본문 바로가기
CPPG

개인정보보호법 스터디(4) : 개인정보 안전조치, 영향평가, 과징금, 개인정보 열람, 처리정지, 파기 등

by pharmerci 2021. 11. 18.
728x90

4장부터 다시 시작해봅시다! ٩( 'ω' )و <----------아 귀여어...

개보법, 개보법 시행령, 개보법 시행규칙을 한번씩 쓱 훑고, 2회독에서는 더 자세하게 공부할 예정입니당

4장 개인정보의 안전한 관리

 

제29조(안전조치의무)

 

개인정보처리자는 개인정보의 분실 도난 유출 위조 변조되지 않도록 기술적 관리적 및 물리적 조치를 해야 한다.

 

제30조(개인정보 처리방침의 수립 및 공개)

 

1. 개인정보처리자는 각 호가 포함된 개인정보 처리방침을 정해야 한다.

  • 처리목적
  • 처리, 보유기간
  • 제3자 제공에 관한 사항
  • 파기절차, 파기방법
  • 위탁에 관한 사항
  • 정보주체, 법정대리인의 권리 의무
  • 개인정보 보호책임자 성명 명칭 연락처
  • 개인정보 자동 수집 장치 설치, 운영 및 거부
  • 이외

2. 개인정보처리자가 처리방침을 수립, 변경하는 경우 정보주체가 쉽게 확인할 수 있도록 공개해야 한다.

3. 개인정보 처리방침의 내용과 계약의 내용이 다른 경우 정보주체에 유리한 것을 적용한다.

4. 보호위원회는 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 준수를 권장할 수 있다.

 

개인정보 처리방침을 정해서 그걸 잘 안내를 하여야 하고, 개보위가 처리방침의 작성지침을 정하여 준수를 권장한다.

 

제31조(개인정보 보호책임자의 지정)

 

1. 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정해야 한다.

2. 개인정보 보호책임자가 하는 일

  • 개인정보 보호 계획 수립, 시행
  • 개인정보 처리 실태 조사, 개선
  • 개인정보 처리 불만 처리, 구제
  • 개인정보 유출, 오남용 방지 위한 통제 시스템 구축
  • 개인정보 보호 교육
  • 개인정보 파일 보호, 관리, 감독
  • 이외

3. 개인정보 보호책임자는 2항 수행을 위해 여러가지를 조사하거나 보고받을 수 있다.

4. 개인정보 보호책임자는 개인정보 보호와 관련하여 다른 법 위반 사실을 알게되면 개선조치 하고 필요하면 보고해야 한다.

5. 개인정보처리자는 개인정보보호책임자가 2항을 수행함에 있어서 불이익을 정당한이유 없이 주거나 받게해서는 안된다.

6. 그 밖은 대통령령으로 정한다.

 

개인정보 보호책임자 지정해야한다는 내용이고 하는 일은 읽어보면 될 듯 해요(물론 시험볼 땐 외워야하나..?)

 

제32조의2(개인정보 보호 인증)

 

1. 보호위원회는 개인정보처리자의 개인정보 처리 조치가 이 법에 부합하는지 인증할 수 있다.

2. 인증 유효기간은 3년이다.

3. 보호위원회는 각 호에 해당하면 인증을 취소할 수 있다.

  • 거짓 인증을 받은 경우
  • 사후관리를 거부, 방해한 경우
  • 인증 기준에 미달하게 된 경우
  • 개인정보 보호 관련 법을 위반하고 위반 사유가 중대한 경우

4. 연1회 사후관리를 실시해야 한다.

5. 보호위원회가 전문기관으로 하여금 인증 심사원 관리업무를 수행하게 할 수 있다.

6. 인증 받은 자는 인증 내용을 표시, 홍보할 수 있다.

7. 인증하는 심사원의 자격은 대통령령으로 정한다.

8. 이외 사항은 대통령령으로 정한다.

 

읽어보면 이해가 되는 것 같고..!! 인증 유효기간이 3년이다.. 3년 3년... 숫자 외우는게 젤 힘들듯 하다ㅜㅠㅠ

 

제33조(개인정보 영향평가)

 

1. 공공기관 장은 개인정보파일 운용으로 인해 정보주체의 개인정보 침해가 우려되면 위험요인 분석과 개선사항 도출을 위한 평가를 하고 결과를 보호위원회에 제출해야 한다. 이 경우 공공기관 장은 영향평가를 보호위원회가 지정하는 기관 중에서 의뢰해야 한다.

2. 영향평가 시 다음을 고려해야 한다.

  • 처리 개인정보 수
  • 개인정보의 제3자 제공 여부
  • 정보주체의 권리 해할 가능성, 위험 정도
  • 이외

3. 보호위원회는 영향평가 결과에 대해 의견을 제시할 수 있다.

4. 공공기관의 장은 영향평가를 한 개인정보파일을 등록할 때 영향평가 결과를 함께 첨부해야 한다.

5. 보호위원회는 영향평가 활성화를 위해 전문가 육성, 영향평가 기준 개발 보급 등 필요한 조치를 해야 한다.

6. 평가기관의 지정기준 등에 관한 사항은 대통령령으로 정한다.

7. 국회, 법원, 헌법재판소, 중앙선관위의 영향평가는 각 규칙에서 정하는 바에 따른다.

8. 공공기관 외 개인정보처리자는 정보주체의 개인정보 침해가 우려되는 경우 영향평가를 위해 노력해야 한다.

 

33조는 공공기관에 대한 조항이다. 개인정보 침해가 우려되면 영향평가를 실시하는 그런 내용..! 다만 국회 법원 헌법재판소 중앙선관위 영향평가는 각 기관의 규칙에서 정하는 바에 따른다.(국법선헌국법선헌국법선헌.... 국밥을 선호한다는 그런 말도안되는 뜻..)

 

제34조(개인정보 유출 통지 등)

 

1. 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때는 지체없이 주체에게 각 호의 사실을 알려야 한다.

  • 유출 정보 항목
  • 유출 시점, 경위
  • 유출 피해를 최소화하기 위해 정보주체가 할 수 있는 방법 등
  • 개인정보 처리자 대응조치, 피해 구제절차
  • 피해 발생 시 신고 접수할 수 있는 담당부서, 연락처

2. 개인정보처리자는 개인정보 유출 시 피해를 최소화할 수 있는 대책 마련, 조치 취해야 한다.

3. 개인정보처리자는 대통령령에서 정한 규모 이상의 정보가 유출된 경우 지체없이 통지 및 결과를 지체없이 보호위원회, 전문기관에 신고해야 한다.

4. 1항에 따른 통지시기, 방법 등은 대통령령으로 정한다.

 

개인정보가 유출되면 바로 신고하고 대처해야 한다.

 

제34조의2(과징금의 부과 등)

1. 보호위원회는 주민등록번호가 분실, 도난 등 된 경우에는 5억원 이하의 과징금, 다만 안전성 확보 조치를 다 한 경우에는 그렇지 않다.

2. 보호위원회는 과징금을 부과하는 경우 각 호를 고려해야 한다.

  • 안전성 확보 조치 이행 노력 정도
  • 주민등록번호의 정도
  • 후속조치 이행 여부

3. 보호위원회는 과징금을 기한까지 안내면 다음날부터 연 6%범위 내에서 가산금을 징수한다. 60개월은 초과하면 안된다.

4. 보호위원회는 과징금을 안내면 기간을 정해서 독촉하고 가산금과 과징금을 안내면 국세 체납처분의 예에 따라 징수한다.

5. 그 밖에는 대통령령으로 정한다.

 

 

 

 

 

5장 정보주체의 권리 보장

 

제35조(개인정보의 열람)

 

1. 정보주체는 개인정보처리자가 처리하는 자신의 개인정보 열람을 요구할 수 있다.

2. 1항에도 불구하고 개인정보 열람을 공공기관에 요구하고자 할 땐 공공기관에 열람을 요구하거나 보호위원회를 통해 요구할 수 있다.

3. 개인정보처리자는 열람을 요구받았을 때 대통령령에서 말하는 기간 내에 정보주체가 해당 개인정보를 열람할 수 있도록 해야한다. 이 기간 내에 열람을 못하는 정당한 사유가 있으면 정보주체에게 사유를 알리고 열람을 연기할 수 있다.

4. 각 호에 해당하면 정보주체에게 사유를 알리고 열람을 제한하거나 거절할 수 있다.

  • 법에 따라 열람이 금지, 제한
  • 다른사람의 생명, 신체 해할 우려가 있거나 재산, 이익을 부당하게 침해할 우려가 있는 경우
  • 공공기관이 각 목 중 수행할 때 중대한 지장 초래하는 경우
    • 조세 부과, 징수, 환급
    • 고등교육기관의 성적평가, 입학자 선발
    • 학력, 기능, 채용 시험
    • 보상금 산정 평가, 판단
    • 다른 법에 따라 진행중인 감사, 조사

5. 그 밖에 필요한 사항은 대통령령으로 정한다.

 

개인정보 열람 요구가 가능하다. 다만, 법으로 금지하거나 다른사람에 피해를 주거나, 공공기관 업무에 중대한 지장을 주는 경우에는 열람을 거절할 수 있다.

 

제36조(개인정보의 정정 삭제)

 

1. 개인정보를 열람한 정보주체는 개인정보처리자에게 정정, 삭제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있으면 삭제를 요구할 수 없다.

2. 개인정보처리자는 정보주체의 요구 받으면 지체없이 필요 조치를 하여 결과를 알려야 한다.

3. 개인정보 삭제 시 복구, 재생되지 않도록 조치해야 한다.

4. 개인정보처리자는 정보주체 요구가 1항의 단서에 해당되면 내용을 정보주체에게 알려야한다.

5. 개인정보처리자는 2항을 조사할 때 필요하면 정보주체에게 정정, 삭제 요구사항 확인에 필요한 증거자료를 제출하게 할 수 있다.

6. 정정, 삭제요구 통지방법 등에 관한 사항은 대통령령으로 정한다.

 

개인정보 정정이나 삭제를 요구할 수 있고, 지체없이 처리를 해서 결과를 알려야 한다.

 

제37조(개인정보의 처리정지 등)

 

1. 정보주체는 개인정보 처리 정지를 요구할 수 있다. 공공기관에 대해서는 등록대상이 되는 개인정보파일 중 자신의 개인정보 처리 정지를 요구할 수 있다.

2. 개인정보처리자는 요구를 받으면 지체없이 개인정보 처리를 정지해야 한다. 다만 각 호에 해당하는 경우 처리정지 요구를 거절할 수 있다.

  • 법률에 특별한 규정이 있거나 법령상 의무 준수를 위해 불가피한 경우
  • 다른사람 생명, 신체, 재산에 불이익을 주는 경우
  • 공공기관이 개인정보를 처리하지 않으면 법률에서 정하는 업무를 수행할 수 없는 경우
  • 개인정보를 처리하지 않으면 계약 이행이 곤란한 경우

3. 개인정보처리자는 처리정지 요구를 거절하면 지체없이 사유를 알려야 한다.

4. 개인정보처리자는 처리 정지 개인정보에 대해 파기 등 필요 조치를 취해야 한다.

5. 이외는 대통령령으로 정한다.

 

정보주체는 개인정보 처리를 정지할 요구할 권리를 갖는데 정보처리자가 이걸 거절할 수 있는 몇가지 경우가 있는 것이다. 2항에 4호는 예를 들어 A서비스를 제공하기 위해서는 갑의 정보가 필요한데, A서비스 해지에 대한 명확한 의사는 밝히지 않고 처리 정지를 요구한다면 거절할 수 있는 것이다.

 

제38조(권리행사의 방법 및 절차)

 

1. 정보주체는 열람, 정정, 삭제, 처리정지, 동의 철회 요구를 대리인에게 하게 할 수 있다.

2. 만14세 미만 아동의 법정대리인은 개인정보처리자에게 개인정보 열람등요구를 할 수 있다.

3. 개인정보처리자는 열람등요구를 하는 자에게 수수료, 우송료 청구가 가능하다.

4. 개인정보처리자는 열람등요구를 하는 방법, 절차를 마련하고 공개해야한다.

5. 개인정보처리자는 열람등요구에 대한 거절 등 조치에 불복이 있는 경우 이의를 제기하도록 필요한 절차를 마련해야한다.

 

대리인에게 권리행사를 하게할 수 있고, 개인정보처리자는 권리행사를 할 수 있는 쉬운 방법을 마련해야 한다.

 

제39조(손해배상책임)

 

1. 정보주체는 개인정보처리자가 법을 위반한 행위로 손해를 입으면 손해배상을 청구할 수 있다. 이 때 개인정보처리자는 고의, 과실이 없음을 입증하지 않으면 책임을 면할 수 없다.(= 고의, 과실 없으면 책임 없다)

3. 개인정보처리자의 고의, 과실로 개인정보가 분실, 도난 등이 일어나 정보주체가 손해를 입으면 법원은 손해액의 3배가 넘지 않는 범위에서 손해배상액을 정할 수 있다. 다만 고의, 과실 없음을 입증하면 그렇지 않다.

4. 법원은 배상액을 정할 때 다음을 고려해야 한다.

  • 고의, 손해발생 우려 인식 정도
  • 피해규모
  • 개인정보처리자가 얻은 경제적 이익
  • 위반행위에 따른 벌금, 과징금
  • 위반행위 기간, 횟수
  • 개인정보처리자 재산상태
  • 개인정보처리자가 정보주체 개인정보 유출 후 회수 위해서 노력한 정도
  • 개인정보처리자가 정보주체 피해규제 위해 노력한 정도

 

1항의 말이 너무 어렵게 써있는데,, 정보 유출을 하면 고의나 과실이 아니었다고 입증하면 손해배상의 책임을 면할 수 있다는 뜻이다.

 

제39조의2(법정손해배상의 청구)

 

1. 제39조 1항에 불구, 개인정보처리자의 고의, 과실로 개인정보가 도난 분실 등이 된 경우 300만원 이하 범위에서 배상을 청구할 수 있다. 이때 개인정보처리자는 고의 또는 과실이 없음을 입증하지 않으면 책임을 면할 수 없다.

2. 법원은 1항 청구가 있는 경우 변론 전체의 취지, 증거조사 결과를 고려해서 상당한 손해액을 인정할 수 있다.

3. 손해배상을 청구한 정보주체는 사실심의 변론이 종결되기 전까지 청구를 1항에 따른 청구로 변경할 수 있다.

 

39조랑 39조의2랑 무슨 차이점이 있나 봤는데,,! 39조의 경우에는 개인정보가 유출되어서 정보주체가 100만원, 200만원 이런식으로 직접적인 손해를 입은 경우이고, 39조의2 경우에는 개인정보가 유출이 된거. 딱 이런 경우에 법정손해배상을 청구하는 경우인 듯 하다.

3항의 경우에는 손해배상을 청구한 정보주체, 그니까 39조에 의해서 손해배상을 청구한 정보주체는 사실심이 끝나기 전까지 법정손해배상 청구로 바꿀 수 있다는 뜻이다.

 

 

 

 

 

6장까지 가면 너무 길어질 것 같아서, 다음 포스팅으로 넘길게용?

728x90
저작자표시 (새창열림)

'CPPG' 카테고리의 다른 글

개인정보보호법 스터디(6) : 개인정보 분쟁조정위원회, 집단분쟁조정신청, 단체소송  (0) 2021.11.22
개인정보보호법 스터디(5) : 개인정보 보호조치, 파기, 국내대리인, 국외이전, 상호주의  (0) 2021.11.22
개인정보보호법 스터디(3) : 민감정보, 고유식별정보, 가명정보 처리 / 영업위탁과 양도에 대한 개인정보 관리  (0) 2021.11.17
EU 개인정보보호 규정 GDPR(General Data Protection Regulation) 가이드라인 스터디 : 컨트롤러와 프로세서 DPO  (0) 2021.11.17
개인정보보호법 스터디(2) : 개인정보 기본계획, 시행계획, 개인정보 수집 동의, 제한, 제3자 제공 등  (0) 2021.11.16

관련글

티스토리툴바