 

정보주체가 개인정보처리자에게 자신에 관한 개인정보를 본인 또는 개인정보관리 전문기관(또는 다른 개인정보처리자)에 전송해 달라고 요구할 수 있는 권리를 말한다.

 

 

개인정보의 전송 요구(제35조의2)

 

전송 요구 대상 개인정보

 

▪ 정보주체의 동의를 얻어 수집한 개인정보(민감정보, 고유식별정보 포함)

▪ 필수 개인정보: 계약 체결 또는 계약의 이행을 위해 정보주체의 동의 없이 수집한 개인정보(제15조 제1항 제4호)

▪ 개인정보위가 전송 대상으로 의결한 개인정보

 

전송 요구권의 종류

 

다운로드권 : 정보주체가 개인정보처리자에게 자신에 관한 개인정보를 정보주체 본인에게 전송해 달라고 요구

이동요구권 : 정보주체가 개인정보처라자에게 자신에 관한 개인정보를 개인정보관리 전문기관(마이데이터사업자) 또는 다른 개인정보처리자(일정한 요건을 충족한)에 전송해 달라고 요구

 

 

개인정보관리 전문기관(제35조의3)

 

지정

▪ 개인정보위 또는 관계 중앙행정기관이 승인

 

업무

1. 개인정보의 전송 요구권(제35조의2)행사 지원

2. 정보주체의 권리행사를 지원하기 위한 개인정보 전송시스템의 구축 및 표준화

3. 정보주체의 권리행사를 지원하기 위한 개인정보의 관리ㆍ분석

4. 그 밖에 정보주체의 권리행사를 효과적으로 지원하기 위하여 대통령령으로 정하는 업무

 

지정 요건

1. 개인정보를 전송ㆍ관리ㆍ분석할 수 있는 기술수준 및 전문성을 갖추었을 것

2. 개인정보를 안전하게 관리할 수 있는 안전성 확보조치 수준을 갖추었을 것

3. 개인정보관리 전문기관의 안정적인 운영에 필요한 재정능력을 갖추었을 것

 

 

개인정보 전송 관리 및 지원(제35조의4)

전송 요구권을 시행하기 위해 개인정보위가 할 업무 규정

 

 

 

자동화 결정에 대한 정보주체의 권리

 

정보주체의 권리(제4조)

 

1. 개인정보의 처리에 관한 정보를 제공받을 권리

2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리

3. 개인정보의 처리 여부를 확인하고 개인정보에 대한 열람(사본의 발급을 포함한다. 이하 같다) 및 전송을 요구할 권리

4. 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리

5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리

6. [신설] 완전히 자동화된 개인정보 처리에 따른 결정을 거부하거나 그에 대한 설명 등을 요구할 권리 

 

 

자동화 결정에 대한 정보주체의 권리(제37조의2)

자동화된 결정: AI 등을 적용한 완전히 자동화된 시스템으로 개인정보를 처리하여 이뤄지는 결정

 

정보주체의 권리

 

개인정보처리자의 의무

 

결정 거부, 설명 요구에 대한 개인정보처리자의 조치(제3항)

• 자동화된 결정을 적용 제외
• 인적 개인에 의한 재처리
• 설명

 

📌 기타

 

공공시스템 운영기관의 개인정보 안전성 확보 조치

 

[신설] 개인정보 보호수준 평가(제11조의2)

[개정] 개인정보파일의 등록 및 공개(제32조)

 

[개정] 개인정보 영향평가(제33조)

[신설] 공공시스템 운영기관 등의 개인정보 안전성 확보 조치 등(영 제30조의2)

▶ [신설] 개인정보의 안전성 확보조치 기준 제3장 공공시스템 운영기관 등의 개인정보 안전성 확보조치(제14조~제17조)

 

 

 

개인정보 분쟁 조정

개정 전(제7장	개정 후(제7장)
제43조(조정의 신청 등) 제3항   ▪ 분쟁 조정에 응할 의무: 공공기관	[개정] 제43조(조정의 신청 등) 제3항   - 분쟁 조정에 응할 의무: 개인정보처리자
제45조(자료의 요청 등)	[개정] 제45조(자료의 요청 및 사실조사 등)
N/A	[신설] 제45조의2(진술의 원용 제한)
제47조(분쟁의 조정) - 제3항: 불응답시 거부로 간주	[개정] 제47조(분쟁의 조정)    ▪ 제3항: 불응답시 수락으로 간주

 

 

 

조정의 신청(제43조)

 

 

 

[개정] 분쟁의 조정(제47조)

 

 

 

 

➡ 손해배상제

 

 

➡ 형사처벌

 

 

 

마지막 개인정보보호 스터디가 마무리 되었다. 짧은 시간에 방대한 내용을 훑기에는 너무 짧은 시간이었겠지만, 아예 모르던 개인정보보호법이라는 과목을 접하고 공부할 수 있어 좋은 기회가 된 것같다.

해당 스터디는 개인정보보호포탈에서 제공해주는 자료를 가지고 직접 스터디원들끼리 커리큘럼을 짜서 공부해나가면서 더 의미있던 것 같다. 

더많은 사례를 살펴보지 못한 점이 아쉽지만, 앞으로도 개인정보보호법과 관련한 관심을 가지고 있으니 꾸준히 공부하면서 앞으로 더 중요해질 개인정보보호법을 심도있게 공부할 수 있는 기회들을 만들어가야겠다.

 

 

 

[ 참고 학습 자료 ]

 

개인정보 포털 (privacy.go.kr)

개인정보 포털