[개인정보] 개인정보 보호법 시행령 일부개정

[시행 2024. 9. 15.] [대통령령 제34309호, 2024. 3. 12., 일부개정]

◇ 개정이유

  개인정보 보호위원회가 공공기관 등의 개인정보 보호수준을 평가할 수 있도록 하고, 정보주체가 완전히 자동화된 시스템으로 개인정보를 처리하여 이루어지는 자동화된 결정에 대해 거부하거나 설명 등을 요구할 수 있도록 하는 등의 내용으로 「개인정보 보호법」이 개정(법률 제19234호, 2023. 3. 14. 공포, 2024. 3. 15. 시행)됨에 따라, 개인정보 보호수준 평가의 대상 및 방법 등을 정하고, 정보주체가 자동화된 결정에 대해 거부하거나 설명 등을 요구하는 방법ㆍ절차 등을 정하며, 개인정보처리자가 자동화된 결정을 하려는 경우 정보주체에게 알려야 하는 사항을 정하는 등 법률에서 위임된 사항과 그 시행에 필요한 사항을 정하는 한편,

  개인정보 보호수준 평가를 받았거나 개인정보 보호 인증을 받아 고유식별정보의 안전성 확보 조치에 대한 점검이 이루어진 경우에는 고유식별정보 안전성 확보 조치에 대한 정기적인 조사를 실시한 것으로 보도록 하는 등 현행 제도의 운영상 나타난 일부 미비점을 개선ㆍ보완하려는 것임.

◇ 주요내용

  가. 개인정보 보호수준 평가의 대상ㆍ기준ㆍ방법ㆍ절차(제13조의2 신설)
    1) 개인정보 보호위원회는 「공공기관의 운영에 관한 법률」에 따른 공공기관, 「지방공기업법」에 따른 지방공사 등을 대상으로 개인정보 보호수준 평가를 할 수 있도록 하고, 평가 기준으로 개인정보 보호 정책ㆍ업무 수행실적 및 개선 정도, 개인정보 관리체계의 적정성 등을 정함.
    2) 개인정보 보호수준 평가를 효율적으로 실시하기 위하여 개인정보보호에 관한 전문가를 포함하여 평가단을 구성ㆍ운영할 수 있도록 하고, 평가 대상 기관의 장이 제출한 자료를 기준으로 평가를 진행하거나 현장을 방문하여 평가할 수 있도록 함.

  나. 고유식별정보 관리실태 정기조사 제외 대상(제21조제4항 신설)
    개인정보 보호수준 평가를 받은 경우 등 고유식별정보의 안전성 확보 조치에 대한 점검이 이루어진 경우에는 고유식별정보 관리실태에 대한 정기 조사를 실시한 것으로 보도록 함.

  다. 개인정보처리자의 개인정보 보호책임자 지정 및 개인정보 보호책임자의 독립성 보장(제32조제4항 및 별표 1 신설)
    1) 연간 매출액 등이 1,500억원 이상인 자로서 5만명 이상의 정보주체에 관하여 민감정보를 처리하는 개인정보처리자 등은 4년 이상의 개인정보보호 경력, 정보보호 경력 등이 있는 사람을 개인정보 보호책임자로 지정하도록 함.
    2) 개인정보처리자는 개인정보 보호책임자의 독립성을 보장하기 위하여 개인정보 처리와 관련된 정보에 대한 개인정보 보호책임자의 접근의 보장, 개인정보 보호책임자가 개인정보 보호 계획에 관하여 대표자 또는 이사회에 보고할 수 있는 체계를 구축하는 등의 사항을 준수하도록 함.

  라. 자동화된 결정에 대한 정보주체의 거부ㆍ설명 등 요구의 방법ㆍ절차 등(제44조의2부터 제44조의4까지 신설)
    1) 정보주체는 자동화된 결정에 대해 거부하거나 설명 등을 요구하려는 경우에는 개인정보처리자가 마련하여 공개한 방법ㆍ절차에 따르도록 하고, 개인정보처리자는 정보주체의 거부 및 설명 등의 요구에 대하여 필요한 조치를 하고 그 결과를 정보주체에게 알리도록 함.
    2) 개인정보처리자는 자동화된 결정에 사용되는 주요 개인정보의 유형과 자동화된 결정 간의 관계 등에 관한 사항을 인터넷 홈페이지 등을 통해 공개하도록 함.

<법제처 제공>