1. 시행령 제17조(동의를 받는 방법) 제1항 신설
시행령 제17조(동의를 받는 방법)
① 개인정보처리자는 법 제22조에 따라 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 다음 각 호의 조건을 모두 충족해야 한다.
1. 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것
2. 동의를 받으려는 내용이 구체적이고 명확할 것
3. 그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용할 것
4. 동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공할 것
이번 개정에서 가장 중요한 내용은 제1항제1호입니다.
자유로운 의사에 따라 동의여부를 결정할 수 없기 때문에 더이상 ‘필수동의’는 사용할 수 없습니다.
기존의 ‘필수동의’는 원칙적으로는 필요한 최소한의 범위에서 받아야 했지만 ‘동의 만능주의’에 따라 계약이나 서비스 이행에 불필요한 내용까지도 필수동의에 통합시켜 수집해온 경우가 상당히 많았습니다. 이번 개정과 이미 3월14일에 개정된 법 제15조제1항제4호에 따라 계약 이행에 필요한 정보는 수집 동의가 불필요해졌으며, 그 외의 정보는 정보주체가 선택적으로 동의할 수 있어야 합니다.
2. 시행령 제30조의2(공공시스템운영기관 등에 대한 개인정보 안전성 확보 조치 등 특례) 신설
시행령 제30조의2(공공시스템운영기관 등에 대한 개인정보 안전성 확보 조치 등 특례)
① 개인정보의 처리 규모, 접근 권한을 부여받은 개인정보취급자의 수 등 보호위원회가 고시하는 기준에 해당하는 개인정보처리시스템(이하 "공공시스템"이라 한다)을 운영하는 공공기관(이하 "공공시스템운영기관"이라 한다)은 법 제29조에 따라 이 영 제30조의 안전성 확보 조치 외에 다음 각 호의 조치를 추가로 해야 한다.
1. 제30조제1항제1호에 따른 내부 관리계획에 공공시스템별로 작성한 안전성 확보 조치를 포함할 것
2. 공공시스템에 접속하여 개인정보를 처리하는 기관(이하 이 조에서 "공공시스템이용기관"이라 한다)이 정당한 권한을 가진 개인정보취급자에게 접근 권한을 부여ㆍ변경ㆍ말소 등을 할 수 있도록 하는 등 접근 권한의 안전한 관리를 위해 필요한 조치
3. 개인정보에 대한 불법적인 접근 및 침해사고 방지를 위한 공공시스템 접속기록의 저장ㆍ분석ㆍ점검ㆍ관리 등의 조치
② 공공시스템운영기관 및 공공시스템이용기관은 정당한 권한 없이 또는 허용된 권한을 초과하여 개인정보에 접근한 사실이 확인되는 경우에는 지체 없이 정보주체에게 해당 사실과 피해 예방 등을 위해 필요한 사항을 통지해야 한다. 이 경우 다음 각 호의 어느 하나에 해당하는 경우에는 통지를 한 것으로 본다.
1. 법 제34조제1항에 따라 정보주체에게 개인정보의 분실ㆍ도난ㆍ유출에 대하여 통지한 경우
2. 다른 법령에 따라 정보주체에게 개인정보에 접근한 사실과 피해 예방 등을 위해 필요한 사항을 통지한 경우
③ 공공시스템운영기관(공공시스템을 개발하여 배포하는 공공기관이 따로 있는 경우에는 그 공공기관을 포함한다. 이하 이 조에서 같다)은 해당 공공시스템의 규모와 특성, 해당 공공시스템이용기관의 수 등을 고려하여 개인정보의 안전한 관리에 관련된 업무를 전담하는 부서를 지정하여 운영하거나 전담인력을 배치해야 한다.
④ 공공시스템운영기관은 공공시스템별로 해당 공공시스템을 총괄하여 관리하는 부서의 장을 관리책임자로 지정해야 한다. 다만, 해당 공공시스템을 총괄하여 관리하는 부서가 없을 때에는 업무 관련성 및 수행능력 등을 고려하여 해당 공공시스템운영기관의 관련 부서의 장 중에서 관리책임자를 지정해야 한다.
⑤ 공공시스템운영기관은 공공시스템의 안전성 확보 조치 이행상황 점검 및 개선에 관한 사항을 협의하기 위하여 다음 각 호의 기관으로 구성되는 공공시스템운영협의회를 공공시스템별로 설치ㆍ운영해야 한다. 다만, 하나의 공공기관이 2개 이상의 공공시스템을 운영하는 경우에는 공공시스템운영협의회를 통합하여 설치ㆍ운영할 수 있다.
1. 공공시스템운영기관
2. 공공시스템의 운영을 위탁하는 경우 해당 수탁자
3. 공공시스템운영기관이 필요하다고 인정하는 공공시스템이용기관
⑥ 보호위원회는 공공시스템운영기관이 개인정보의 안전성 확보 조치를 이행하는데 필요한 지원을 할 수 있다.
⑦ 제1항부터 제6항까지에서 규정한 사항 외에 공공시스템운영기관 등의 개인정보의 안전성 확보 조치에 필요한 사항은 보호위원회가 정하여 고시한다.
제1항에 따라 공공시스템을 운영하는 공공기관은 개인정보의 안전성 확보조치 기준에 따른 조치 이외에 각호에서 요구하는 항목에 관한 조치를 추가로 해야 합니다. 시행령에서 요구하는 내용에 따라 공공시스템 운영기관은 공공시스템 운영기관의 공무원 뿐 아니라 공공시스템 이용기관의 공무원에 관해서도 관리를 해야 할 것으로 보입니다.
제2항의 경우 기존 안전성확보조치에서는 접근권한과 접속기록에 대해 점검하도록 하는 요구사항만 존재하였으나 여기에 접근권한이 없는 자가 접근한 경우 지체없이 정보주체에게 알리도록 하는 내용이 추가되었습니다.
접근권한에 관한 제어가 정상적으로 되어 있는 경우 권한이 없는자가 개인정보에 접근할 수 없어야 하며 따라서 정보주체에게 그 사실을 알리게 되는 경우가 없어야 할 것이나 제어 오류 등으로 인해 개인정보에 접근이 가능한 경우 결국 검토가 가능한 것은 로그시스템이며 이에 따라 개인정보 접속기록 검토 방안에 대해 다시한번 검토가 필요할 것으로 보입니다.
3. 시행령 제32조(개인정보 보호책임자의 업무 및 지정요건 등) 제4항제4호 신설
시행령 제32조(개인정보 보호책임자의 업무 및 지정요건 등)
④ 다음 각 호의 어느 하나에 해당하는 개인정보처리자(공공기관의 경우에는 제2조제2호부터 제5호까지에 해당하는 경우로 한정한다)는 제3항 각 호의 구분에 따른 사람 중 별표 1에서 정하는 요건을 갖춘 사람을 개인정보 보호책임자로 지정해야 한다.
4. 공공시스템운영기관
공공시스템 운영기관의 경우 개인정보 보호책임자의 요건을 충족하는 사람을 개인정보 보호책임자로 임명해야 합니다.
'보안 이야기 > 법령 살펴보기' 카테고리의 다른 글
| 개인정보의 안전성 확보조치 기준 개정안 검토내역 (0) | 2023.09.24 |
|---|---|
| 개인정보의 안전성 확보조치 기준 개정고시안 (0) | 2023.08.02 |
| 개인정보보호법 개정안(2021년 1월 6일) (0) | 2021.01.19 |
| 2020년 02월 04일 공표 개인정보보호법, 정보통신망법 (0) | 2020.02.07 |
| 17년 10월 19일 개정 시행 개인정보보호법 (0) | 2017.10.25 |
ligilo
행복한 하루 되세요~