개인정보 처리방침 평가제 도입, 개인정보 파일등록·개인정보 영향평가 제도 관련 개정
처리방침 평가 결과 우수 등급은 최대 30% 내 과징금 추가 감경, 10% 내 과태료 감경
[보안뉴스 김경애 기자] 대폭 개정된 개인정보보호법은 한층 강화된 법규로 개인정보보호 실무진의 실질적인 보호 업무 구현을 요구하고 있다. 더욱이 2024년 3월 15일부터 새로운 개인정보보호법 시행도 예정돼 있어 개인정보보호 담당자는 새로운 법에 대한 충분한 이해와 숙지, 그리고 올바른 적용이 필요하다.
[이미지 = gettyimagesbank]
개정된 개인정보보호법 주요 내용은 △개인정보 처리 일반 분야 △개인정보 처리방침 평가제, 영향평가 등 △영상정보처리기기 및 안전조치 기준 △국외 이전 및 중지 명령 △개인정보 유출 등의 통지 및 신고, 제재 규정 등으로 구분된다.
이에 <보안뉴스>는 개정된 개인정보보호법 주요 내용을 5회에 걸쳐 연속 보도할 예정이다. 두 번째 시간에는 개정된 개인정보보호법에서 새로 도입된 개인정보 처리방침 평가제도, 개인정보파일 등록 및 공개, 개인정보 영향평가 제도에 대해 소개한다.
1. 개인정보 처리방침 평가제 도입
개인정보 처리방침 평가제도는 개인정보보호 법령 준수 여부, 정보주체가 이해하기 쉽게 작성했는지 여부, 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는 지 여부 등을 평가하는 제도다.
①개인정보처리자의 유형 및 매출액 규모 ②처리하는 개인정보의 유형·규모 ③처리의 법적 근거 및 방식 ④법 위반행위 발생 여부 ➄아동·청소년 등 정보주체의 특성 등을 종합해 평가 대상을 선정할 수 있도록 규정(시행령 제31조의2 신설)하고 있다.
(1) 개인정보 처리방침 평가 및 개인정보 파일등록, 영향평가 대상
평가 대상은 △개인정보처리자 중 연간 매출액 1,500억원 이상이면서, 전년도 말 기준 직전 3개월 간 정보가 저장·관리되고 있는 수가 일 평균 100만명 이상 △전년도말 기준 직전 3개월간 민감·고유식별정보 저장·관리되고 있는 수가 일평균 5만명 이상 △동의없이 처리할 수 있는 개인정보 항목과 법적 근거를 동의받아 수집하는 정보와 구분하지 않은 자 △완전히 자동화된 시스템(인공지능 기술을 적용한 시스템 포함)으로 개인정보 처리, 그밖에 새로운 기술을 적용한 개인정보처리방침으로 인해 개인정보 침해 우려가 있는 자 △최근 3년간 개인정보 유출 등 2회 이상 과징금, 과태료 처분 자 △14세 미만 아동, 19세 미만 청소년 이용자 대상으로 정보통신서비스 운영자(ex. 키즈 전용 서비스)가 해당된다.
(2) 개인정보 처리방침 평가기준(개인정보보호법 제30조의2)
평가기준은 첫째, 적정성이다. 적정성은 개인정보 처리방침에 포함해야 할 사항을 적정하게 정하고 있는지 여부, 법령상 필수 및 권장 항목 기재 여부, 기재 내용의 법령 부합성과 적정성 등에 대한 평가다.
둘째, 가독성이다. 가독성은 개인정보 처리방침을 알기 쉽게 작성했는지 여부, 가독성 제고를 위해 사용하고 있는 방법 및 노력 평가 등이다.
셋째, 접근성이다. 개인정보 처리방침을 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는 지 여부가 해당한다. 이와 관련 개인정보보호위원회 측은 “개인정보 처리방침을 객관적으로 평가해 정량화된 결과를 도출할 수 있는 세부 평가지표를 별도로 마련해 평가계획에 공개할 예정”이라고 밝혔다.
(3) 개인정보 처리방침 평가 절차
개인정보 처리방침 평가 절차는 개인정보보호위원회가 처리방침 평가 내용·일정 등이 포함된 처리방침 평가계획을 수립해 평가 개시 10일 전까지 개인정보처리자에게 통보(영 제31조의2 제2항)한다 -> 개인정보보호위원회는 평가 과정에서 필요한 경우 개인정보처리자에게 의견 제출을 요청할 수 있다 -> 개인정보처리자가 의견을 제출하면 그 내용의 타당성 등을 검토해 평가에 반영(영 제31조의2 제3항)한다 -> 보호위원회는 처리방침을 평가한 후 그 결과를 지체없이 통보(영 제31조의2 제4항)하는 과정을 거친다.
만약 평가 결과에 이의가 있을 경우 결과 통지일로부터 14일 이내에 이의 신청을 할 수 있다. 개인정보보호위원회는 이의 신청에 타당성이 있으면 평가 결과에 반영 후, 최종 평가 결과를 개인정보처리자에게 통보(고시안 제7조 1항, 제2항)한다.
(4) 개인정보 처리방침 평가위원회 구성
개인정보 처리방침 평가를 위해 개인정보보호위원회는 ‘고시안 제6조’에 따라 20인 이상 50인 이내 전문가 구성으로 임기 3년의 평가위원회를 구성·운영한다.
평가위원회 자격은 ‘고등교육법’ 제2조 제1호·2호, 제5호에 따른 학교, 공인된 연구기관 조교수 이상의 직, 이에 상당하는 직에 있거나 있었던 자로 개인정보보호 연구경력 6년 이상, 개인정보보호관련 업체, 기관 및 단체(협회, 조합)에서 6년 이상 개인정보보호 업무 종사자, 개인정보 안전한 활용, 정보보호·보안에 관한 학식과 경험이 풍부한 자이다.
(5) 개인정보 처리방침 평가 결과 반영
처리방침 평가 결과 우수 등급은 최대 30% 범위 내 과징금 추가 감경 및 10% 범위 내 과태료 감경, 우수 사례 포상 및 홍보 등에 대해 지원할 예정이다.
반대로 개인정보 처리방침 평가 결과 개선이 필요한 경우 개인정보보호위원회는 법 제61조 제2항에 따라 개선권고가 가능하며, 법 제66조에 따라 개선권고 내용과 결과 공표 등을 명할 수 있다.
따라서 개인정보처리자는 법 제30조 등에 따라 개인정보 처리방침에 명시한 사항을 확인해 개인정보처리자 스스로 환경에 맞는 개인정보 처리방침 마련이 필요하다.
2. 개인정보 파일등록 관련 주요 개정 내용
다음은 개인정보 파일등록 관련 개정사항이다. 법 시행일(9월 15일) 기준 60일 이내에 개인정보보호위원회에 공공기관 내부 업무처리 목적으로 사용되는 개인정보파일, ‘통계법’에 따라 수집되는 개인정보가 포함된 개인정보 파일을 신규 등록하고 개인정보 처리방침 또한 개정해 해당 내용을 반영해야 한다.
3. 개인정보 영향평가 제도
이어 개인정보 영향평가 제도가 개정됐다. 주요 개정 내용은 개인정보 영향평가 미수행 시 과태료 부과 규정 신설, 영향평가 전문인력 자격 기준 정비, 영향평가 요약본 공개제도 등이다.
먼저 과태료 부과 규정 신설은 개인정보 영향평가 의무 대상이 영향평가를 하지 않거나, 그 결과를 보호위원회에 제출하지 않은 경우 3천만원 이하의 과태료가 부과된다.
이어 영향평가 전문인력 자격기준도 정비됐다. 정보보호전문가(SIS)가 삭제되고 정보보안기사가 추가됐다. ISMS-P 인증심사원은 영향평가 관련 경력이 없어도 자격이 인정된다.
다음으로 영향평가 요약본 공개제도가 새롭게 신설됐다. 이와 관련 개인정보 영향평가 수행 시 영향평가서를 요약한 내용을 공개할 수 있는 근거 규정이 마련(영 제38조 제3항)됐다. 따라서 영향평가기관은 영향평가 수행 후 영향평가서 및 요약본을 작성해 공공기관장에게 보내야 하며, 공공기관장은 해당 요약본을 공개할 수 있다.
이외에 개정사항은 영향평가기관 지정 및 지정 취소 근거가 시행령에서 법률로 상향됐다. 또한 영향평가기관 지정 취소 사유로 ‘2년 이상 영향평가 수행 실적이 없는 경우’와 ‘영향평가 업무수행 과정에서 알게 된 정보를 누설한 경우’가 추가됐다.
[김경애 기자(boan3@boannews.com)]
처리방침 평가 결과 우수 등급은 최대 30% 내 과징금 추가 감경, 10% 내 과태료 감경
[보안뉴스 김경애 기자] 대폭 개정된 개인정보보호법은 한층 강화된 법규로 개인정보보호 실무진의 실질적인 보호 업무 구현을 요구하고 있다. 더욱이 2024년 3월 15일부터 새로운 개인정보보호법 시행도 예정돼 있어 개인정보보호 담당자는 새로운 법에 대한 충분한 이해와 숙지, 그리고 올바른 적용이 필요하다.
[이미지 = gettyimagesbank]
개정된 개인정보보호법 주요 내용은 △개인정보 처리 일반 분야 △개인정보 처리방침 평가제, 영향평가 등 △영상정보처리기기 및 안전조치 기준 △국외 이전 및 중지 명령 △개인정보 유출 등의 통지 및 신고, 제재 규정 등으로 구분된다.
이에 <보안뉴스>는 개정된 개인정보보호법 주요 내용을 5회에 걸쳐 연속 보도할 예정이다. 두 번째 시간에는 개정된 개인정보보호법에서 새로 도입된 개인정보 처리방침 평가제도, 개인정보파일 등록 및 공개, 개인정보 영향평가 제도에 대해 소개한다.
1. 개인정보 처리방침 평가제 도입
개인정보 처리방침 평가제도는 개인정보보호 법령 준수 여부, 정보주체가 이해하기 쉽게 작성했는지 여부, 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는 지 여부 등을 평가하는 제도다.
①개인정보처리자의 유형 및 매출액 규모 ②처리하는 개인정보의 유형·규모 ③처리의 법적 근거 및 방식 ④법 위반행위 발생 여부 ➄아동·청소년 등 정보주체의 특성 등을 종합해 평가 대상을 선정할 수 있도록 규정(시행령 제31조의2 신설)하고 있다.
(1) 개인정보 처리방침 평가 및 개인정보 파일등록, 영향평가 대상
평가 대상은 △개인정보처리자 중 연간 매출액 1,500억원 이상이면서, 전년도 말 기준 직전 3개월 간 정보가 저장·관리되고 있는 수가 일 평균 100만명 이상 △전년도말 기준 직전 3개월간 민감·고유식별정보 저장·관리되고 있는 수가 일평균 5만명 이상 △동의없이 처리할 수 있는 개인정보 항목과 법적 근거를 동의받아 수집하는 정보와 구분하지 않은 자 △완전히 자동화된 시스템(인공지능 기술을 적용한 시스템 포함)으로 개인정보 처리, 그밖에 새로운 기술을 적용한 개인정보처리방침으로 인해 개인정보 침해 우려가 있는 자 △최근 3년간 개인정보 유출 등 2회 이상 과징금, 과태료 처분 자 △14세 미만 아동, 19세 미만 청소년 이용자 대상으로 정보통신서비스 운영자(ex. 키즈 전용 서비스)가 해당된다.
(2) 개인정보 처리방침 평가기준(개인정보보호법 제30조의2)
평가기준은 첫째, 적정성이다. 적정성은 개인정보 처리방침에 포함해야 할 사항을 적정하게 정하고 있는지 여부, 법령상 필수 및 권장 항목 기재 여부, 기재 내용의 법령 부합성과 적정성 등에 대한 평가다.
둘째, 가독성이다. 가독성은 개인정보 처리방침을 알기 쉽게 작성했는지 여부, 가독성 제고를 위해 사용하고 있는 방법 및 노력 평가 등이다.
셋째, 접근성이다. 개인정보 처리방침을 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는 지 여부가 해당한다. 이와 관련 개인정보보호위원회 측은 “개인정보 처리방침을 객관적으로 평가해 정량화된 결과를 도출할 수 있는 세부 평가지표를 별도로 마련해 평가계획에 공개할 예정”이라고 밝혔다.
(3) 개인정보 처리방침 평가 절차
개인정보 처리방침 평가 절차는 개인정보보호위원회가 처리방침 평가 내용·일정 등이 포함된 처리방침 평가계획을 수립해 평가 개시 10일 전까지 개인정보처리자에게 통보(영 제31조의2 제2항)한다 -> 개인정보보호위원회는 평가 과정에서 필요한 경우 개인정보처리자에게 의견 제출을 요청할 수 있다 -> 개인정보처리자가 의견을 제출하면 그 내용의 타당성 등을 검토해 평가에 반영(영 제31조의2 제3항)한다 -> 보호위원회는 처리방침을 평가한 후 그 결과를 지체없이 통보(영 제31조의2 제4항)하는 과정을 거친다.
만약 평가 결과에 이의가 있을 경우 결과 통지일로부터 14일 이내에 이의 신청을 할 수 있다. 개인정보보호위원회는 이의 신청에 타당성이 있으면 평가 결과에 반영 후, 최종 평가 결과를 개인정보처리자에게 통보(고시안 제7조 1항, 제2항)한다.
(4) 개인정보 처리방침 평가위원회 구성
개인정보 처리방침 평가를 위해 개인정보보호위원회는 ‘고시안 제6조’에 따라 20인 이상 50인 이내 전문가 구성으로 임기 3년의 평가위원회를 구성·운영한다.
평가위원회 자격은 ‘고등교육법’ 제2조 제1호·2호, 제5호에 따른 학교, 공인된 연구기관 조교수 이상의 직, 이에 상당하는 직에 있거나 있었던 자로 개인정보보호 연구경력 6년 이상, 개인정보보호관련 업체, 기관 및 단체(협회, 조합)에서 6년 이상 개인정보보호 업무 종사자, 개인정보 안전한 활용, 정보보호·보안에 관한 학식과 경험이 풍부한 자이다.
(5) 개인정보 처리방침 평가 결과 반영
처리방침 평가 결과 우수 등급은 최대 30% 범위 내 과징금 추가 감경 및 10% 범위 내 과태료 감경, 우수 사례 포상 및 홍보 등에 대해 지원할 예정이다.
반대로 개인정보 처리방침 평가 결과 개선이 필요한 경우 개인정보보호위원회는 법 제61조 제2항에 따라 개선권고가 가능하며, 법 제66조에 따라 개선권고 내용과 결과 공표 등을 명할 수 있다.
따라서 개인정보처리자는 법 제30조 등에 따라 개인정보 처리방침에 명시한 사항을 확인해 개인정보처리자 스스로 환경에 맞는 개인정보 처리방침 마련이 필요하다.
2. 개인정보 파일등록 관련 주요 개정 내용
다음은 개인정보 파일등록 관련 개정사항이다. 법 시행일(9월 15일) 기준 60일 이내에 개인정보보호위원회에 공공기관 내부 업무처리 목적으로 사용되는 개인정보파일, ‘통계법’에 따라 수집되는 개인정보가 포함된 개인정보 파일을 신규 등록하고 개인정보 처리방침 또한 개정해 해당 내용을 반영해야 한다.
3. 개인정보 영향평가 제도
이어 개인정보 영향평가 제도가 개정됐다. 주요 개정 내용은 개인정보 영향평가 미수행 시 과태료 부과 규정 신설, 영향평가 전문인력 자격 기준 정비, 영향평가 요약본 공개제도 등이다.
먼저 과태료 부과 규정 신설은 개인정보 영향평가 의무 대상이 영향평가를 하지 않거나, 그 결과를 보호위원회에 제출하지 않은 경우 3천만원 이하의 과태료가 부과된다.
이어 영향평가 전문인력 자격기준도 정비됐다. 정보보호전문가(SIS)가 삭제되고 정보보안기사가 추가됐다. ISMS-P 인증심사원은 영향평가 관련 경력이 없어도 자격이 인정된다.
다음으로 영향평가 요약본 공개제도가 새롭게 신설됐다. 이와 관련 개인정보 영향평가 수행 시 영향평가서를 요약한 내용을 공개할 수 있는 근거 규정이 마련(영 제38조 제3항)됐다. 따라서 영향평가기관은 영향평가 수행 후 영향평가서 및 요약본을 작성해 공공기관장에게 보내야 하며, 공공기관장은 해당 요약본을 공개할 수 있다.
이외에 개정사항은 영향평가기관 지정 및 지정 취소 근거가 시행령에서 법률로 상향됐다. 또한 영향평가기관 지정 취소 사유로 ‘2년 이상 영향평가 수행 실적이 없는 경우’와 ‘영향평가 업무수행 과정에서 알게 된 정보를 누설한 경우’가 추가됐다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
