제23조(민감정보의 처리 제한)
1. 개인정보처리자는 사상, 신념, 노동조합, 정당가입, 정치견해 등 사생활 침해 우려가 있는 민감정보는 처리하면 안된다. 다만 다음 각 호 중 해당하면 처리해도 된다.
- 동의를 받은 경우
- 민감정보 처리를 요구, 허용하는 경우
2. 민감정보를 처리할 때 분실, 도난 또는 훼손되지 않도록 안전성 확보에 필요한 조치를 해야 한다.
민감정보는 처리하면 안되지만, 동의를 받거나 민감정보 처리가 필요하면 안전성을 확보하고 처리할 수 있다.
제24조(고유식별정보의 처리 제한)
1. 개인정보처리자는 각 호를 제외하고는 고유식별정보를 처리할 수 없다.
- 동의를 별도로 받은 경우
- 법령에서 허용하는 경우
2. 삭제
3. 고유식별정보가 분실, 도난, 유출 또는 훼손되지 않도록 안전성 확보에 필요한 조치를 해야 한다.
4. 보호위원회는 대통령령으로 정한 기준에 따라 안전성 확보 조치를 했는지 정기적으로 조사해야 한다.
5. 보호위원회는 전문기관으로 하여금 4항 조사를 하게 할 수 있다.
고유식별정보는 특수한 경우를 제외하고는 처리할 수 없으며, 처리하게 된다면 안전성을 확보하고 정기적으로 조사를 받아야 한다.
제24조의2(주민등록번호 처리의 제한)
1. 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다.
- 법, 대통령령 등에서 구체적으로 주민등록번호 처리를 요구하거나 허용한 경우
- 정보주체 또는 제3자의 생명, 신체, 재산 이익을 위해 명백히 필요하다고 인정되는 경우
- 보호위원회가 고시로 정하는 경우
2. 개인정보처리자는 주민등록번호가 분실, 도난 또는 훼손되지 않도록 암호화조치를 거쳐야한다.
3. 주민등록번호를 처리하는 경우에도 인터넷 홈페이지 회원 가입 시에는 주민번호를 안쓰고도 회원 가입이 가능한 경로를 제공해야 한다.
4. 보호위원회는 개인정보처리자가 3항을 할 수 있도록 조치를 취할 수 있다.
음 어렵지 않은 내용~?
제25조(영상정보처리기기의 설치 운영 제한)
민간분야 영상정보처리기기(CCTV) 설치 운영과 마스킹 시스템 개발 이슈 (tistory.com)
민간분야 영상정보처리기기(CCTV) 설치 운영과 마스킹 시스템 개발 이슈
오늘도 어김없이 보안 뉴스를 읽고있는 나는.. 개인정보보호위원회에서 개인영상정보 실시간 마스킹 시스템을 개발하는 사업을 추진중이라는 뉴스를 읽었다. CCTV 등을 통해 촬영되는 불특정 다
nicedammy.tistory.com
이거 읽어보세용
제26조(업무위탁에 따른 개인정보의 처리 제한)
1. 개인정보처리자가 제3자에게 처리업무를 위탁하는 경우 다음 호가 포함되어야 한다.
- 위탁업무 수행 목적 외 개인정보 처리 금지
- 개인정보 기술적, 관리적 보호조치
- 외
2. 위탁자는 위탁 업무 내용과 수탁자를 정보주체가 쉽게 확인하도록 공개해야 한다.
3. 위탁자가 재화, 서비스를 판매 권유하는 업무를 위탁할 땐 위탁 업무 내용과 수탁자를 정보주체에 알려야 한다.
4. 위탁자는 정보가 분실 도난 등이 안되도록 수탁자를 교육하고 감독한다.
5. 수탁자는 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하면 안된다.
6. 수탁자가 위탁받은 업무와 관련하여 개인정보 처리하는 과정에서 발생한 손해배상책임에 대해서는 수탁자를 개인정보처리자의 소속직원으로 본다.
위탁자 수탁자가 헷갈릴 수 있는데 위탁자는 개인정보 넘긴사람, 수탁자는 개인정보 받아서 처리하는 사람. 이렇게 생각하면 좋을 듯 하다. 6항의 경우에는 그니까.. 개인정보 받아서 처리하는 수탁자가 업무를 하는데 여기서 손해배상책임이 발생했다! 그러면 얘도 위탁자 그룹의 개인정보처리자 직원으로 보겠다! 이런 얘기인 듯 하다.
제27조(영업양도 등에 따른 개인정보의 이전 제한)
1. 개인정보처리자는 양도, 합병 등으로 개인정보를 이전할 때 각 호를 정보주체에게 알려야한다.
- 개인정보 이전 사실
- 개인정보 이전 받는 자의 이름, 주소, 번호, 연락처
- 이전을 원치 않을 경우에 조치할 수 있는 방법
2. 영업양수자등은 개인정보를 이전받으면 사실을 지체없이 알려야 한다.(1항이 진행됐으면 안해도 됨)
3. 영업양수자등은 영업 양도, 합병으로 이전받으면 이전 목적으로만 개인정보를 이용하거나 제3자 제공이 가능하다.
영업을 전부 혹은 일부 양도하거나 합병할 때 개인정보를 이전할 일이 생기면 이를 알려야 하고 원래 수집 목적으로만 이용하라는 얘기다.
제28조(개인정보취급자에 대한 감독)
1. 개인정보처리자는 개인정보의 안전한 관리를 위해 개인정보취급자에 대해 적절한 관리 감독을 해야 한다.
2. 개인정보처리자는 개인정보 취급 보장을 위해 정기적으로 교육을 실시해야 한다.
제28조의2(가명정보의 처리 등)
1. 개인정보처리자는 통계작성, 과학적연구, 공익적 기록보존 등을 위해 정보주체 동의 없이 가명정보 처리가 가능하다.
2. 개인정보처리자는 가명정보를 제3자에게 제공할 때 특정 개인을 알아보기 위해 사용되는 정보를 포함하면 안된다.
2항같은 경우에는 제3자에게 가명정보를 제공하는 목적 역시 1항의 목적과 같아야 한다.
제28조의3(가명정보의 결합 제한)
1. 제28조의2에도 불구, 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 다른 개인정보처리자 간의 가명정보 결합은 전문기관이 수행한다.
2. 결합을 수행한 기관 외부로 정보를 반출하려는 개인정보처리자는 가명정보로 처리해서 전문기관 장 승인을 받아야한다.
3. 결합 절차, 방법, 전문기관 지정 등 필요한 사항은 대통령령으로 정한다.
제28조의4(가명정보에 대한 안전조치의무 등)
1. 개인정보처리자는 가명정보를 처리하는 경우 복원을 위한 추가정보가 분실, 도난, 훼손 등이 되지 않도록 기술적 관리적 물리적 조치를 하여야 한다.
2. 개인정보처리자는 가명정보를 처리하려 할 때 가명정보 처리 내용 관리를 위해 기록을 작성하여 보관해야 한다.
가명정보를 아무렇게나 보관하지 말고 잘 관리하고 문서도 보관하여야 한다.
제28조의5(가명정보 처리 시 금지의무 등)
1. 누구든지 개인을 알아보기 위한 목적으로 가명정보를 처리하면 안된다.
2. 개인정보처리자는 가명정보 처리 중 특정 개인을 알아볼 수 있는 정보가 생성되면 즉시 처리를 중지하고 회수, 파기해야 한다.
제28조의6(가명정보 처리에 대한 과징금 부과 등)
1. 보호위원회는 개인정보처리자가 28조의5 1항 위반하면 매출액의 3%이하의 금액을 과징금으로 부과할 수 있다. 다만 매출액의 산정이 곤란하거나 없는 경우 4억원 또는 자본금의 3% 중 큰 금액 이하로 과징금을 부과할 수 있다.
이제 개인정보보호법 4장이 시작되는데요~? 다음 포스팅에 이어서 할게요 아녕!
'CPPG' 카테고리의 다른 글
| 개인정보보호법 스터디(5) : 개인정보 보호조치, 파기, 국내대리인, 국외이전, 상호주의 (0) | 2021.11.22 |
|---|---|
| 개인정보보호법 스터디(4) : 개인정보 안전조치, 영향평가, 과징금, 개인정보 열람, 처리정지, 파기 등 (0) | 2021.11.18 |
| EU 개인정보보호 규정 GDPR(General Data Protection Regulation) 가이드라인 스터디 : 컨트롤러와 프로세서 DPO (0) | 2021.11.17 |
| 개인정보보호법 스터디(2) : 개인정보 기본계획, 시행계획, 개인정보 수집 동의, 제한, 제3자 제공 등 (0) | 2021.11.16 |
| 전자서명법 스터디 (2) : 전자서명인증업무준칙, 전자서명법과태료, 전자서명법 양벌규정 (0) | 2021.11.11 |
