[7주차]고급 2교시_CPO가 알아야 할 필수 개인정보 법률지식

※CPO(Chief Privacy Officer): 개인정보 최고책임자

▶개인정보의 정의

개인정보의 정의에 관해서는 이미 학습하였지만 1주차에 봤기 때문에 다시 복습하는 겸 작성해본다...

​

① 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보

② 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보

위의 판결을 보면

'쉽게 결합하여 알아볼 수 있다' = 구하기 쉬운지 어려운지와는 상관없이 해당 정보와 다른 정보가 특별한 어려움이 없이 쉽게 결합하여 특정 개인을 알아볼 수 있게 됨

​

③ 위의 ①, ②의 정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용,결합 없이는 특정 개인을 알아볼 수 없는 정보

-> 이 3가지 중 어느 하나에 해당하면 개인정보이다!

​

Q. 개인사업자정보는 개인정보인가?

A. 법인 또는 단체에 관한 정보이면서 동시에 개인을 식별할 수 있는 정보나 개인사업자의 상호명, 사업장 주소, 전화번호, 사업자 등록번호 등 개인사업자정보는 각각의 상황이나 맥락에 따라 개인정보 여부 결정

​

​

​

▶개인정보 처리기준(원칙)

이미 학습한 내용과 겹쳐 새롭게 등장한 내용과 몇가지 사례만 살펴보겠다.

​

1. 개인정보의 수집, 이용 및 제공

매체별 동의를 받는 방법(제17조)

① 서면동의 : 동의서 + 서명 또는 날인

② 전화동의: 전화로 동의내용 고지 + 동의사항 확인(녹음)

③ 전화+인터넷 동의: 전화로 인터넷 주소 등을 알려주고 동의내용을 확인하도록 한 후 다시 전화로 동의의사 확인

④ 인터넷동의: 동의내용 홈페이지 게재 + 동의 여부 체크

⑤ 이메일동의: 동의내용 이메일 전송 + 동의의사 이메일 수신

⑥ 기타

​

2. 그 밖의 개인정보처리의 적법 근거

① 계약의 체결 및 이행: 부동산의 소유관계 사전 조사, 주문상품 배송, 품질보증, 식의품 및 자동차 리콜 등

② 개인정보처리자의 정당한 이익: 채권 회수, 보안을 위한 인터넷 모니터링, 자재 창고앞 CCTV 설치 등

​

3. 민감정보, 고유식별정보를 처리할 수 있도록 법에서 허용하는 경우

4. 고정형 영상정보처리기기의 설치 및 운영(제25조)

• 공개된 장소 vs 비공개 장소

공개된 장소: 공원, 도로, 지하철, 상가 내부, 주차장 등 정보주체가 접근하거나 통행하는 데에 제한을 받지 아니하는 장소 ex) 회사 건물 1층 로비, 백호점

비공개 장소: 회사 사무실 등

​

Q. 대문 앞에 CCTV를 설치한다면?

A. 목적에 맞게 최소한 개인정보 수집 - 거리에 지나가는 사람을 비추지 않게!

​

• 공개된 장소에 고정형 영상정보처리기기를 설치 및 운영할 수 있는 경우

• 설치 및 운영 제한 구역: 목욕실, 화장실, 사우나, 탈의실 등 사생활을 현저히 침해할 수 있는 곳

단, 교정시설, 수용시설이 있는 정신의료기관, 정신요양시설은 예외!

• 안내판 설치: 설치 목적 및 장소, 촬영 범위 및 시간, 관리책임자 성명 및 연락처, 수탁자의 명칭 및 연락처(공공기관) 기재

안내판 예시

5. 영상정보처리기기의 설치 및 운영 - 행정처분 사례

6. 개인정보 처리위탁과 제3자 제공의 차이

​

7. 개인정보처리업무 위탁 시 CPO 점검 사항

8. 국외 재이전 절차 및 방법

※국외 재이전: 개인정보를 국외 이전 받은 자가 해당 개인정보를 제3국으로 이전

​

제28조의8, 제28조의9 준용하여

① 개인정보처리자 -> 개인정보를 이전받은 자

② 개인정보를 이전받은 자 -> 제3국에서 개인정보를 이전받는 자

​

이에 따른 CPO 점검 사항은 다음과 같다.

① 국외 이전 개인정보의 목적 확인

• 국외 제공: 동의
• 위탁/보관: 개별 고지 또는 공개

② 국외이전 계약 체결 여부: 제3자 제공뿐 아니라 위탁,보관의 경우도 이전 계약 필수

③ 이용자 보호조치 작동 여부: 특히 고충처리 및 분쟁해결 조치 등!

④ 국외 재이전 여부 정기적 확인

• 자회사, 계열회사 간 개인정보 제공 및 공유 여부
• 특히 클라우드 서비스 이용에 따른 재이전

​

9. 개인정보 처리방침 수립 및 공개

추가되고 신설된 부분만 살펴보겠다.

​

[추가] 제37조의2(자동화된 결정에 대한 정보주체의 권리 등)

개인정보처리자는 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 정보주체가 쉽게 확인할 수 있도록 공개하여야 한다.

​

[신설] 개인정보 처리방침의 평가 및 개선권고(제30조의2)

​

​

​

▶정보주체의 권리 보장

위의 사진과 같이 개인정보의 처리정지 등을 다루는 제37조에 동의철회권이 포함되었다.

​

동의 철회권(제37조)

• 이용자(또는 14세 미만 아동의 법정대리인)가 자신의 개인정보에 대한 동의 철회를 요구할 수 있는 권리

ex) 뉴스레터 수신 동의를 철회

• 개인정보처리자는 10일 이내 동의 철회하고 파기해야하며 정당한 파기 거절 사유가 있을 시 그 사유를 알려야함
• 동의 철회는 거절 불가
• 파기 거절 사유 = 처리정지 거절 사유
• [개정 전] 동의를 철회하면 반드시 개인정보를 파기

-> [개정 후] 처리정지권과 같은 사유로 파기하지 않을 수도 있음

​

처리정지권(제37조)

정보주체(또는 14세 미만 아동의 법정대리인)가 자신의 개인정보에 대한 처리 정지를 요구할 수 있는 권리

개인정보처리자는 10일 이내 처리 정지, 파기하여야 하며 정당한 사유가 있을 시 그 사유를 알려야 한다.

​

<처리정지 거절 사유>

• 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
• 다른 사람의 생명,신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
• 공공기관이 해당 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우
• 정보주체와 약정한 계약 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우

​

개인정보 전송 요구권

정보주체가 개인정보처리자에게 자신에 관한 개인정보를 본인 또는 개인정보관리 전문기관(또는 다른 개인정보처리자)에 전송해 달라고 요구할 수 있는 권리

​

※개인정보관리 전문기관: 개인정보위 또는 관계 중앙행정기관이 승인한 기관

개인정보 전송 관리 및 지원(제35조의4에 따라 전송 요구권을 시행하기 위해 개인정보위가 할 업무를 규정하고 있다.

​

1. 업무

① 개인정보의 전송 요구권(제35조의2)행사 지원

② 정보주체의 권리행사를 지원하기 위한 개인정보 전송시스템의 구축 및 표준화

③ 정보주체의 권리행사를 지원하기 위한 개인정보의 관리 및 분석

④ 그 밖에 정보주체의 권리행사를 효과적으로 지원하기 위하여 대통령령으로 정하는 업무

​

2. 지정 요건

① 개인정보를 전송,관리,분석할 수 있는 기술수준 및 전문성을 갖추었을 것

② 개인정보를 안전하게 관리할 수 있는 안전성 확보조치 수준을 갖추었을 것

③ 개인정보관리 전문기관의 안정적인 운영에 필요한 재정능력을 갖추었을 것

​

자동화 결정에 대한 정보주체의 권리

이 부분도 이미 학습한 내용인데 신설된

"완전히 자동화된 개인정보 처리에 따른 결정을 거부하거나 그에 대한 설명 등을 요구할 권리"

에 대해서만 다루어보겠다.

※자동화된 결정: AI 등을 적용한 완전히 자동화된 시스템으로 개인정보를 처리하여 이뤄지는 결정

ex) AI 기반 면접, 자기소개서 평가, 신용평가

​

1. 정보주체의 권리

• 결정 거부권 결정을 거부할 수 있는 권리
• 설명 요구권 결정데 대한 설명 요구
• 예외: 제15조 제1항 제1호, 제2호, 제4호에 따라 이루어지는 경우

2. 개인정보처리자의 의무

① 결정 거부, 설명 요구에 대한 개인정보처리자의 조치(제3항)

• 자동화된 결정을 적용 제외
• 인적 개인에 의한 재처리
• 설명

② 자동화된 결정의 기준과 절차, 개인정보가 처리하는 방식 등을 정보주체가 쉽게 확인할 수 있도록 공개(제4항): 개인정보 처리방침에 공개

​

​

​

▶공공시스템 운영기관의 개인정보 안전성 확보 조치

공공시스템 운영기관: 공공시스템을 운영하는 공공기관

공공시스템 정의

기존 공공시스템 운영기관에 관한 법률

​

[신설] 개인정보 보호수준 평가(제11조의2)

• 개인정보 보호위원회로 하여금 매년 공공기관의 개인정보 보호 수준을 평가하고 그 결과를 바탕으로 개선을 권고할 수 있도록 함
• 대상: 공공기관 중 중앙행정기관 및 그 소속기관, 지방자치단체, 그 밖에 대통령령으로 정하는 기관
• 시기: 매년
• 기준: 개인정보 보호 정책/업무의 수행 및 이 법에 따른 의무의 준수 여부
• 평가 결과 공개: 인터넷 홈페이지 등에 공개 가능

​

[개정] 개인정보파일의 등록 및 공개(제32조)

<개인정보파일 등록 및 공개 제외 대상>

[개정 전] 내부적 업무처리 목적의 개인정보 파일

-> [개정 후] 지속 관리의 필요성이 없는 파일

​

[개정] 개인정보 영향평가(제33조)

• 개인정보위가 관계 전문가의 육성 등 영향평가의 활성화를 위한 조치 마련(제6항)
• 개인정보 영향평가 평가기관의 지정취소 근거 및 사유를 규정(제7항)
• 영향평가를 실시하지 않거나 그 결과를 보호위원회에 제출하지 아니한 자에게 3천만원 이하의 과태료부과(제75조 제2항 제16호, 제33조 제1항 위반)

​

[신설] 공공시스템 운영기관 등의 개인정보 안전성 확보 조치 등(제30조의2)

개인정보의 안전성 확보조치 기준 제3장 공공시스템 운영기관 등의 개인정보 안전성 확보조치(제14조~제17조)

​

​

​

▶개인정보 분쟁 조정

개정 전과 개정 후

​

[개정] 조정의 신청(제43조)

분쟁 당사자(신청) -> 분쟁조정위(통지) -> 분쟁의 다른 당사자

[개정 전] 공공기관이 분쟁조정 통지를 받으면 특별한 사유가 없으면 분쟁조정에 응하여야 함(제3항)

-> [개정 후] 개인정보처리자는 분쟁조정 통지를 받으면 특별한 사유가 없으면 분쟁조정에 응하여야 함

​

처리 기간(제44조)

분쟁조정위는 분쟁조정 신청을 받은 날부터 60일 이내 조정안 작성

​

[개정] 자료의 요청 및 사실조사 등(제45조)

• [신설] 분쟁조정위원이나 관련 공무원이 사건 관련 장소에 출입하여 자료를 조사하거나 열람할 수 있음(제2항)
• [신설] 관계 기관 등에 자료 또는 의견 제출 요청 가능(제4항)

​

[신설] 진술의 원용 제한(제45조의2)

조정절차에서의 의견과 진술은 소송에서 원용하지 못함: 조정절차에서 자유롭게 진술할 수 있도록 하는 환경 조성

​

[개정] 분쟁의 조정(제47조)

[개정 전] 조정안을 제시받은 당사자가 제시받은 날부터 15일 이내에 수락 여부를 알리지 아니하면 조정을 거부한 것으로 본다(제3항).

-> [개정 후] 조정안을 제시받은 당사자가 제시받은 날부터 15일 이내에 수락 여부를 알리지 아니하면 조정을 수락한 것으로 본다(제3항).

​

​

​

▶손해배상제

제39조(손해배상책임) 제3항

[개정 전]

• 징벌적 손해배상제
• 상한액: 손해액의 3배

-> [개정 후]

• 징벌적 손해배상제
• 상한액: 손해액의 5배

​

[신설] 제39조의3(자료의 제출)

법원이 원고의 손해의 증명, 손해액의 산정에 필요한 자료를 피고에 제출 명령 가능

​

[신설] 제39조의4(비밀유지명령)

소송 시 법원이 영업비밀 보호 명령

​

[신설] 제39조의5(비밀유지명령의 취소)

법원에 비밀유지명령 취소 신청

​

​

​

▶형사처벌

​