개인정보보호법 스터디(2) : 개인정보 기본계획, 시행계획, 개인정보 수집 동의, 제한, 제3자 제공 등

저번에 cppg 취소되기 전에 개인정보보호법을 7조까지 공부했더군요?!

 

8조부터 공부해보려고 합니다. 

 

 

---

2장 이어서

 

제8조의2(개인정보 침해요인 평가)

1. 중앙행정기관 장은 법 제정, 개정을 통해 개인정보 처리 정책이나 제도를 도입, 변경할 때 개인정보 침해요인 평가를 요청해야 한다.

2. 보호위원회가 1항 요청을 받으면 개인정보 침해요인 분석, 검토하여 필요한 사항 권고할 수 있다.

3. 평가 절차, 방법은 대통령령으로 정한다.

 

행정기관이 개인정보 처리 정책을 도입하면 개인정보보호위원회에 침해할만한 고쳐야하는 정책이 있는지 평가를 받아야 한다는 얘기다.

 

제9조(기본계획)

1. 보호위원회는 3년마다 개인정보 보호 기본계획을 중앙행정기관 장과 협의하여 수립한다.

2. 기본계획에는 각 호 사항이 포함되어야 한다.

• 목표, 방향
• 제도, 법령 개선
• 개인정보 침해 방지 대책
• 개인정보 보호 자율규제 활성화
• 교육, 홍보 활성화
• 전문인력 양성
• 그 밖

3. 국회, 법원, 헌법재판소, 중앙선거관리위원회는 해당기관 개인정보보호를 위한 기본계획을 수립, 시행할 수 있다.

 

기본계획을 세워서 개인정보 보호와 정보주체의 권익보장을 추구해야 하는군요! 3년마다!!!

 

제10조(시행계획)

1. 중앙행정기관 장은 매년 기본계획에 따라 시행계획을 작성해서 보호위원회에 제출해야 한다.

2. 수립, 시행에 관한 사항은 대통령령으로 정한다.

 

3년마다 세운 기본계획을 중앙행정기관 장이 매년 시행계획을 작성해야한다. 주기를 잘 기억해야 할듯!

시행계획은 1년 기본계획은 3년

 

제11조(자료제출 요구 등)

1. 보호위원회는 개인정보처리자, 중앙행정기관 장 등에 법규준수 현황과 개인정보관리실태 등에 관한 자료 제출, 의견 진술을 요구할 수 있다.

2. 보호위원회는 개인정보처리자, 중앙행정기관 장 등에 개인정보관리 수준 및 실태파악을 위한 조사를 할 수 있다.

3. 중앙행정기관 장은 시행계획을 효율적으로 수립, 추진하기 위해 1항을 요구할 수 있다.

4. 1~3항에 따라 자료제출을 요구받은 자는 따라야 한다.

5. 자료제출 범위, 방법에 대한 사항은 대통령령으로 정한다.

 

기본계획의 효율적인 수립, 성과평가, 정책추진 등을 위해서 자료 제출을 요구할 수 있고, 이에 따라야 한다.

 

제12조(개인정보 보호지침)

1. 보호위원회는 개인정보의 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 표준 개인정보 보호지침을 정해서 개인정보처리자에게 준수를 권장할 수 있다.

2. 중앙행정기관 장은 개인정보 보호지침을 정해서 개인정보처리자에게 준수를 권장할 수 있다.

 

보호위원회가 표준지침 정해서 -> 개인정보처리자에게 준수 권장

중앙행정기관 장이 보호지침 정해서 -> 개인정보처리자에게 준수 권장

 

제13조(자율규제의 촉진 및 지원) 보호위원회는 개인정보처리자의 자율적인 개인정보 보호활동 촉진, 지원 위해 각 호의 필요 시책을 마련해야 한다.

1. 교육, 홍보

2. 기관 단체 육성, 지원

3. 개인정보 보호 인증마크 도입

4. 개인정보처리자의 자율 규약 제정, 시행 지원

5. 그 외

 

자율적으로 개인정보 보호활동을 하도록 하기 위해 각 호를 하게 되면, 법으로 제정하는 것보다 더 구체적이고 현실적인 보호지원이 가능해질 것이다.

 

제14조(국제협력)

1. 정부는 국제적 환경에서 개인정보 보호수준 향상을 위해 필요 시책을 마련해야 한다.

2. 정부는 개인정보 국외이전으로 정보주체 권리가 침해되지 않도록 시책을 마련해야 한다.

 

---

3장 개인정보의 처리

 

제15조(개인정보의 수집 이용)

1. 개인정보처리자는 다음 각 호 중 하나에 해당하는 경우 개인정보 수집 이용이 가능함

• 정보주체의 동의 받음
• 법률에 특별 규정이 있거나 의무 준수 위해 불가피한 경우
• 공공기관 업무 수행을 위해 불가피한 경우
• 정보주체와 계약 체결 위해 불가피한 경우
• 정보주체의 생명, 신체, 재산이익을 위해 필요하다고 인정되는 경우이면서 정보주체, 대리인이 의사표시 못하거나 사전동의를 못받는 경우
• 개인정보처리자의 정당 이익 달성을 위해 필요한 경우, 합리적인 범위를 초과하지 않는 경우에 한함

2. 개인정보처리자는 1항 1호 동의 받을 때 다음 각 호를 알려야 한다. (변경될 때도)

• 개인정보 수집, 이용 목적
• 수집항목
• 개인정보 보유, 이용기간
• 동의를 거부할 권리가 있다는 사실, 불이익이 있으면 불이익 내용

3. 개인정보처리자는 목적과 합리적으로 관련된 범위에서 안전성 확보 조치를 하였는지 여부를 고려하여 정보주체 동의 없이 개인정보 이용이 가능하다.

 

1항에 각 호에 해당하면 개인정보 수집이 가능하다! 이런 얘기고, 동의를 받을 땐 2항의 각 호를 알려야 한다. 3항은 추가된 법령인데 예를 들면 A를 목적으로 정보를 받았는데 A-1의 목적으로 정보를 이용하고 싶다! 이러면 안전성 확보 조치가 잘 되어있다면 동의 안받아도 A-1을 위해 개인정보 이용해도 괜찮다는! 그런 얘기다.

 

제16조(개인정보의 수집 제한)

1. 개인정보처리자가 개인정보 수집할 땐 최소한의 개인정보를 수집해야 한다. 입증책임은 개인정보처리자가 부담

2. 정보주체의 동의 받아서 개인정보를 수집하는 경우 최소한의 정보 외의 정보 수집에는 비동의해도 된다는 사실을 알리고 정보를 수집해야 한다.

3. 개인정보처리자는 최소한의 정보 외의 수집에 동의하지 않는 정보주체에게 재화 서비스 제공을 거부하면 안된다.

 

개인정보를 수집할 때는 꼭 최소한의 정보만 수집해야 한다.

 

제17조(개인정보의 제공)

1. 개인정보처리자는 다음 각 호에 해당되면 개인정보를 제3자에 제공할 수 있다.

• 정보주체 동의 받는 경우
• 개인정보를 수집한 목적 범위 내에서 제공하는 경우

2. 개인정보처리자가 동의 받을 땐 다음 각 호를 정보주체에 알려야 한다.

• 개인정보 제공받는 자
• 개인정보 제공받는 자의 이용 목적
• 제공 개인정보의 항목
• 보유, 이용기간
• 거부할 권리 있다는 사실, 불이익이 있으면 그 불이익의 내용

3. 개인정보처리자가 개인정보를 국외 제3자에 제공할 땐 정보주체에 알리고 동의를 받아야 하며 이 법을 위반하여 국외 이전 계약을 체결하면 안된다.

4. 개인정보처리자는 수집목적과 합리적으로 관련된 범위에서 정보주체에 불이익 발생 여부 등 안전성 확보에 필요한 조치 했는지 고려하여 정보주체 동의 없이 개인정보 제공이 가능하다.

 

제3자에 개인정보를 제공할 땐 꼭 필요하고 개인정보처리자의 동의를 받아야 한다.

 

제18조(개인정보의 목적 외 이용 제공 제한)

1. 개인정보처리자는 범위를 초과하여 개인정보를 이용하거나 제공하면 안된다.

2. 1항에도 불구하고 정보주체, 제3자의 이익을 부당하게 침해할 우려 있을 때 빼고는 목적 외로 개인정보를 이용하거나 제3자에게 제공할 수 있다.

• 별도의 동의 받은 경우
• 다른 법에 특별한 규정 있는 경우
• 정보주체, 법정대리인이 의사표시를 못하거나 주소불명으로 동의를 받을 수 없는데 정보주체, 제3자의 생명 신체 재산이익 위해 필요하다고 인정되는 경우
• 목적 외 용도로 이용하거나 제3자에게 제공하지 않으면 소관 업무를 수행할 수 없는 경우
• 국제협정 이행 위해 외부, 국제기구에 제공하기 위해 필요한 경우
• 범쥐 수사, 공소제기, 유지 위해 필요한 경우

3. 개인정보처리자는 동의를 받을 때 각 호를 정보주체에 알려야 한다. (변경할때도)

• 개인정보를 제공받는 자
• 개인정보 이용목적
• 이용, 제공하는 개인정보
• 보유, 이용기간
• 동의를 거부할 권리가 있다는 사실, 불이익이 있다면 불이익 내용

4. 공공기관은 개인정보를 목적외로 이용하거나 제3자에게 제공하는 경우 법적 근거, 목적 및 범위에 관해 필요한 사항을 게재해야 한다.

5. 개인정보처리자는 개인정보를 목적 외 용도로 제3자에게 제공하는 경우 개인정보를 제공받는 자에게 이용 목적, 이용 방법을 제한하거나 안전성 확보 조치를 마련하도록 요청해야 하고, 요청을 받은 자는 필요 조치를 해야한다.

 

개인정보를 이전에 명시한 목적이 아닌 곳에 이용하는 것은 제한되나, 일부 특별한 경우에는 제3자에 제공하거나 목적 외로 개인정보를 이용하는 것이 가능하다. 제3자에게 제공하는 경우 철저히 업무를 제한하고 안전성 확보 조치를 마련하도록 해야한다.

 

제19조(개인정보를 제공받은 자의 이용 제공 제한)

개인정보처리자로부터 개인정보를 제공받은 자는 각 호 중 해당하지 않으면 제공받은 목적 외로 이용하거나 제3자에게 제공하면 안된다.

• 별도의 동의를 정보주체로부터 받은 경우
• 다른 법률에 특별 규정이 있는 경우

 

18조랑 비슷한 내용이지만 예외를 규정하고 있다.

 

제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지)

1. 개인정보처리자가 정보주체 이외로부터 수집한 개인정보 처리할 땐 정보주체 요구가 있으면 각 호를 알려야 한다.

• 수집 출처
• 처리 목적
• 처리 정지를 요구할 권리가 있다는 사실

2. 1항에도 불구, 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 정보주체 이외로부터 개인정보를 수집하고 처리할 때는 모든 사항을 모든 정보주체에 알려야한다. 다만 수집한 정보에 정보주체에게 알릴 수 있는 개인정보가 없으면 그렇지 않다.

3. 정보주체에게 알리는 시기, 방법, 절차는 대통령령으로 정한다.

4. 각 호에 해당하면 1호, 2호를 적용하지 않는다.

• 고지 요구 대상이 되는 개인정보가 32조 2항 호에 해당하는 개인정보파일에 포함된 경우
• 고지로 인해 다른사람의 생명, 신체를 해할 우려가 있거나 부당하게 침해할 우려가 있는 경우

 

정보주체 이외로부터 개인정보를 수집할 때 고지를 해야 하고! 예외의 경우엔 고지를 따로 하지 않아도 된다.

 

제21조(개인정보의 파기)

1. 개인정보처리자는 개인정보가 불필요하면 지체없이 개인정보를 파기해야 한다.

2. 개인정보를 파기할 때는 복구 또는 재생되지 않도록 조치해야 한다.

3. 개인정보처리자가 개인정보를 파기하지 않고 보존해야 하는 경우, 다른 개인정보와 분리 저장, 관리해야 한다.

4. 개인정보 파기방법, 절차 등은 대통령령으로 정한다.

 

보유기간이 경과되었거나, 개인정보 처리 목적이 달성하면 정보를 복구, 재생 안되게 파기하여야 한다.

 

제22조(동의를 받는 방법)

1. 개인정보처리자는 정보주체의 동의를 받을 때 각 동의사항을 구분하여 정보주체가 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다.

2. 동의를 서면으로 받을 때 보호위원회가 고시로 정하는 방법에 따라 명확하게 알아보기 쉽게 하여야 한다.

3. 개인정보처리에 대해 정보주체의 동의를 받을 때 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분해야 한다.

4. 개인정보처리자는 홍보나 판매를 권유하기 위해 개인정보 처리의 동의를 받을 때 정보주체가 인지할 수 있도록 알리고 동의를 받아야 한다.

5. 개인정보처리자는 선택 동의 사항을 동의하지 않는다는 이유로 재화, 서비스 제공을 거부하면 안된다.

6. 개인정보처리자는 만 14세 미만 아동의 개인정보를 처리할 땐 법정대리인의 동의를 받아야 한다.

7. 이외 동의를 받는 방법은 대통령령으로 정한다.