처음 요약본을 작성하고자 할 때 썼던 PART 2 내용이다.
너무 길어서 새롭게 요약본을 작성했는데 그게 기존에 올라와있던 PART 2 이다.
열심히 작성하였는데 삭제하기는 아까워서 정밀본으로라도 올려본다.
< PART 2 >
개인정보보호 관련 법률 체계
헌법 – 모든 국민은 사생활의 비밀과 자유를 침해받지 않을 권리를 기본으로한다.
- 법제간 충돌 시 적용 원칙
1. 헌법 > 법률 > 시행령 > 고시,자치법규 순서로 우선 적용
2. 일반법과 특별법에서는 특별법이 우선적용된다.
-> 일반법과 특별법(개별법)이 적용되는 부분에 있어 겹치게 되면 특별법이 우선적용된다.
일반법을 그대로 적용할 때 특별법과 일반법 사이에 모순이 발생한다면 특별법이 우선적용된다.
3. 신법이 우선적용
개인정보보호 법규 “수범자”
수범자 – 어떤 법규범이 직접적으로 규율하는 대상 -> 보호받을 권리가 있는 사람을 관리, 권리를 침해할 수 있는 사람
- 법별 지정하고 있는 수범자
개인정보보호법 – 개인정보처리자
신용정보법 – 신용정보제공자,이용자 (상거래를 위해 신용정보를 타인에게 제공 or 제공받아 본인의 영업에 이용하는 자를 말하기 때문)
정보통신 망법 – 정보통신 서비스 제공자
| 구분 | 개인정보보호법 | 정보통신망법 |
| 규제기관 | 개인정보보호위원회 | 방송통신위원회 |
| 정의 | - 업무 목적 공공기관, 법인,단체,개인 |
영리 목적 전기통신역무를 이용해 정보의 제공 또는 매개하는 자 |
| 목적 | - 영리 여부와 관계 없이 - 1회의 행위이더라도 반복의사가 있다면 업무로 볼 수 있다. |
재산상 이익 이윤의 목적 |
| 적용대상 | 공공기관,법인,단체,개인 | 전기통신 사업자 (기간통신사업자,별정통신사업자,부가통신사업자) |
| 보호대상 | 정보주체 | 이용자(정보통신 서비스 이용) |
| 대상자 | 개인정보처리자 | 정보통신서비스 제공자 |
2. 개인정보보호 원칙과 의무
- OECD 사생활 가이드라인 8원칙
수집제한의 원칙 : 합법,공정한 절차 / 수집시 최소한 / 익명처리
정보 정확성의 원칙 : 이용목적에 부합 / 정확성,완전성,최신성
목적 명확화의 원칙 : 처리목적의 명확화 / 목적 변경시마다 명확화
이용제한의 원칙 : 목적외의 이용 및 제공 금지(정보주체 동의, 범률규정 제외) / 목적 범위 내에서 적법하게 처리
안전성 확보의 원칙 : 개인정보 분실,불법접근,파괴,오남용,수정,게시와 같은 위험에 안전조치
처리방침 공개의 원칙 : 개인정보 관련 개발, 실시, 정책을 공개 / 개인정보 처리방침 공개
정보주체 참여의 원칙 : *DPO로부터 본인의 개인정보 여부 확인, 통지 받을 권리 / 열람청구권
책임의 원칙 : 개인정보처리자의 책임 준수
DPO - 개인정보보호책임자
3. 개인정보 수집 제한
목적에 필요한 최소한의 개인정보
> 최소한인지에 관한 입증책임은 개인정보처리자가 부담
정보주체의 동의를 받아 수집
> 동의하지 않을 수 있다는 사실을 알려야함.
최소한의 정보수집을 동의하지 않았다는 이유로 정보주체에게 서비스의 제공 or 재화를 거부해서는 안됨.
4. 민감정보 처리제한
민감정보란?
사상, 신념, 노동조합,정당의 가입 및 탈퇴, 정치적 견해, 건강, 성생활 등 정보주체의 사생활을 침해할 우려가 있는 개인정보
- 개인정보처리자는 민감정보를 처리하면 안되지만, 가능한 경우
정보주체에게 별도의 동의를 받은 경우
법령에서 허용하는 경우
개인정보처리자는 민감정보에 대해 안전조치를 해야함.
재화 or 서비스제공에서 공개되는 정보에 정보주체의 민감정보가 포함됨으로써 사생활 침해 우려가 있다 판단된다면 정보주체에게 민감정보의 공개 가능성 및 비공개 선택 방법을 제시하여야함.
민감정보의 종류
유전정보
범죄 경력 정보
특정개인을 알아볼 목적으로 기술적인 수단을 통해 생성한 정보
-> 본인확인 o -> 민감정보 / 본인확인 목적 x -> 개인정보
4. 인종이나 민족
*유전정보,범죄경력 정보는 공공기관 업무수행을 위해 처리하는 경우 민감정보로 처리하지않는다. (별도의 동의 필요 x)
공공기관 업무수행을 위해 정보주체의 별도 동의 없이 처리 가능 경우
용도이외 or 제3자에게 제공하지 않으면 소관업무를 수행할 수 없는 경우로 보호위원회의 심의 및 의결을 거친 경우
조약 이행
범죄 수사
법원 재판업무
형 및 감호
5. 고유식별정보 처리제한
고유식별정보 : 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보
ex)주민등록번호,여권번호,운전면허번호,외국인등록번호
개인정보처리자는 고유식별정보를 밑에 경우를 제외하고는 처리할 수 없다.
정보주체에게 별도 동의
법령 허용
- 고유식별정보 처리시 암호화 등 안전성 확보 조치 필요
보호위원회는 안정성 확보 조치를 하였는지 정기적으로 조사를 하여야한다.
고유식별정보 처리 허용 법령 (공공기관에서 처리시 고유식별정보로 보지아니한다.)
금융실명 거래 및 비밀보장
후견등기
아동학대범죄의 처벌
청소년보호법
정보통신망법
- 보호위원회는 공공기관 or 5만명 이상의 정보주체의 고유식별정보를 처리하는 개인정보 처리자에 대해 안전성 확보 조치를 하였는지 2년마다 1회이상 조사해야한다.
- 온라인 or 서면을 통해 필요한 자료를 제출하게하는 방법으로 수행
- 한국인터넷진흥원 or 보호위원회가 정한 전문기관 조사를 수행
6. 주민등록번호 처리제한
개인정보보호법
1) 개인정보 처리자는 밑에 경우를 제외하고는 주민등록번호를 처리할 수 없다.
법률,대통령령,국회규칙,대법원규칙 등에서 허용한 경우
급박한 생명, 신체,재산의 이익을 위해
주민등록번호 처리가 불가피한 경우로 보호위원회가 고시
2) 개인정보처리자는 주민등록번호를 암호화 조치,안전하게 보관해야함
3) 인터넷 홈페이지를 통해 회원가입하는 단계에서 주민등록번호를 사용하지 아니하고도 회원가입할 수 있는 방법 제공
정보통신망법
1) 정보통신서비스 제공자는 밑에 경우를 제외하고는 주민등록번호를 처리할 수 없다.
- 본인확인기관으로 지정받은 경우
이동통신서비스를 제공받아 재판매하는 전기통신사업자가 이동통신사업자(본인확인기관 지정)의 본인확인업무 수행시
> 위탁받으면 위탁자의 권리를 그대로 가지고와서 한다고 생각하면 편할 것 같음
대체확인 수단 : 아이핀,공인인증서, 휴대전화, 신용카드 등
*주민등록번호 뒤 7자리만 수집하는 경우도 주민등록번호 전체를 수집 및 이용하는 것으로 볼 수 있음
7. 영상정보처리기기의 설치 및 운영 제한
고정형 영상정보치리기기의 설치 및 운영 제한
1) 누구든지 밑에 경우를 제외하고는 공개된 장소에서 고정형 영상정보처리기기를 설치 및 운영해서는 안된다.
법령 허용
범죄 예방
시설의 안전 및 관리, 화재 예방을 위해 정당한 권한을 가진자가 설치
교통단속을 위해
교통정보의 수집 및 분석 및 제공
촬영된 영상정보를 저장하지 아니하는 경우
2) 목욕실,화장실,발한실,탈의실 설치 불가
-> 다만, 교도소,정신보건 시설 등 구금 or 보호하는 시설은 그렇지않다.
3) 고정형 영상정보처리기기를 설치 및 운영하고자하는 공공기관의 장은 공청회,설명회를 개최해 관계 전문가 및 이해관계인의 의견을 수렴해야한다.
4) 군사시설,국가중요시설,대통령령으로 정하는 시설 제외 안내판을 붙여야한다.
설치 목적 및 장소
촬영 범위 및 시간
관리책임자의 연락처
5) 설치 목적 이외 사용,임의로 조작, 다른곳을 비춰서는 안됨, 녹음기능 사용 안됨
6) 고정형 영상정보처리기기 운영 및 관리 방침 마련
-> 다만, 개인정보 처리방침을 정할 때 관련 사항을 포함시킨경우는 제외
*블랙박스는 일정한 공간에 지속적이지 않기 때문에 공정형 영상정보처리기기로 보지않는다.
*고정형 영상처리기기를 설치 운영하는자라면 규제대상에 포함
이동형 영상정보처리기기의 운영 제한
1) 업무를 목적으로 이동형 영상정보처리기기를 운영하려는 자는 밑에 경우를 제외하고는 해서는 아니된다.
제15조 1항 어느 하나에 해당하는 경우
촬영사실을 명확히 표시하였음에도 촬영 거부 의사를 밝히지 아니한 경우
> 불빛,소리,안내판 등을 통해 촬영 사실을 표시하고 알려야한다.
2) 목욕실,화장실,발한실,탈의실 x
-> 다만, 인명의 구조, 구급 등을 위해 필요한 경우 o
- 고정형 영상정보처리기기 운영 및 관리에 포함 사항
설치 근거 및 목적
설치 대수, 위치, 촬영 범위
관리책임자
촬영시간,보관기간,보관장소,처리방법
영상정보 확인 방법,장소
열람 등 요구 조치
영상정보 보호 조치
개인영상정보의 열람등 요구
1. 자신이 촬영된
2. 정보주체의 급박한 생명,신체,재산의 이익을 위해
-> 정보주체와 관련된 일이면 가능하다고 생각
*열람 요구를 받았을 때 지체없이 필요한 조치를 취해야한다.
*거부 사유에 해당시 10일 이내에 서면 등으로 거부 사유를 정보주체에게 통지해야한다.
1. 범죄수사,공소유지,재판수행 지장
2. 보관기간이 경과해 파기한 경우
3. 거부할만한 정당항 사유가 있는 경우
*이동형 영상정보처리기기는 기기의 임의 조작이나 녹음기능 가능
-> 특정 개인을 알아볼 수 있는 경우에는 별도 동의 필요
이동형 영상정보처리기기 관련
*촬영안내 후 거부의사 x -> 별도 동의 필요 x 촬영 가능
*드론과 같은 촬영사실을 알리기 어려운 상황에서는 홈페이지등을 통해 공지
*업무 목적을 위해 촬영을 하는 것이 아니라면 촬영사실을 알리는 조치를 취하지않아도 됨.
*업무 목적으로 “공개된 장소”에서 촬영시 운영 관리 방침을 마련해 공개해야한다.
-> 다만, 고정형 or 개인정보 처리방침에 포함한 경우는 제외
8. 개인정보의 안전 조치 의무
내부관리 계획 수립, 접속기록 보관, 기술적 및 관리적 물리적 조치를 해야한다.
-공공시스템 운영기관 등의 개인정보 안전성 확보 조치
내부 관리 계획에 공공시스템별로 작성한 안전성 확보 조치 포함
공공시스템운영기관의 관련 부서의 장 중에서 관리책임자를 지정해야한다.
공공시스템운영기관은 공공시스템 안전성 확보 조치 이행상황 점검을 위해 “공공시스템운영협의회를 공공시스템별로 설치 운영해야한다.
-> 다만, 하나의 공공기관이 2개 이상의 공공시스템을 운영하는 경우에는 통합해 운영할 수 있다.
9. 개인정보취급자에 대한 감독
| 구분 | 개인정보처리자 | 개인정보취급자 |
| 정의 | 업무를 목적으로 스스로 or 다른사람을 통해 개인정보를 처리하는자 | 처리자의 감독을 받아 개인정보를 처리하는자 |
| 대상 | 공공기관,법인,단체 및 개인 | 임직원,파견근로자,시간제근로자 |
| 유의사항 | - 개인정보취급자 관리 감독 취급자 정기적 교육 대표자,개인정보보호책임자가 아닌 조직체 |
근로형태 불문 고용관계 없더라도 취급자에 포함됨 수탁자 |
10. 가명정보 처리
1) 가명정보의 처리
통계작성,과학적 연구, 공익적 기록보존 -> 정보주체의 동의 필요없이 처리가능
제3자에게 가명정보를 제공하는 경우 특정 개인을 알아보기 위해 사용될 수 있는 정보를 포함 x
2) 가명정보의 결합 제한
공익적 목적을 위해 서로 다른 개인정보처리자 간의 가명정보의 결합은 보호위원회 or 관계 중앙행정기관의 장이 지정하는 전문기관이 수행한다.
외부로 결합된 정보를 반출하려는 개인정보처리자는 가명정보 or 제58조 2에 해당하는 정보로 처리 후 전문기관 장의 승인을 받아야한다.
3) 가명정보에 대한 안전조치의무
가명정보의 추가정보를 별도로 분리해 보관 및 관리해야한다.
가명정보의 처리 목적, 제3자 제공시 제공받는자에 관한 기록을 작성해 보관해야한다.
4) 가명정보 처리 시 금지의무
특정 개인을 알아보기 위한 목적으로 처리 x
처리도중 알아볼 수 있는 정보가 생성된 경우 즉시 처리 중지 및 회수, 파기해야함.
5) 가명정보 처리에 대한 과징금 부과
특정 개인을 알아보기 위한 목적으로 정보를 처리한 경우, 전체 매출액의 100분의 3이하에 해당하는 과징금
> 다만, 매출액 산정이 곤란한 경우 4억원 or 자본금의 100분의 3중 큰 금액 이하로 부과가능
7) 가명정보 처리 관련
*가명정보를 불특정 다수에게 공개 ?
-> 통계작성,과학적 연구,공익적 기록보존 등의 목적이라고 보기 불분명 공개 x
*통계작성을 위해 가명정보를 제공받더라도 통계작성 외의 포함되는 경우에는 다른 것을 목적으로 정보주체 동의 없이 사용가능
*과학적 연구등을 목적으로 대가를 받는 것?
->법적으로 제재 x 다만, 판매 목적이라면 불가능
*익명정보는 개인정보가 아니기 때문에 자유롭게 사용 가능
개인정보의 가명 및 익명 처리 기술 : P.106 참고
11. 개인정보 처리방침
1) 개인정보 처리방침의 수립 및 공개
개인정보처리자는 밑에 사항이 포함된 개인정보의 처리 방침을 정해야한다.
개인정보의 처리 목적
개인정보의 처리 및 보유 기간
개인정보의 제3자 제공에 관한 사항
개인정보의 파기절차 및 파기방법
민감정보의 공개 가능성 및 비공개를 선택하는 방법
위탁에 관한 사항
가명정보 처리
정보주체와 법정대리인의 권리 및 의무 및 그 행사방법에 관한 사항
개인정보보호 책임자의 성명 or 개인정보보호업무 및 관련 고충사항을 처리하는 부서의 명칭,연락처
개인정보를 자동으로 수집하는 장치의 설치 및 운영 거부에 관한 사항
2) 개인정보 처리방침을 수립하거나 변경하는 경우 정보주체가 쉽게 확인할 수 있도록 공개
3) 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우 정보주체에게 유리한 것을 적용
*보호위원회는 개인정보 처리방침에 관해 평가 후 개선을 권고할 수 있다.
포함할 사항이 다 적혀있는지
알기 쉽게 작성하였는지
쉽게 확인할 수 있는지
개인정보 처리방침 공개 방법
개인정보처리자의 사업장 등 보기 쉬운 장소에 게시
관보나 시or도 이상의 지역에 보급하는 신문 (일반일간신문,일반주간신문 or 인터넷신문)
3. 같은 제목으로 연 2회이상 배포하는 간행물,소식지,홍보지 또는 청구서
4. 계약서
-> 인터넷 홈페이지, 사업장, 간행물,신문,관보,계약서
공공기관 개인정보 처리방침 등록 면제
1. 비밀,범죄 수사, 형 집행, 안전, 내부적 업무, 조세 , 출입국,관세
2. 국가안전보장과 관련된 정보 분석 목적
3. 언론,종교단체,정당이 각각 취재 보도, 선교,선거 입후보자 추천 등의 목적을 위한 개인정보
4. 금전의 송부,1회성 행사 (폐기 목적으로 수집한 개인정보)
5. 금융업무 취급을 위해 보유한 개인정보
12. 개인정보보호책임자
1) 지정
대통령령으로 정해진 기준에 해당하는 경우 지정하지 않을 수 있다.
위에 사항에 따라 보호책임자를 지정하지 않은 경우에는 개인정보처리자의 사업주 또는 대표자가 개인정보 보호책임자가 된다.
개인정보보호 책임자의 업무
>
1. 보호 계획 수립 및 시행
2. 처리 실태 및 관행의 정기적인 조사 및 개선
3. 불만 처리 피해 구제
4. 내부통제시스템 구축
5. 교육계획
6. 개인정보파일의 보호 및 관리,감독
7. 개인정보 처리방침의 수립 변경 및 시행
8. 개인정보보호 관련 자료의 관리
9. 개인정보의 파기
2) 위 사항을 위해서 책임자는 수시로 조사 or 관계 당사자로부터 보고를 받을 수 있다.
3) 보호 책임자는 관계 법령의 위반사실을 알게 된 경우 즉시 개선조치를 취하고 필요시 보고해야한다.
4) 개인정보 보호 책임자가 독립적으로 업무를 수행하도록 보장해야한다. 불이익을 주거나 받게해서는 안된다.
5) 개인정보 처리자는 개인정보 보호책임자 협의회를 구성할 수 있다.
개인정보 보호책임자 vs 정보보호 최고책임자 업무 비교
개인정보 보호책임자 – 개인정보와 관련된 계획 조사 불만처리 내부통제 시스템 구축 교육 파일에 대한 관리 감독을 수행
정보보호 최고책임자 – 정보보호관리체계, 정보보호 취약점 분석, 침해사고 예방 대책 마련, 암호화 등 정보보호와 관련한 업무 수행
개인정보 보호책임자 vs 개인정보 취급자
보호 책임자가 세운 계획을 취급자는 수행 및 지침 준수
직접적인 관리나 교육을 세우는건 보호 책임자
관리나 교육을 수행하는건 취급자라고 볼 수 있다.
*개인정보 처리방침에 무조건 책임자의 번호를 적어야하는 것이 아닌, 실무를 담당하는 취급자의 번호를 기재하여도 된다.
*민간기업중 소규모의 개인사업자이더라도 개인정보보호책임자가 필요하다. 이러한 경우 사업주나 대표자가 한다. (별도로 지정도 가능)
상시근로자 수 5명미만, 운수업,제조,광업 등은 10명 미만
13. 국내 대리인의 지정
1) 지정
국내에 주소 or 영업소가 없는 개인정보처리자로서 국내대리인을 지정해야한다.
> 개인정보 보호책임자의 업무 ,개인정보 유출 등의 통지 및 신고, 자료의 제출을 수행
국내 대리인의 성명 or 주소와 같은 정보를 개인정보 처리방침에 포함하여야한다.
국내 대리인이 행한 행동에 대한 책임은 개인정보보호처리자가 진다.
2) 국내대리인 지정 대상자
전년도 전체 매출액이 1조원 이상인 자
전년도 말 기준 직전 3개월 간 저장 관리되고 있는 개인정보의 수가 일일평균 100만명 이상인 자
3. 국내 대리인 지정 필요가 있다고 보호위원회에서 심의 의결한 자
14. 개인정보파일 등록 및 공개
1) 개인정보파일의 등록 및 공개
공공기관의 장이 개인정보파일을 운용하는 경우 보호위원회에 각 호의 사항을 등록해야한다.
->
개인정보파일의 명칭
운영 근거 및 목적
기록되는 개인정보의 항목
처리방법
보유기간
반복적으로 제공하는 경우 제공받는 자
7. 개인정보파일을 운용하는 공공기관의 명칭
8. 개인정보의 정보주체 수
9. 개인정보 처리 관련 업무를 담당하는 부서
10. 개인정보의 열람 요구를 접수 및 처리하는 부서
11. 개인정보의 범위 및 제한 또는 거절 사유
다음에 해당하는 파일은 1항을 적용하지 않는다.
> 국가 안전, 범죄, 조세범 처벌법, 일회적 운영 파일, 비밀
(신설)
회의 참석 수당, 자료 물품의 송부,금전의 저안 등 단순 업무 수행을 위해 운영되는 파일
공중 위생 파일
일회적 업무 처리만을 위해 수집된 파일
-> 지속성이 낮음
보호위원회는 정보주체의 권리보장 등을 위해 개인정보파일의 등록 현황을 누구든지 쉽게 열람할 수 있도록 공개할 수 있다.
국회, 법원, 헌법재판소, 중앙선거관리위원회의 개인정보파일 등록 및 공개에 관해서는 국회규칙, 대법원규칙, 헌법재판소규칙, 중앙선거관리위원회규칙으로 정한다.
개인정보파일을 운용하기 시작한 날부터 60일이내에 보호위원회에 개인정보파일을 등록신청해야한다.
보호위원회는 개인정보파일을 인터넷 사이트에 게재해야한다.
15. 개인정보 유출통지 및 신고
- 개인정보 유출 -> 유출등
- 유출등되었음을 알게되었을 때 즉시(72시간 이내) 정보주체에게 알려야한다
유출등된 개인정보의 항목
유출등 된 시점과 그 경위
피해를 최소화하기위해 정보주체가 할 수 있는 방법
개인정보 처리자의 대응조치 및 피해 구제절차
피해발생시 신고를 접수할 수 있는 연락처 및 부서
*연락처를 알 수 없는 경우 등 정당한 사유가 있다면 통지를 갈음하는 조치를 취할 수 있다.
유출되었을 때 개인정보처리자는 보호위원회 or 전문기관에 신고하여야한다.
유출되었을 때 정보주체에게 72시간이내에 즉시 알려야한다.
> 다만, 밑에 경우에는 상황이 해결된 후 지체없이 정보주체에게 알릴 수 있다.
접속경로의 차단, 취약점 점검, 개인정보 회수등 긴급한 조치가 필요할 때
천재지변과 같은 이유로 72시간이내에 통지하기 곤란한 경우
구체적인 내용을 확인하지 못한 경우 알고있는 것들을 우선통지하고 추가로 알게되는 사항에 대해서는 확인즉시 통지해야한다.
정보주체의 연락처를 알 수 없는 경우 인터넷 홈페이지에 30일 이상 게시하는 것으로 갈음할 수 있다.
> 홈페이지를 운영하지 않을 경우 사업장 등 정보주체가 확인하기 쉬운 곳에 30일 이상 게시해야한다.
- 개인정보처리자는 다음 경우에 보호위원회 or 전문기관(KISA)에 72시간이내에 알려야한다.
1천명 이상의 개인정보가 유출된 경우
민감정보 or 고유식별정보 유출
개인정보 처리시스템 or 처리자의 정보기기에 불법적인 접근에 의해 유출된경우
>개인정보 유출등의 경로가 확인되어 개인정보를 회수 및 삭제하는 등의 조치를 통해 정보주체의 권익 침해 가능성이 현저히 낮아진 경우에는 신고하지 않을 수 있다.
구체적인 내용을 확인하지 못한 경우 알고있는 것들을 우선통지하고 추가로 알게되는 사항에 대해서는 확인즉시 통지해야한다.
*유출등이 발생하였을 때 가명정보는 해당하지않는다.
3. 정보주체의 권리
정보주체의 권리
개인정보 처리에 관한 정보를 제공받을 권리
동의 여부, 동의범위 등 선택 및 결정할 권리
개인정보 처리 유무를 확인하고 열람 및 전송을 요구할 권리
처리정지,정정,삭제 및 파기를 요구할 권리
피해 신속 구제받을 권리
자동화된 개인정보 처리에 따른 결정을 거부 or 설명을 요구할 권리
정보주체가 개인정보처리자에게 열람을 요청할 수 있다
> 공공기관 or 보호위원회를 통해서도 열람을 요구할 수 있다.
처리자가 열람을 요구받았을 때에는 10일이내에 열람할 수 있도록해야한다.
> 열람이 불가한 경우 사유를 알리고 연기를 할 수 있으며, 사유 소멸시 지체없이 열람하게 해야한다.
밑에 사항에 해당하는 경우 열람을 제한하거나 거절할 수 있다.
법률에 따라 금지
다른 사람의 생명,신체를 해할 우려 or 재산과 이익을 부당하게 침해할 우려가 있는 경우
공공기관이 업무 수행할 때 중대한 지장을 초래하는 경우
-> 조세, 성적평가,입학자 선발, 시험, 자격 심사, 보상금,급부금 산정 ,감사 및 조사
이용자의 권리 등에 대한 특례
정보통신서비스 제공자 등에 대해 이용자는 언제든 동의를 철회할 수 있다.
개인정보 정정요구가 수집방법보다 쉬워야한다.
동의 철회하면 지체없이 복구나 재생할 수 없도록 파기해야함.
열람 요구할 수 있는 정보
1. 개인정보의 항목 및 내용
2. 수집 이용 목적
3. 보유 및 이용 기간
4. 제3자 제공 현황
5. 개인정보 처리에 대한 동의 사실 및 내용
-> 열람에는 사본의 교부를 포함 또한 수집한 개인정보, 생산한 개인정보, 서비스제공 등의 과정에서 생성된 개인정보 등도 대상이된다.
- 처리정지 요구 거부 사유
법률 규정 or 법령상 의무 준수를 위해
다른사람에게 해를 끼칠 우려
공공기관의 소관업무 수행
처리를 못할 때 서비스에 대한 계약 이행이 어려운 경우 정보주체가 계약의 해지의사를 명확하게 밝히지 아니한 경우
3. 개인정보의 전송 요구
1) 정보주체는 다음 사항들을 모두 충족하는 개인정보를 자신에게 전송할 것을 요구할 수 있다.
-> 정보주체가 전송을 요구하는 개인정보가 정보주체 본인에 관한 개인정보일 때
동의를 받아 처리되는 개인정보
계약 이행 체결 과정에서 처리되는 개인정보
정보주체의 이익 or 공익적 목적을 위해 보호위원회가 심의해 전송요구 대상으로 지정한 정보
수집한 개인정보를 기초로 분석 가공해 생성한 정보 x
정보처리 장치로 처리되는 개인정보일 것
2) 정보주체는 자신의 개인정보를 매출액,개인정보의 보유 규모,개인정보 처리 능력, 산업별 특성을 고려해 다음에 자에게 전송할 것을 요구할 수 있다.
개인정보관리 전문기관
안전조치의무 이행한 대통령령으로 정하는 시설 및 기술 기준을 충족하는 자
3) 다음 관련 규정에도 불구하고 정보주체에 관한 개인정보를 전송하여야한다.
국세기본법
지방세기본법
4) 전송요구 철회 가능
5) 본인 여부가 확인되지 않으면 전송 거절 or 중단할 수 있음
6) 타인의 권리나 정당한 이익을 침해해서는 x
전송요구권 종류
다운로드권 : 처리자에게 정보주체 본인에게 정보를 전송해달라고 요구
이동요구권 : 자신의 개인정보를 전문기관 or 다른 개인정보처리자에 전송해달라고 요구
4. 개인정보 정정 및 삭제
1) 정보주체는 개인정보 처리자에게 자신의 개인정보를 정정 및 삭제 요청할 수 있다.
-> 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어있는 경우 삭제를 요구할 수 없다.
2) 위에 예외사항이 없는 경우 요구를 받으면 처리자는 즉시 정정 및 삭제 요구 처리 후 정보주체에게 알려야한다.
3) 삭제시에는 복구할 수 없도록 조치해야한다.
4) 1항 예외사항에 적용되는 경우 정보주체에게 알려야한다.
5) 처리자는 정정 및 삭제 요구를 받은 경우 그 요구에 대한 증거자료를 제출하게 할 수 있다.
5. 개인정보의 처리정지
- 개인정보의 처리정지
1) 정보주체는 개인정보처리자에게 자신의 개인정보에 대해 처리정지를 요구할 수 있으며, 처리에 대한 동의를 철회할 수 있다.
-> 공공기관에 대해서는 개인정보파일 중 자신의 개인정보 처리정지를 요구하거나 동의를 철회할 수 있다.
2) 요구받으면 즉시 처리정지를 해야하지만 다음과 같은 상황에서는 거절할 수 있다.
법률 규정, 법령상 의무 준수
다른사람의 생명 및 신체를 해할 우려 , 그밖에 이익을 부당하게 침해할 우려
공공기관이 처리를 못하면 소관업무를 수행할 수 없는 경우
정보주체와 약정한 서비스를 제공하지 못하는 등의 계약 이행이 어려운 경우, 정보주체가 이에대해 계약의 해지 의사를 명확하게 밝히지 않은 경우
3) 정보주체가 동의 철회시 즉시 복구 재생이 불가능하도록 파기하는 등의 필요조치를 해야함(10일이내)
4) 처리정지요구 거절 및 동의 철회의 조치를 취하지않은 경우 정보주체에게 즉시 사유를 알려야함.
처리정지요구 예외 개인정보파일
국가 안전, 외교상 비밀
범죄
조세범, 관세법
일회적 운영 파일
자동화된 결정에 대한 정보주체의 권리
1) 정보주체는 완전히 자동화된 시스템(인공지능 기술 등)으로 개인정보를 처리해 이루어지는 결정에 대해 결정을 거부할 수 있는 권리를 가진다.
-> 다만, 밑에 경우는 제외된다.
정보주체의 동의
법률상 특별한 규정 및 법령 의무 준수
정보주체와 체결한 계약을 이행, 체결과정에서 정보주체의 요청에 ᄄᆞ라 조치를 이행하기위해
2) 자동화된 결정에 대해 처리자에게 설명을 요구할 수 있다.
3) 결정을 거부하거나 설명을 요구하였을 때 정당한 사유가 없는한 처리자는 결정을 적용하지 않거나 인적 개입에 의한 재처리,설명 등 필요한 조치를 취해야한다.
4) 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 쉽게 확인할 수 있도록 공개하여야한다.
7. 권리행사의 방법 및 절차
1) 정보주체는 전송,정정 및 삭제, 열람, 처리정지 및 동의 철회, 거부 및 설명 등의 요구 (열람등요구)를 대리인에게 하게할 수 있다.
2) 만14세미만 아동의 법정대리인은 처리자에게 그 아동에 대한 개인정보 열람등요구를 할 수 있다.
3) 처리자는 열람등요구에 관해 수수료와 우송료를 청구할 수 있다.
4) 처리자는 주체가 열람등요구를 할 수 있는 방법과 절차를 마련하고 이를 주체가 알 수 있게 공개해야한다.
*열람등요구의 방법과 절차는 수집방법절차보다 어렵지않아야한다.
5) 처리자는 주체가 열람등요구에 대한 거절등의 조치에 불복이 있는 경우 이의를 제기할 수 있도록 필요한 절차를 마련하고 안내해야한다.
신원확인
공공기관의 특례
공공기관인 경우 전자정부법에 따른 행정정보의 공동이용을 통해 신분확인이 가능
*정보주체가 확인에 동의하지않거나, 공동이용을 할 수 없는 경우 그러지아니함.
8. 이용내역 통지
1) 개인정보의 이용 및 제공 내역이나 이러한 정보를 확인할 수 있는 정보시스템에 접속하는 방법을 주기적으로 정보주체에게 통지해야한다.
-> 다만, 정보주체의 연락처 등 통지할 수 있는 개인정보를 수집 및 보유하지않은 경우 통지하지 않아도 된다.
이용내역을 통지해야하는 정보처리자 기준
5만명 이상의 정보주체의 고유식별정보 or 민감정보를 처리하는자
100만명 이상의 정보주체에 관해 개인정보를 처리하는 자
통지의 대상이 되는 정보주체에서 제외되는 정보주체
통지 거부의사 표한자
처리자가 업무수행을 위해 소속된 임직원 개인정보를 처리한 경우
처리자가 업무수행을 위해 다른 공공기관, 법인, 단체의 임직원 or 개인의 연락처 등의 개인정보를 처리한 경우
법률상 규정, 법령상 의무 준수
공공기관의 소관업무를 위해
정보주체에게 통지해야하는 정보
개인정보 수집 목적 및 수집 항목
개인정보를 제공받은 제3자 와 제공 목적, 제공한 항목
통지 방법 (연 1회이상)
서면, 전자우편, 전화, 문자전송
재화 및 서비스 제공 과정 중 알림창(정보시스템에 접속할 수 있는 방법 통지)
9. 손해배상 책임
손해배상 책임
1) 처리자가 고의 or 과실 없음을 입증하지않으면 정보주체에게 손해배상을 해야한다.
2) 손해액의 5배를 넘지않는 금액으로 손해배상액을 정할 수 있다.
-> 손해배상액 고려사항
- 고의, 손해 발생 우려 인식정도, 피해 규모, 위반행위 기간 및 횟수 ,처리자의 재산상태 등
- 법정손해배상의 청구
1) 고의 또는 과실에 의해 손해배상을 청구할 경우 300만원 이하의 범위에서 상당한 금액을 손해액으로 정해 배상을 청구할 수 있다.
손해배상 보장
1) 매출액, 개인정보 규모를 고려해 대통령령에 해당하는 자는 손해배상책임의 이행을 위해 보험 또는 공제에 가입 및 준비금을 적립하는 조치를 취해야한다.
2) 다음에 해당하는 자는 1항 조치를 이행하지않아도 된다.
공공기관, 비영리법인 및 단체
소상공인으로서 개인정보 처리를 위탁한 자
다른 법률에 따라 보험 또는 공제에 가입 및 준비금을 적립한 개인정보처리자
손해배상책임 이행을 위한 보험 등 가입 대상자의 범위 및 기준
1. 정보통신서비스 제공자
-> 전년도 매출액 5천만원 이상
-> 전년도 말 기준 직전 3개월 저장 및 관리 되고 있는 정보주체의 수가 일일평균 1천명 이상
개인정보 피해구제 제도
개인정보 침해 신고상담 -> 개인정보침해 신고센터
개인정보 분쟁조정 -> 개인정보 분쟁 조정위원회
단체소송 – 민사 소송 -> 법원
개인정보 손해배상제도
| 징벌적 손해배상제도 | 법정 손해배상제도 | |
| 적용 요건 | 고의 or 중과실 / 동의 없이 활용 | 고의 or 과실 |
| 입증 책임 | 피해액은 피해자가 입증 | 피해자의 피해액 입증 책임 면제 |
| 구제 범위 | 재산 및 정신적 피해 | 정신적 피해 |
| 피해액 | 피해액의 5배 이내 배상 | 300만원 이하의 범위에서 상당한 금액 |
*손해발생을 알게된 이후 3년 or 불법행위를 한 날로부터 10년이 지나면 손해 배상청구권 소멸
*단체로 손해배상 보험 가입시 가입은 인정
-> 다만, 최소가입금액은 개별 회사마다 적용 / 금액을 합산해 기준
4. 분쟁해결 절차
개인정보 분쟁조정
- 분쟁조정 의의 : 신속하고 원만하게 구제, 비용 없이 신속하게 분쟁 해결
*분쟁조정의 효력은 “재판상 화해”의 효력이다.(강제 집행)
2. 개인정보 분쟁조정 제도 유형
개인정보 분쟁조정 : 당사자 사이에 분쟁 / 누구든지 신청 가능
집단 분쟁조정 : 분쟁이 집단성을 띔 / 권리침해를 입은 정보주체의 수가 50인 이상
3. 개인정보 분쟁조정 위원회
개인정보보호위원회 소속 / 준사법적 기구
4. 위원회 및 조정부 구성
위원회 : 위원장 1명을 포함한 20인 이내의 위원으로 구성 (위원은 당연직위원, 위촉위원으로 구성)
위원회는 조정업무 처리를 위해 조정부를 설치할 수 있으며 5명이내의 위원으로 구성 (1명은 변호사 자격이 있는 위원)
5. 분쟁조정의 독립성 보장
위원은 자격정지 이상의 형을 선고 받거나 심신상의 장애로 직무를 수행할 수 없는 경우를 제외 그의 의사에 반해 면직 or 해촉되지 않음.
분쟁조정의 공정성 보장
제척 : 분쟁조정사건의 심의 및 의결에서 배제되는 것
기피 : 당사자의 일방 or 쌍방이 의원을 배제시켜달라고 요구하는 것
회피 : 위원이 스스로 빠지는 것
*분쟁조정하기 전 합의를 권고할 수 있다.
분쟁조정위원회의 조정안을 제시 받은 날로부터 15일이내에 신청인과 상대방이 수락한 경우, 조정이 성립
> 조정안 수락 여부를 알리지않으면 수락으로 암
조정 거절시 민사소송으로 넘어감
집단 분쟁절차
->
1. 국가,지방자치단체,한국소비자원 또는 소비자단체, 사업자가 신청할 수 있음
(권리침해를 입은 정보주체의 수가 50명 이상)
2. 집단 분쟁조정절차를 개시 (개인정보분쟁조정위원회는 인터넷 홈페이지 or 일간지에 14일 이상 절차 개시를 공고)
3. 집단분쟁조정의 당사자 중 공동의 이익을 대표하기 적합한 1인을 대표당사자로 선임
-> 대표당사자를 상대로 조정절차 진행
4. 공고가 종료된 날로부터 60일 이내에 분쟁조정을 마쳐야함
5. 피신청인이 조정안 수락시 집단분쟁조정의 당사자가 아닌 자로서 피해를 입은 정보주체에 대한 보상계획서를 작성해 제출해야한다
*권고를 받은 날로부터 15일이내 수락여부 결정
-> 권고든 뭐든 수락여부를 받으면 15일이내
개인정보 단체 소송
분쟁조정 거부 or 결과 수락하지 않은 경우
단체소송 (소비자단체)
정보주체의 권익증진을 주된 목적으로 하는 단체
단체의 정회원수가 1천명 이상
소비자기본법에 따른 등록후 3년 경과
단체소송 (비영리단체)
동일한 침해를 입은 100명이상의 정보주체
3년이상 개인정보보호를 단체의 목적으로 명시한 후 활동 실적이 있을 것
중앙행정기관 등록
4. 상시 구성원 수 5천명이상
단체소송과 집단소송의 차이
| 단체소송 | 집단소송 | |
| 개념 | 전체 피해자들의 이익을 위해 | 개인에게 당사자 자격을 인정해 집단구성원 전원을 위해 |
| 청구권자 | 소비자단체 등 | 다수의 피해자 집단 |
| 소송목적 | 위법행위의 금지 및 중지 | 금전적 피해구제 |
| 기대효과 | 피해의 확산방지 및 예방 | 피해의 사후적 구제 |
| 판결의 효과 | 다른 단체에게도 판결 효력 | 피해자에게 판결의 효과 |
단체소송 청구범위
대상 : 정보주체의 권리를 침해하는 행위
-> 단체소송 진행중 권리침해행위가 금지 or 중지되었다고 판단되면 소송 각하
청구범위 : 권리침해 행위의 금지 or 중지
-> 단체소송에서 원고의 청구를 기각하는 판결이 확정된 경우 동일한 사안에 대해서는 단체소송을 제기할 수 없다. (개별 주체들이 손해배상 청구 소송과 같은 소송은 가능)
*원고의 청구를 기각하는 판결이후 새로운 증거가 나타나거나 청구를 기각하는 사유가 원고의 고의로 인한 것으로 밝혀지면 같은 안건으로 다시 소송가능
'자격증' 카테고리의 다른 글
| [정보처리기사] 2과목 - 소프트웨어 개발 (0) | 2024.05.29 |
|---|---|
| [정보처리기사] 1과목 - 소프트웨어 설계 (0) | 2024.05.29 |
| [CPPG] PART 5 (0) | 2024.05.29 |
| [CPPG] PART 4 (0) | 2024.05.29 |
| [CPPG] PART 3 (0) | 2024.05.29 |