2016년 9월 30일 시행예정 개인정보보호법

지난 3월 29일에 개인정보보호법의 일부 개정내용이 발표되었군요..

당시 해외여행중이라 이제서야 포스팅 합니다

제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지) ① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 한다. 1. 개인정보의 수집 출처 2. 개인정보의 처리 목적 3. 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실 ② 제1항에도 불구하고 처리하는 개인정보의 종류·규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제17조제1항제1호에 따라 정보주체 이외로부터 개인정보를 수집하여 처리하는 때에는 제1항 각 호의 모든 사항을 정보주체에게 알려야 한다. 다만, 개인정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 아니한 경우에는 그러하지 아니하다.  <신설 2016.3.29.> ③ 제2항 본문에 따라 알리는 경우 정보주체에게 알리는 시기·방법 및 절차 등 필요한 사항은 대통령령으로 정한다.  <신설 2016.3.29.> ④ 제1항과 제2항 본문은 다음 각 호의 어느 하나에 해당하는 경우에는 적용하지 아니한다. 다만, 이 법에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한한다.  <개정 2016.3.29.> 1. 고지를 요구하는 대상이 되는 개인정보가 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우 2. 고지로 인하여 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

여기에서 3항과 4항이 추가되었습니다.  아마도 3항에서 얘기하는 대통령령은 시행 전에 시행령으로 발표되지 않을까 싶습니다. 4항의 예외조항은 중복하여 고지될 필요가 없다는 내용으로 보입니다. 또한 개인정보보호법에서 타인의 생명, 신체, 재산 및 이익을 침해할 우려가 있는 경우는 꽤 많은 부분을 예외조항으로 두고 있는데 20조에서도 마찬가지로 그러한 부분에 대해서는 예외조항을 두고 있습니다.

제23조(민감정보의 처리 제한) ② 개인정보처리자가 제1항 각 호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다.  <신설 2016.3.29.>

민감정보의 처리 제한에서 2항이 신설되었습니다. 이번에 신설되었다고는 하지만 이미 민감정보에 대해서는 개인정보보호법의 다른 조항과 정보통신망법의 여러 조항에서 다루고 있기 때문에 안정성 확보조치는 이미 다들 하셨을 거라고 생각됩니다.

제24조(고유식별정보의 처리 제한) ④ 행정자치부장관은 처리하는 개인정보의 종류·규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제3항에 따라 안전성 확보에 필요한 조치를 하였는지에 관하여 대통령령으로 정하는 바에 따라 정기적으로 조사하여야 한다.  <신설 2016.3.29.> ⑤ 행정자치부장관은 대통령령으로 정하는 전문기관으로 하여금 제4항에 따른 조사를 수행하게 할 수 있다.  <신설 2016.3.29.>

4항과 5항이 신설되었습니다. 정확한 내용은 대통령령이 발표되어봐야 알 수 있겠네요.. 고유식별정보를 처리하는 분들게서는 이미 안전성 확보조치는 하고 계시겠죠? 개인적으로 서류작업이 좀 안들어났으면 하는 바램입니다;;;

제25조(영상정보처리기기의 설치·운영 제한) ④ 제1항 각 호에 따라 영상정보처리기기를 설치·운영하는 자(이하 "영상정보처리기기운영자"라 한다)는 정보주체가 쉽게 인식할 수 있도록 다음 각 호의 사항이 포함된 안내판을 설치하는 등 필요한 조치를 하여야 한다. 다만, 「군사기지 및 군사시설 보호법」 제2조제2호에 따른 군사시설, 「통합방위법」 제2조제13호에 따른 국가중요시설, 그 밖에 대통령령으로 정하는 시설에 대하여는 그러하지 아니하다.  <개정 2016.3.29.> 1. 설치 목적 및 장소 2. 촬영 범위 및 시간 3. 관리책임자 성명 및 연락처 4. 그 밖에 대통령령으로 정하는 사항

개정내용이라고 하지만 사실상 대통령령에 있던 내용을 법령으로 넣은 내용이기 때문에 실무에서 변경되는 사항은 없겠네요...

제30조(개인정보 처리방침의 수립 및 공개) ① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 "개인정보 처리방침"이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.  <개정 2016.3.29.> 1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유 기간 3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다) 4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다) 5. 정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항 6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처 7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다) 8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항

25조와 같은 내용이네요.. 대통령령이나 고시 등등에 있던 내용을 법령으로 넣은 내용이라고 볼 수 있습니다.

제67조(연차보고) ② 제1항에 따른 보고서에는 다음 각 호의 내용이 포함되어야 한다. 1. 정보주체의 권리침해 및 그 구제현황 2. 개인정보 처리에 관한 실태조사 등의 결과 3. 개인정보 보호시책의 추진현황 및 실적 4. 개인정보 관련 해외의 입법 및 정책 동향 5. 주민등록번호 처리와 관련된 법률·대통령령·국회규칙·대법원규칙·헌법재판소규칙·중앙선거관리위원회규칙 및 감사원규칙의 제정·개정 현황 6. 그 밖에 개인정보 보호시책에 관하여 공개 또는 보고하여야 할 사항

연차보고는 제 업무가 아니다보니 정확히 모르겠네요.. 이 부분도 이전부터 연차보고에 들어가 있던 내용이 아닐까라는 생각만 막연히 해봅니다.

결론적으로 보면 개인정보보호법은 크게 달라지지 않았습니다.

물론 대통령령이 법령으로 올라온 부분이 많아서 벌칙이 달라졌을 듯 하긴 합니다만

실무자 입장에서는 대통령령이든 법령이든 하다못해 고시든 다 맞춰야 하는 내용이기 때문에

사실상 달라진 내용은 없다고 보셔도 무방할 것 같습니다.

다만, 혹시 변경된 사항에 대해 위반하고 있었음에도 불구하고 무시하고 계셨다면 벌칙 조항을 확인하셔야겠죠^^

현재 시행중인 법령과 예정법령을 같이 올려놓습니다.

파일 뒤에 날짜를 보시면 되구요 시행령과 시행규칙은 현재 시행되고 있는 내용 외에 예정 법령이 없기 때문에 하나만 올라갑니다.

개인정보 보호법_160101.pdf

개인정보 보호법_160930.pdf

개인정보 보호법 시행령_160101.pdf

개인정보 보호법 시행규칙_141119.pdf