개인정보보호법 사이버경찰학과 10071029 신세휴 10090026 김영걸
INDEX 1 개인정보 영향평가제도 2 개인정보 유출사실의 통지▪신고제도 3 정보주체의 권리 보장 4 개인정보 분쟁조정위원회
1 개인정보 영향평가제도 개인정보 영향평가 제도 개요 개인정보 영향평가 대상 개인정보 영향평가 기준과 절차 평가기관 지정 및 지정취소
1. 개인정보 영향평가제도 『개인정보보호법 제 33조 (개인정보 영향평가) 』 1. 개인정보 영향평가 제도 개요 ○ 공공기관이 개인정보파일의 운용으로 인하여 정보조체의 개인정보 침해가 우려되는 경우에는 영향평가를 실시하고 그 결과를 행정안전부에 제출해야 한다. ○ 영향평가 시 고려할 사항 ☞ 처리하는 개인정보의 수 ☞ 개인정보의 제3자 제공 여부 ☞ 정보주체의 권리를 해할 가능성 및 그 위험 정도 ☞ 민감정보 또는 고유식별정보의 처리 여부 ☞ 개인정보 보유기간 ○ 국회, 법원, 헌법재판소, 중앙선거관리위원회와 그 소속기관은 자율적으로 정할 수 있다. ○ 민간기업은 자율적으로 개인정보 영향평가를 실시할 수 있다.
1. 개인정보 영향평가제도 2. 개인정보 영향평가 대상 ○ 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일 : 5만명 이상의 정보주체 ○ 다른 개인정보 파일과 연계하려는 경우 : 연계한 결과 50만명 이상의 정보주체 ○ 일반적인 개인정보 파일 : 100만명 이상의 정보주체에 관한 개인정보 ○ 영향평가를 받은 후 개인정보 검색 체계 등 개인정보파일의 운용 체계를 변경하려는 경우 : 변경된 부분에 한정 3. 개인정보 영향평가 기준과 절차 ○ 평가기관은 영향평가 시행 후 영향평가서를 해당 공공기관에 제출 ○ 해당 공공기관은 그 영향평가서를 행정안전부장관에게 제출 ○ 행정안전부장관은 제출받은 영향평가 결과에 대해 ‘개인정보 보호위원회'의 심의▪의결을 거쳐 의견 제시 가능
1. 개인정보 영향평가제도 4. 평가기관 지정 및 지정취소 2억원 이상 설비를 갖춘 곳 반드시 지정을 취소해야 함. ○ 평가기관 지정 요건 (아래 사항을 모두 만족해야 한다.) ☞ 최근 5년간의 개인정보 영향평가업무 및 이와 유사한 업무 등의 영향평가 수행실적이 2억원 이상 ☞ 10인 이상의 전문인력을 보유 ☞ 신원 확인 및 출입통제를 위한 설비를 갖춘 사무실, 기록 및 자료의 안전한 관리를 위한 설비를 갖춘 곳 ○ 평가기관이 거짓이나 그 밖의 부정한 방법으로 지정을 받은 경우에는 행정안전부장관은 반드시 지정을 취소해야 함.
1. 개인정보 영향평가제도 Q1. 개인정보 영향평가 시 고려할 사항이 아닌 것은? ① 처리하는 개인정보의 수 ② 개인정보의 제3자 제공 여부 ③ 정보주체의 권리를 해할 가능성 및 그 위험 정도 ④ 민감정보 또는 고유식별정보의 처리 여부 ⑤ 개인정보 보유 항목 정답 : ⑤ 개인정보 보유 항목이 아닌 개인정보 보유 기간 이다.
1. 개인정보 영향평가제도 Q2. 개인정보 영향 평가 기준과 절차 중 해당하지 않는 것은? ① 영향평가 시행 후 평가서를 해당 공공기관에 제출 ② 공공기관은 교육과학기술부장관에게 제출 ③ 제출받은 영향평가 결과에 대해 의결 제시 가능 정답 : ② 교육과학기술부장관이 아닌 행정안전부장관 이다.
2 개인정보 유출사실의 통지▪신고제도
2. 개인정보 유출사실의 통지▪신고제도 『개인정보보호법 제 34조(개인정보 유출 통지 등) 』 ① 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다. 1. 유출된 개인정보의 항목 2. 유출된 시점과 그 경위 3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 4. 개인정보처리자의 대응조치 및 피해 구제절차 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처 ② 개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다. ③ 개인정보처리자는 대통령령으로 정한 규모 이상의 개인정보가 유출된 경우에는 제 1항에 따른 통지 및 제 2항에 따른 조치 결과를 지체 없이 안전행정부장관 또는 대통령령으로 정하 는 전문기관에 신고하여야 한다. 이 경우 안전행정부장관 또는 대통령령으로 정하는 전문기 관은 피해 확산방지, 피해복구 등을 위한 기술을 지원할 수 있다. ④ 제 1항에 따른 통지의 시기, 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
※대통령령 제39조(개인정보 유출 신고의 범위 및 기관) ① 법 제34조제3항 전단에서 "대통령령으로 정한 규모 이상의 개인정보"란 1만명 이상의 정보주체에 관한 개인정보를 말한다. ② 법 제34조제3항 전단 및 후단에서 "대통령령으로 정하는 전문기관"이란 다음 각 호의 어느 하나에 해당하는 기관을 말한다. 1. 「국가정보화 기본법」 제14조에 따른 한국정보화진흥원(이하 "한국정보화진흥원"이라 한다) 2. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제52조에 따른 한국인터넷진흥원(이하 "한국인터넷진흥원"이라 한다) 제40조(개인정보 유출 통지의 방법 및 절차) ① 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 서면등의 방법으로 지체 없이 법 제34조제1항 각 호의 사항을 정보주체에게 알려야 한다. 다만, 유출된 개인정보의 확산 및 추가 유출을 방지하기 위하여 접속경로의 차단, 취약점 점검·보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후 지체 없이 정보주체에게 알릴 수 있다. ② 제1항에도 불구하고 개인정보처리자는 같은 항 본문에 따라 개인정보가 유출되었음을 알게 되었을 때나 같은 항 단서에 따라 유출 사실을 알고 긴급한 조치를 한 후에도 법 제34조제1항제1호 및 제2호의 구체적인 유출 내용을 확인하지 못한 경우에는 먼저 개인정보가 유출된 사실과 유출이 확인된 사항만을 서면등의 방법으로 먼저 알리고 나중에 확인되는 사항을 추가로 알릴 수 있다. ③ 제1항과 제2항에도 불구하고 법 제34조제3항 및 이 영 제39조제1항에 따라 1만명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 서면등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 법 제34조제1항 각 호의 사항을 7일 이상 게재하여야 한다. 다만, 인터넷 홈페이지를 운영하지 아니하는 개인정보처리자의 경우에는 서면등의 방법과 함께 사업장등의 보기 쉬운 장소에 법 제34조제1항 각 호의 사항을 7일 이상 게시하여야 한다.
2. 개인정보 유출사실의 통지▪신고제도 Q1. 개인정보 유출통지시 포함되어야 하는 항목이 아닌 것은? 정답 : ④ ① 유출된 개인정보의 항목 ② 유출된 시점과 그 경위 ③ 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 ④ 개인정보처리자의 대응조치 및 연락처 ⑤ 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처 정답 : ④ 개인정보처리자의 대응조치 및 구제절차 이다.
2. 개인정보 유출사실의 통지▪신고제도 Q2. 1만명 이상의 정보주체에 관한 개인정보가 유출된 경우 해당 개인정보처리자는 정보주체에 대한 통지와는 별도로 통지를 해야하는 곳이 아닌 것은? ① 한국정보화 진흥원 ② 한국인터넷 진흥원 ③ 해당 부서 동료 ④ 행정안전부 장관 정답 : ③
3 정보주체의 권리 보장 개인정보 열람 요구권 개인정보 정정, 삭제 요구권 개요 및 대응조치 정보주체의 처리정지 요구권 개요 및 대응조치 권리행사의 방법과 절차 손해배상 책임
3. 정보주체의 권리 보장 1. 개인정보 열람 요구권 2. 개인정보 정정, 삭제 요구권 개요 및 대응조치 ○ 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 공공기관에 직접 열람을 요구하거나 또는 행정안전부장관을 통하여 열람을 요구할 수 있음. ○ 개인정보처리자는 10일 이내에 정보주체가 개인정보를 열람할 수 있도록 조치해야 함. ○ 다음의 경우 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있다. ☞ 법률에 따라 열람이 금지되거나 제한되는 경우 ☞ 다른 사람의 생명,신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 ☞ 공공기관이 다음 업무를 수행할 때 중대한 지장을 초래하는 경우 - 조세의 부과, 징수 또는 환급에 관한 업무 - 각급 학교, 평생교육시설, 그 밖의 다른 법률에 따라 설치된 고등교육기관에서의 성적 평가 또는 입학자 선발에 관한 업무 ☞ 학력, 기능 및 채용에 관한 시험, 자격 심사에 관한 업무 ☞ 보상금, 급부금 산정 등에 대하여 진행 중인 평가 또는 판단에 관한 업무 ☞ 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무 2. 개인정보 정정, 삭제 요구권 개요 및 대응조치 ○ 정보주체는 개인정보처리자에 대해 개인정보 정정,삭제를 요구할 수 있음 ○ 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 삭제 요구를 할 수 없다 ○ 개인정보처리자는 10일 이내에 정보주체에게 결과를 알려야 함
3. 정보주체의 권리 보장 3. 정보주체의 처리정지 요구권 개요 및 대응조치 4. 권리행사의 방법과 절차 5. 손해배상 책임 ○ ‘처리의 정지 요구'란 개인정보는 그대로 보유하되 그 이용,제공 등 처리 행위만을 정지하는 것 ○ 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구할 수 있음 ○ 정보주체의 처리정지 요구를 거절할 수 있는 경우 ☞ 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 ☞ 다른 사람의 생명,신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 ☞ 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우 ☞ 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우 ○ 개인정보처리자는 10일 이내에 정보주체에게 결과를 알려야 함 4. 권리행사의 방법과 절차 ○ 정보주체는 개인정보 열람등 요구를 대리인을 통하여 할 수 있음 ○ 개인정보처리자는 열람등 요구를 하는 자에게 수수료 및 우송료를 청구할 수 있음 5. 손해배상 책임 ○ 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입은 경우 손해배상을 청구할 수 있음 ○ 이때 개인정보처리자는 고의 또는 과실이 없음을 입증해야 함
3. 정보주체의 권리 보장 Q1. 정보주체의 처리정지 요구를 거절할 수 있는 경우가 아닌 것은? ① 법률에 특별한 규정이 있거나 법령상 의무를 회피하기 위한 경우 ② 다른 사람의 생명, 신체를 해할 우려가 있을 경우 ③ 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 ④ 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우 정답 : ① ‘법령상의무를 회피하기 위한 경우’가 아닌 ‘법령상의무를 준수하기 위하여 불가피한 경우’ 이다.
4 개인정보 분쟁조정위원회
4. 개인정보 분쟁조정위원회 ○ 개인정보에 관한 분쟁의 조정을 위하여 개인정보 분쟁조정위원회가 설치되어 있으며, 분쟁조정이 성립되면 재판상 화해의 효력을 지님 ○ 분쟁조정위원회의 구성 ☞ 20명 이내의 위원으로 구성 (위원장 1명 포함) ☞ 위원 중 1명은 상임위원으로 하여야하는데 위원장이 상임으로 할 수도 있고 위원을 상임으로 할 수도 있다. ☞ 위원장은 위원 중에서 공무원이 아닌 사람을 행정안전부장관이 임명 ○ 개인정보 분쟁조정부의 설치 ☞ 분쟁조정 업무의 효율적 수행을 위해 조정사건의 분야별로 5명 이내의 위원으로 구성 ☞ 조정부가 분쟁조정위원회에서 위임받아 의결한 사항은 분쟁조정위원회에서 의결한 것으로 간주
4. 개인정보 분쟁조정위원회 Q1. 분쟁조정위원회의 구성으로 아닌 것은? ① 20명 이내의 위원으로 구성 ② 위원 중 1명은 상임위원으로 한다. ③ 상임위원은 위원장 또는 위원 중 한 명이 할 수 있다. ④ 위원장은 위원 중 공무원인 사람을 행정안전부장관이 임명한다. 정답 : ④ 공무원이 아닌 사람이여야 한다.
출처 http://kiyoo.tistory.com/285 http://kiyoo.tistory.com/282 http://kiyoo.tistory.com/287 http://privacyblog.naver.com/80165815425 국가법령정보센터
THANK YOU 개인정보보호법 ( 사이버법률 )