본문 바로가기
KO EN JP CN
지식재산권 사회공헌 인재채용
메뉴
지식재산권 인재채용 사회공헌위원회 재단법인 나은
사무소 위치 연락처
레이어 닫기
검색
뉴스레터

개인정보 보호법 시행령 2차 개정안 입법예고

2023.11.23
프린트

개인정보보호위원회는 2023. 11. 23. ‘개인정보 보호법’ 시행령 개정안을 입법예고하였습니다. 금번 개정안은 2024. 3. 15. 시행을 앞두고 있는 개인정보 보호법 조항들에 의해 위임된 사항들을 규정하고, 일부 시행 중인 조항을 개정하는 것을 골자로 하고 있습니다.
 
본 시행령 개정안의 주요 내용은 아래와 같습니다. 
 
개인정보 보호책임자의 지정 의무 및 자격 요건
 

1.

지정의무 면제 대상 구체화
 

  • 개인정보 보호책임자 지정의무가 면제되는 개인정보처리자를 ‘소상공인기본법에 따른 소상공인에 해당하는 개인정보처리자’로 명시
     

2.

특정 자격요건을 갖춘 개인정보 보호책임자 지정 의무가 있는 개인정보처리자의 범위 명시
 

  • 일정한 요건을 충족하는 개인정보처리자의 경우, 개인정보 보호 경력을 3년 이상 필수로 보유하고 개인정보보호, 정보보호, 정보기술 경력을 합하여 6년 이상을 보유한 개인정보 보호책임자를 지정하도록 명시

  •  구체적으로, 연간 매출액 또는 수입 등이 1,500억 원 이상인 자로서 (1) 5만 명 이상의 정보주체에 관하여 민감정보 또는 고유식별정보를 처리하거나 100만 명 이상의 정보주체에 관하여 개인정보를 처리하는 자, (2) 직전연도 12. 31. 기준으로 재학생 수가 1만 명 이상인 고등교육법상 학교, (3) 의료법상 상급종합병원, (4) 개인정보보호위원회가 고시하는 기준에 해당하는 개인정보처리시스템을 운영하는 공공기관의 경우, 위 자격요건을 충족하는 개인정보 보호책임자를 지정할 의무를 신설
     

3.

독립적 업무 수행을 위한 권한 보장
 

  • 개인정보 보호책임자의 독립적 업무 수행을 위해 개인정보처리자가 (1) 개인정보 처리와 관련된 모든 정보에 대한 개인정보 보호책임자의 접근을 보장하고, (2) 연 1회 이상 대표자 및 이사회에 직접 보고할 수 있는 체계를 구축하며, (3) 업무 수행에 적합한 조직체계를 마련 및 인적·물적 자원을 제공하고 (4) 부당한 지시에 대한 불이행을 이유로 한 불이익을 금지할 의무를 신설
     

자동화된 결정에 대한 정보주체의 권리 행사 방법 및 그에 따른 조치
 

1.

자동화된 결정에 대한 거부·설명요구권 행사 방법에 관한 개인정보처리자의 의무 구체화
 

  • 개인정보처리자로 하여금 (1) 자동화된 결정에 대한 거부·설명요구권을 행사하는 방법과 절차를 정보주체가 쉽게 활용할 수 있는 방법으로 제공하고, (2) 최소한 개인정보를 수집한 창구 또는 방법과 동일하게 거부·설명요구권을 행사할 수 있도록 하며, (3) 인터넷 홈페이지에 거부·설명요구권 행사 방법과 절차를 공개하도록 명시
     

2.

자동화된 결정의 거부·설명요구권 행사에 따른 조치
 

  • 정보주체가 자동화된 결정을 거부한 경우 (1) 자동화된 결정을 적용하지 않는 조치를 취하고, (2) 정보주체가 인적 개입에 의한 재처리를 요구한 경우 그에 따른 재처리 후 결과를 30일 이내(정당한 사유가 있는 경우 60일 이내의 범위에서 연장)통지할 의무 신설
     

3.

자동화된 결정에 대한 설명 방식 구체화
 

  • 정보주체가 자동화된 결정에 대한 설명 등을 요구한 경우 (1) 해당 자동화된 결정의 결과, (2) 자동화된 결정의 주요 기준(사용된 주요 개인정보의 유형과 미친 영향 등), (3) 자동화된 결정이 이루어지는 절차(사용된 주요 개인정보의 처리 과정 등)를 정보주체가 이해하기 쉽게 30일 이내(정당한 사유가 있는 경우 60일 이내의 범위에서 연장)에 제공하도록 명시
     

4.

자동화된 결정에 대한 거부·설명요구권 행사에 따른 조치 미이행시 통지의무화
 

  • 정보주체의 거부·설명요구권 행사에 대하여 정당한 사유가 있어 필요한 조치를 하지 않은 경우 정보주체에게 그 사실, 이유 및 이의제기방법을 통지할 의무 명시
     

5.

자동화된 결정의 기준과 절차 공개
 

  • (1) 자동화된 결정이 이루어진다는 사실과 그 목적 및 대상이 되는 정보주체의 범위, (2) 자동화된 결정에 사용되는 주요 개인정보의 유형과 자동화된 결정의 관계, (3) 자동화된 결정 과정에서의 고려사항 및 주요 개인정보가 처리되는 절차, (4) 자동화된 결정 과정에서 민감정보 또는 14세 미만 아동의 개인정보를 처리하는 경우 그 목적 및 처리하는 개인정보의 구체적인 항목, (5) 자동화된 결정에 대하여 정보주체가 거부 또는 설명 등을 요구할 수 있다는 사실과 거부·설명 등의 요구 방법과 절차를 공개할 의무 명시
     

개인정보 처리방침
 

1.

개인정보 처리방침에 포함될 내용 추가
 

  • 개인정보 처리방침에 포함될 내용으로, (1) 정보주체로부터 개인정보를 국외에서 수집하여 처리하는 경우 개인정보가 국외에서 처리된다는 사실과 해당 국가에 관한 사항, (2) 개인정보를 국외로 이전하는 경우 국외 이전의 근거와 국외 이전에 관한 동의를 받을 때에 고지하여야 하는 사항 추가
     

손해배상책임 이행을 위한 보험 가입 의무
 

1.

손해배상책임 이행을 위한 보험 등 가입 대상자 범위 구체화
 

  • (1) 직전 사업연도 매출액이 10억 원 이상이고 (2) 전년도 말 기준 직전 3개월간 1만 명 이상의 개인정보를 저장·관리하는 개인정보처리자를 손해배상책임 이행을 위한 보험 등 가입 대상자로 명시
     

본 개정안은 2023. 11. 23. 부터 2024. 1. 2. 까지 40일의 입법예고 기간을 거쳐 의견 수렴 후 2024. 3. 15. 시행될 예정으로, 개인정보 보호책임자의 지정 및 자격 요건에 관한 내용과 자동화된 결정에 대한 정보주체의 권리 행사 방법 및 그에 따른 조치에 관한 내용 등 개인정보 처리 관련 실무에 영향을 미칠 수 있는 내용들을 다루고 있다는 점에서 개정 동향에 지속적으로 관심을 기울일 필요가 있습니다.

 

[영문] [Legislative Notice] Second Amendment to Personal Information Protection Act Enforcement Decree

관련 이슈

#개인정보보호법 #개인정보 #정보보호 #Legal Update

목록

공유하기

레이어 닫기

관련 구성원

레이어 닫기

관련 구성원

레이어 닫기