[4주차]중급 1교시_개정_개인정보보호법 알아보기

▶새로운 대상 규율

1. 이동형 영상정보처리기기의 설치 및 운영 제한(제25조의 2)

이동형 영상정보처리기기 예시

위의 사진은 이동형 영상정보처리기기의 예시이다. 드론, 자율주행자동차, 로봇, 캠코더, 핸드폰 카메라 등이 있다.

​

[1주차]입문 1교시_개인정보보호법 주요내용(1)에서 이동형 영상정보처리기기 관련 법률에 관하여 다루었다. 해당 주차에선 아래 내용을 살펴보았다.

• 사람이 신체에 착용,휴대하거나 이동 가능한 물체에 부착,거치하여 촬영,전송하는 장치
• 업무를 목적으로 공개된 장소에서 촬영 금지(예외 사항 존재)

​

여기서 일부가 개정되었다.

​

① 업무를 목적으로 공개된 장소에서 이동형 영상정보처리기기로 촬영은 일반적으로 금지

② 촬영이 허용되는 경우

• 제 15조 제 1항 각 호의 어느 하나에 해당하는 경우
• 촬영 사실을 명확히 표시하여 정보주체가 촬영 사실을 알 수 있도록 하였음에도 불구하고 촬영 거부 의사를 밝히지 아니한 경우

※촬영 사실을 명확히 표시하는 방법

③ 촬영 제한 구역

• 개인의 사생활을 현저히 침해할 우려가 있는 장소
• 단, 인명의 구조 및 구급 등을 위하여 필요한 경우는 제외

④ 제 25조 제6항~제8항을 준용(준거하여 사용), 제5항은 준용 제외

​

2. 개인정보 전송 요구권

전송 요구권: 정보주체가 개인정보처리자에게 자신에 관한 개인정보를 본인 또는 개인정보관리 전문기관에 전송해 달라고 요구할 수 있는 권리

​

[신설] <제35조의2>

① 전송 요구 대상 개인정보

• 정보주체의 동의를 얻어 수집한 개인정보(민감정보, 고유식별정보 포함)
• 필수 개인정보: 계약 체결 또는 계약의 이행을 위해 정보주체의 동의 없이 수집한 개인정보
• 개인정보위가 전송 대상으로 의결한 개인정보

​

② 전송 요구권의 종류

• 다운로드권: 정보주체가 개인정보처리자에게 자신에 관한 개인정보를 정보주체 본인에게 전송해 달라고 요구
• 이동요구권: 정보주체가 개인정보처리자에게 자신에 관한 개인정보를 개인정보관린 전문기관 또는 다른 개인정보처리자에게 전송해달라고 요구

​

[신설] <제35조의3>

​

<제35조의4>

전송 요구권을 시행하기 위해 개인정보위가 할 업무가 규정되어있다.

※API 시스템: 컴퓨터 시스템이나 응용 프로그램이 서로 연결되거나 상호작용할 수 있도록 도와주는 인터페이스

​

3. 자동화 결정에 대한 정보주체의 권리(제37조의2)

제4조에 명시된 정보주체의 권리에

"완전히 자동화된 개인정보 처리에 따른 결정을 거부하거나 그에 대한 설명 등을 요구할 권리"가 신설되었다.

​

기본적인 내용은 [1주차]입문 1교시_개인정보보호법 주요내용(2)에서 다루었다. 여기선 다루지 않았던 부분만 다루도록 하겠다.

<개인정보처리자의 의무>

• 결정 거부, 설명 요구에 대한 개인정보처리자의 조치 : 자동화된 결정을 적용 제외, 인적 개인에 의한 재처리, 설명
• 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 정보주체가 쉽게 확인할 수 있도록 공개(개인정보 처리방침에 공개)

​

​

​

▶서비스에 영향이 많은 개정

1. 개인정보의 수집 및 이용(제15조)

기본적인 내용은 [1주차]입문 1교시_개인정보보호법 주요내용(1)에서 다루었다. 여기선 개정이 된 부분만 살펴보겠다.

① 이 경우 필수 개인정보의 동의 없는 수집이 가능하다!(제4호)

• 개인정보 수집 이용 동의서에서 필수 동의가 필요 없을 수 있다.
• "필수"의 여부는 개인정보처리자에게 입증 책임이 있다.

​

② 정보주체의 급박한 생명, 신체 , 재산의 이익을 위해 필요한 경우

-> "명백히" 정보주체의 급박한 생명, 신체 , 재산의 이익을 위해 필요한 경우

ex) 의식불명이나 중태에 빠진 환자의 수술 등 의료조치를 위하여 개인정보를 수집하는 경우

​

③ [신설] 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우

-> 코로나와 같은 법정 전염병에 해당

​

2. 정보주체의 동의를 받는 방법(제22조)

​

3. 개인정보 유출 등의 통지

-> 통지 내용

• 유출 등이 된 개인정보의 항목
• 유출 등이 된 시점과 그 경위
• 유출 등으로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
• 개인정보처리자의 대응조치 및 피해 구제절차
• 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

​

※예외: 위의 항목 또는 시점과 그 경위를 파악하지 못한 경우 파악한 것과 나머지 사항을 먼저 정보주체에 우선 통지하고 나머지는 파악한 즉시 통지(추후 통지)

​

4. 개인정보 유출 등의 신고

​

5. 업무위탁에 따른 개인정보의 처리 제한(제26조)

이 또한 기본적인 내용은 [1주차]입문 1교시_개인정보보호법 주요내용(1)에서 다루었다. 여기선 개정 및 신설된 부분만 살펴보겠다.

​

① 수탁자의 정의 확대(제2항) : 수탁자 -> 수탁자 + 재수탁자

[개정 전] 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자

-> [개정 후] 개인정보 처리 업무를 위탁받아 처리하는자(수탁자) + 수탁자로부터 위탁받은 업무를 다시 위탁받은 제3자(재수탁자)

​

② 다음 조항에 수탁자에 재수탁자 포함

• 개인정보 처리방침에 수탁자 공개
• 수탁자에 대한 관리,감독,교육
• [신설] 수탁자가 재위탁 시 위탁자의 동의 취득(제6항)
• 수탁자의 법 위반으로 발생한 손해배상에 관한 위탁자의 책임

​

③ 수탁자의 책임 강화(제8항) : 적용 조항 추가

​

6. 개인정보 처리방침의 수립과 평가(제30조,제30조의2)

​

7. 정보주체의 권리 보장(제35조,제36조,제37조)

기본적인 내용은 [1주차]입문 1교시_개인정보보호법 주요내용(2) 참고.

여기선 개정된 부분만 살펴보겠다. 제37조에 동의철회권을 포함하였다.

​

[개정 전] 동의를 철회하면 반드시 개인정보를 파기

-> [개정 후] 처리정지권과 같은 사유로 파기하지 않을 수 있도록 함

※처리정지 거절 사유

​

8. 개인정보의 국외 이전(제3장 제4절)

[개정]

[신설] - 제28조의9 개인정보의 국외 이전 중지 명령

• 개인정보보호위에서 진행되는 개인정보 국외 이전에 대해 중지 명령을 내릴 수 있음
• 사전 예방 조치는 아님

​

​

​

▶정보통신서비스 제공자 등 특례 삭제

개인정보보호법에서 '정보통신서비스 제공자', '정보통신서비스 제공자 등', '이용자'와 같이 정보통신망법 관련 정의를 들어내면서 적용 법규와 대상에 상당한 변화가 생겼다!

​

① 폐기

개인정보의 파기에 대한 특례(제39조의6) : 1년 동안 사용하지 않은(로그인하지 않은) 개인정보를 파기하거나 휴면 처리(분리 보관)하는 '개인정보 유효기간제'의 근거 조문

​

② 기존 일반 개인정보처리자 조항에 통합

③ 일반 개인정보처리자 조항으로 전환 : 적용 대상이 일반 개인정보처리자로 확대

​

​

​

▶개인정보 안전조치 의무(제29조)

​

​

​

▶과징금

​

​

​

▶제재

1. 형사처벌

[개정 전]

• 이용자의 동의 없이 개인정보 수집 이용한 정보통신서비스 제공자: 5년 이하의 징역, 5천만 원 이하의 벌금
• 안전성 확보 조치가 미흡하여 개인정보 사고 발생: 2년 이하의 징역, 2천만 원 이하의 벌금
• 개인정보 미파기 정보통신서비스 제공자: 2년 이하의 징역, 2천만 원 이하의 벌금

-> [개정 후] 모두 폐기!

​

2. 손해배상제

​

3. 개인정보 분쟁조정위원회

① [개정] 조정의 신청(제34조)

[개정 전] 공공기관이 분쟁조정 통지를 받으면 특별한 사유가 없으면 분쟁조정에 응하여야함

-> [개정 후] 개인정보처리자는 분쟁조정 통지를 받으면 특별한 사유가 없으면 분쟁조정에 응하여야함

​

② [개정] 자료의 요청 및 사실조사 등 (제45조)

• [신설] 분쟁조정위원이나 관련 공무원이 사건 관련 장소에 출입하여 자료를 조사하거나 열람 가능
• [신설] 관계 기관 등에 자료 또는 의견 제출 요청 가능

​

③ 진술의 원용 제한(제45조2)

조정절차에서의 의견과 진술은 소송에서 원용하지 못함(조정절차에서의 자유로운 진술 환경 조성)

※원용: 자기의 이익을 위하여 어떤 특정한 사실을 다른 데서 끌어다가 주장하는 일

​

④ 분쟁의 조정(제47조)

​

​

​

▶공공기관에 관한 규정

① [신설] 개인정보 보호수준 평가(제11조의2)

• 개인정보 보호위원회로 하여금 매년 공공기관의 개인정보 보호 수준을 평가하고 그 결과를 바탕으로 개선을 권고할 수 있도록 함
• 대상: 공공기관 중 중앙행정기관 및 그 소속기관, 지방자치단체, 그 밖에 대통령령으로 정하는 기관
• 시기: 매년
• 기준: 개인정보 보호 정책,업무의 수행 및 이 법에 따른 의무의 준수 여부
• 평가 결과 공개: 인터넷 홈페이지 등에 공개 가능

​

② [개정] 개인정보파일의 등록 및 공개(제32조)

[개정 전] 내부적 업무처리 목적의 개인정보파일은 개인정보파일 등록 및 공개 제외 대상

-> [개정 후] 지속 관리의 필요성이 없는 파일은 개인정보파일 등록 및 공개 제외 대상

​

③ [개정] 개인정보 영향평가(제33조)

• 개인정보위가 관계 전문가의 육성 등 영향평가의 활성화를 위한 조치 마련
• 개인정보 영향평가 평가기관의 지정취소 근거 및 사유를 규정
• 영향평가를 실시하지 않거나 그 결과를 보호위원회에 제출하지 아니한 자에게

3천만 원 이하의 과태료 부과

​

④ [신설] 공공시스템 운영기관 등의 개인정보 안전성 확보 조치 등