17년 10월 19일 개정 시행 개인정보보호법

오랜만에 올리는 법령정보입니다.

지난 10월 19일 개인정보보호법이 일부 개정 시행되었는데요

시행령과 시행규칙도 함께 개정되어 실무에서 적용할만한 내용이 있습니다.

주요 사항은 다음과 같습니다.

1. 동의 시 강조할 내용이 정의되어 강조 방법까지 명시되었습니다.

2. 개인정보 유출신고 범위가 상당히 축소되었습니다.

3. 개인정보의 열람/정정/삭제/처리정지 시 개인정보처리자가 방법을 마련하도록 했습니다.

구체적으로 살펴보겠습니다.

법 제22조(동의를 받는 방법) ② 개인정보처리자는 제1항의 동의를 서면(「전자문서 및 전자거래 기본법」 제2조제1호에 따른 전자문서를 포함 한다)으로 받을 때에는 개인정보의 수집ㆍ이용 목적, 수집ㆍ이용하려는 개인정보의 항목 등 대통령령으로 정하는 중요한 내용을 행정안전부령으로 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 하여야 한다.

시행령 제17조(동의를 받는 방법) ② 법 제22조제2항에서 "대통령령으로 정하는 중요한 내용"이란 다음 각 호의 사항을 말한다.  1. 개인정보의 수집ㆍ이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정 보주체에게 연락할 수 있다는 사실  2. 처리하려는 개인정보의 항목 중 다음 각 목의 사항   가. 제18조에 따른 민감정보   나. 제19조제2호부터 제4호까지의 규정에 따른 여권번호, 운전면허의 면허번호 및 외국인등록번호  3. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다)  4. 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적

시행규칙 제4조(서면 동의 시 중요한 내용의 표시 방법) 법 제22조제2항에서 "행정안전부령으로 정하는 방법"이란 다음 각 호의 방법을 말한다.  1. 글씨의 크기는 최소한 9포인트 이상으로서 다른 내용보다 20퍼센트 이상 크게 하여 알아보기 쉽게 할 것  2. 글씨의 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것  3. 동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖 의 내용과 별도로 구분하여 표시할 것

개인정보 수집 및 이용 동의, 위탁 동의, 제3자 동의, 광고성 정보 수신 동의, 고유식별정보 및 민감정보 별도 동의 등 개인정보 활용 동의를 받는 경우 홍보성 목적이 있다는 사실 및 민감정보, 고유식별정보, 개인정보의 보유 및 이용기간, 제공받는자 및 그 목적(위탁 또는 제3자 제공 시)에 대해 9포인트 이상 다른 내용보다 20퍼센트 이상의 크기로 색깔, 굵기, 밑줄 등을 통하여 표시하여야 하며 동의사항이 많은 경우 별도 구분하여야 합니다. 얼마 전 1mm 제3자 동의 사건도 있었고 개인정보보호법의 입법 취지를 본다면 정보주체가 본인의 개인정보가 어떻게 움직이는지 그리고 중요한 정보에는 무엇이 있는지 쉽게 인지할 수 있도록 해야 한다는 것이 주요 골자입니다.

시행령 제37조(평가기관의 지정 및 지정취소) ② 평가기관으로 지정받으려는 자는 행정안전부령으로 정하는 평가기관 지정신청서에 다음 각 호의 서류(전자문서 를 포함한다. 이하 같다)를 첨부하여 행정안전부장관에게 제출하여야 한다.  1. 정관  2. 대표자의 성명  3. 제1항제2호에 따른 전문인력의 자격을 증명할 수 있는 서류  4. 그 밖에 행정안전부령으로 정하는 서류  ⑥ 제1항에 따라 지정된 평가기관은 지정된 후 다음 각 호의 어느 하나에 해당하는 사유가 발생한 경우에는 행정안 전부령으로 정하는 바에 따라 그 사유가 발생한 날부터 14일 이내에 행정안전부장관에게 신고하여야 한다. 다만, 제 3호에 해당하는 경우에는 그 사유가 발생한 날부터 60일 이내에 신고하여야 한다.  1. 제1항 각 호의 어느 하나에 해당하는 사항이 변경된 경우  2. 제4항제1호에 해당하는 사항이 변경된 경우  3. 평가기관을 양도ㆍ양수하거나 합병하는 등의 사유가 발생한 경우

개인정보 영향평가 기관으로 지정받으려면 신고해야 하는 서류 중 임원의 성명이 빠졌습니다. 또한 변경이 발생한 경우 신고 기한이 두배씩 늘어났습니다. 개인적으로 개인정보 영향평가 기관 지정과 관련한 업무를 해본 적이 없어 실무에서 얼마나 편해졌을지 궁금하군요...

시행령 제39조(개인정보 유출 신고의 범위 및 기관) ① 법 제34조제3항 전단에서 "대통령령으로 정한 규모 이상의 개인정보 "란 1천명 이상의 정보주체에 관한 개인정보를 말한다.

시행령 제40조(개인정보 유출 통지의 방법 및 절차) ③ 제1항과 제2항에도 불구하고 법 제34조제3항 및 이 영 제39조제1항에 따라 1천명 이상의 정보주체에 관한 개 인정보가 유출된 경우에는 서면등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 법 제34조제1항 각 호의 사항을 7일 이상 게재하여야 한다. 다만, 인터넷 홈페이지를 운영하지 아니하는 개인정보처리자의 경우에 는 서면등의 방법과 함께 사업장등의 보기 쉬운 장소에 법 제34조제1항 각 호의 사항을 7일 이상 게시하여야 한다.

개인정보 유출 시 신고 의무가 있죠. 개인정보보호법을 적용받는 경우 유출범위가 기존 1만명 이상인 경우에만 신고하면 되었습니다. 이 기준이 1천명으로 대폭 하향조정 되었습니다. 물론, 정보통신망법에서는 유출 규모에 대한 정의 없이 신고하도록 하고 있기 때문에 정보통신망법 적용 대상의 경우 유출사고가 일어났다는 사실 하나만으로 반드시 신고를 하셔야 하기 때문에 망법 적용 대상자의 경우 변경되는 사항은 없다고 볼 수 있겠네요

시행령 제41조(개인정보의 열람절차 등) ① 정보주체는 법 제35조제1항에 따라 자신의 개인정보에 대한 열람을 요구하려면 다음 각 호의 사항 중 열람하려는 사항을 개인정보처리자가 마련한 방법과 절차에 따라 요구하여야 한다.  1. 개인정보의 항목 및 내용  2. 개인정보의 수집ㆍ이용의 목적   3. 개인정보 보유 및 이용 기간  4. 개인정보의 제3자 제공 현황  5. 개인정보 처리에 동의한 사실 및 내용 ③ 정보주체가 법 제35조제2항에 따라 행정안전부장관을 통하여 자신의 개인정보에 대한 열람을 요구하려는 경우 에는 행정안전부령으로 정하는 바에 따라 제1항 각 호의 사항 중 열람하려는 사항을 표시한 개인정보 열람요구서를 행정안전부장관에게 제출하여야 한다. 이 경우 행정안전부장관은 지체 없이 그 개인정보 열람요구서를 해당 공공기 관에 이송하여야 한다. ⑤ 개인정보처리자는 제1항 및 제3항에 따른 개인정보 열람 요구를 받은 날부터 10일 이내에 정보주체에게 해당 개 인정보를 열람할 수 있도록 하는 경우와 제42조제1항에 따라 열람 요구 사항 중 일부를 열람하게 하는 경우에는 열 람할 개인정보와 열람이 가능한 날짜ㆍ시간 및 장소 등(제42조제1항에 따라 열람 요구 사항 중 일부만을 열람하게 하는 경우에는 그 사유와 이의제기방법을 포함한다)을 행정안전부령으로 정하는 열람통지서로 해당 정보주체에게 알려야 한다. 다만, 즉시 열람하게 하는 경우에는 열람통지서 발급을 생략할 수 있다.

시행령 제43조(개인정보의 정정ㆍ삭제 등) ① 정보주체는 법 제36조제1항에 따라 개인정보처리자에게 그 개인정보의 정정 또 는 삭제를 요구하려면 개인정보처리자가 마련한 방법과 절차에 따라 요구하여야 한다. 이 경우 개인정보처리자가 개 인정보의 정정 또는 삭제 요구 방법과 절차를 마련할 때에는 제41조제2항을 준용하되, "열람"은 "정정 또는 삭제"로 본다.

시행령 제44조(개인정보의 처리정지 등) ① 정보주체는 법 제37조제1항에 따라 개인정보처리자에게 자신의 개인정보 처리의 정지를 요구하려면 개인정보처리자가 마련한 방법과 절차에 따라 요구하여야 한다. 이 경우 개인정보처리자가 개인정보의 처리 정지 요구 방법과 절차를 마련할 때에는 제41조제2항을 준용하되, "열람"은 "처리 정지"로 본다.

기존에는 별첨문서로 있는 개인정보 열람요구서를 이용하여 개인정보의 열람/정정/삭제/처리정지를 할 수 있었습니다. 이 내용이 개인정보 열람/정정/삭제/처리정지 방법을 개인정보 처리자가 정할 수 있도록 변경했고 개인정보 열람이 즉시 가능한 경우 열람통지서도 생략이 가능하도록 변경되었습니다. 수집 및 처리하는 개인정보가 일정한 기업 및 기관이라면 개인정보 열람통지를 별도로 할 필요 없이 열람 가능하도록 하는 방법도 상당히 업무 부하를 줄일 수 있는 방법이 아닐까 싶습니다.

이번 개정안에서 적지 않은 부분이 변경됐는데요 특히 법22조는 업무를 처리하시는 분들은 최대한 빨리 변경해야 하지 않을까 싶습니다.

개인정보 보호법_171019.pdf

개인정보 보호법 시행령_171019.pdf

개인정보 보호법 시행규칙_171019.pdf