법제도/정책

개인정보처리자가 준수해야 할 개인정보보호 처리기준

이유지 기자
- 개인정보보호법 ‘표준 개인정보보호지침’, 30일 고시

[디지털데일리 이유지기자] 9월 30일 시행되는 개인정보보호법과 시행령 등에 따라 고시될 ‘표준 개인정보보호지침’에는 개인정보처리자가 준수해야 할 개인정보의 처리에 관한 기준과 침해 유형 및 예방조치 등 세부사항을 담고 있다.

이 지침안에 따르면, 개인정보보호법 적용 대상자인 개인정보처리자는 전자적 형태나 수기문서를 포함하는 개인정보를 처리하는 모든 공공기관, 영리목적의 사업자, 협회·동창회 등 비영리기관·단체, 개인을 포괄한다.  

개인정보를 수집하기 위해선 개인정보주체로부터 사전에 동의를 받거나 법률에서 수집·이용을 구체적으로 명시·허용할 때에만 가능하다.

개인정보처리자가 제3자에게 목적 외 용도로 제공하는 경우에는 이용 목적과 방법, 기간, 형태 등을 제한하거나 안전성 확보를 위해 필요한 조치를 마련토록 문서로 요청해야 한다.

요청을 받은 제3자는 그에 따른 조치를 취하고 개인정보제공자에게 반드시 문서형태로 알려야 한다.  

또 개인정보 처리 목적이 달성됐거나 서비스가 폐지될 경우는 5일 이내에 개인정보를 파기해야 한다. 이 때 개인정보보호법 시행령에 따라 현재 기술수준 안에서 ‘복원이 불가능한 방법’을 이용해야 한다.

개인정보처리자가 주민등록번호 등 고유식별정보나 생체정보 등 민감정보를 처리할 때에는 정보주체의 별도 동의가 의무화된다. 다른 개인정보를 수집 등 처리할 때 사전에 동의를 받았더라도 별도로 정보주체의 동의를 구해야 한다. 이 때 고유식별정보나 민감정보 수집·이용 목적, 항목, 보유 및 이용 기간, 동의 거부권 등의 고지도 실시해야 한다.

개인정보처리자뿐 아니라 처리업무를 위탁받은 수탁자도 ‘개인정보의 안전성 확보조치 기준 고시’에 따른 개인정보보호 기술·물리·관리적 조치를 시행해야 한다.   

개인정보보호책임자 지정도 의무화된다. 개인정보처리자는 사업주나 대표자, 개인정보 처리 관련 업무를 담당하는 부서의 장, 개인정보보호 관련 소양이 있는 사람을 지정해야 한다.

다만 정보통신망법에 따른 개인정보관리책임자를 지정한 경우에는 별도로 개인정보보호책임자를 두지 않아도 된다.

친목단체는 별도의 개인정보보호책임자를 지정하지 않아도 되는데, 친목단체 대표자가 개인정보보호책임자 직무를 수행할 수 있도록 했다.

개인정보책임자를 지정, 변경할 때에는 그 사실과 책임자의 이름, 부서명칭, 전화번호 등 연락처를 공개해야 한다.

개인정보 유출사고가 발생하면 개인정보처리자는 확인한 때로부터 5일 이내에 정보주체에게 유출 항목과 시점 및 경위, 피해 최소화를 위해 정보주체가 취해야 할 방법, 개인정보처리자의 대응조치 및 피해구제 절차, 피해 발생시 신고접수 부서와 연락처를 통지해야 한다.

다만 개인정보 유추 확산 방지를 위한 접속권한 변경·폐쇄, 취약점 보완조치 등이 필요한 경우엔 통지시점을 연기할 수 있다.

개인정보 유출신고는 1만명 이상의 개인정보가 유출된 경우, 정보주체 대상 통지 및 조치결과를 5일 이내에 행정안전부장관이나 시행령에서 규정한 전문기관에 반드시 신고해야 한다.

개인정보 유출은 개인정보를 포함한 문서나 이동식 저장장치, 휴대용 컴퓨터 등을 분실·도난당했거나 개인정보DB 등 처리시스템에 권한이 없는 자가 접근한 경우, 고의나 과실로 잘못 전달된 경우 등이 해당된다.  

개인정보처리자는 개인정보 주체로부터 정보 정정·삭제 또는 개인정보처리 정지 요구를 받으면 10일 이내에 조치하고 주체에게 알려줘야 한다.

개인정보 처리방침 공개도 의무화된다. 여기에는 처리목적과 보유기관, 제3자 제공, 위탁, 정보주체의 권리, 방침 변경 등을 담아야 한다.

개인정보보호법 시행으로 CCTV 등 영상정보처리기기도 마음대로 설치할 수 없게 됐다.

특히 불특정 다수가 이용하는 목욕실, 화장실, 탈의실 등 개인의 사생활 침해 우려가 있는 장소에는 영상정보처리기기 설치·운영이 금지된다.

영상정보처리기기를 운영할 때에는 설치근거와 목적, 설치대수, 위치·촬영범위, 시간, 폐기방법 등을 포함한 운영·관리 방침을 정해 정보주체가 쉽게 확인할 수 있도록 공개해야 한다.

영상정보처리 업무를 총괄하는 관리책임자도 지정해야 한다.  

설치목적과 장소, 촬영범위·시간, 관리책임자 성명·직책·연락처 등을 담은 안내판 설치도 필수다.

영상정보처리기기운영자가 영상정보를 수집 목적 이외로 이용하거나 제3자에게 제공하는 것은 원칙적으로 금지되는 사항이다. 다만 정보주체의 동의를 얻었거나 다른 법률에 특별한 규정이 있는 경우, 통계작성·학술연구 등을 위해 특정개인을 알아볼 수 없는 형태로 제공하는 경우 등은 허용된다.

영상정보 보관기관이 만료될 시에는 복원이 불가능한 기술적 방법으로 영구삭제, 파쇄·소각해야 한다.

개인정상정보의 안전성 확보를 위한 접근통제, 안전하게 저장·전송할 수 있는 암호화, 비밀번호 설정 등의 기술 적용, 위변조 방지 조치 등도 반드시 수행해야 한다.

<이유지 기자> yjlee@ddaily.co.kr

이유지 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널