개인정보보호법의 운영체계

개인정보보호법의 일원화된 운용을 위해 공공/민간분야의 운용체계를 아래와 같이 일원화하여 운영하고 있다.

보호위원회(심의/의결) – 행정안전부(총괄 집행) – 부처(소관 집행)

※ 예외적 적용사항
헌법기관(국회/법원/헌재/선관위):기본계획 및 시행계획의 수립시행 권한
방통위, 과학기술정보통신부: 정보통신분야에서의 개인정보보호관련 집행
– 금감위:  금융/신용 분야의 개인정보보호관련 집행

1. 개인정보위원회

법이 정하는 개인정보보호에 관한 사항을 심의/의결하기 위하여 대통령소속으로 설립된 독립적인 감독기구 (개인정보보호 7조)

주요업무:  (컨트롤타워 역할)
– 기본/시행계획의 심의/의결,
– 개인정보보호관련 정책, 제도개선, 권고등에 대한 심의/의결
– 오남용 감시
– 이행실태 조사
– 공공기관 간의 의견 조정
– 법령해석/운용에 대한 심의/의결
– 연차보고서의 작성/제출
– 영향평가결과에 대한 의견제시
– 개선방안 연구
– 개인정보침해요인평가 기본계획 수립/자료제출, 진술요구권한
– 분쟁조정위원회의 위원 임명권한
– 3년마다 개인정보 보호 기본계획을 관계 중앙행정기관장과 협의하여 수립

2. 행정안전부

행정안전부는 공공기관과 민간분야의 개인정보를 총괄 집행한다.
– 개인정보관리수준 및 실태파악을 위한 조사를 실시할 수 있다

주요업무:  (총괄집행)
– 표준 개인정보보호지침 제정
– 개인정보처리방침 작성 지침의 제정/권고
– 개인정보열람창구 구축/운영
– 개인정보유출신고제도 운영
– 개인정보파일 등록 접수 및 현황 공개
– 자율규재 촉진 및 지원시책
– 개인정보영향평가 관리/운영
– 법 위반 행위 조사 및 시정권고 및 명령, 과태료 부과

3. 개인정보 분쟁조정 위원회

개인정보보호위원회의 산하에 있으며 개인정보침해와 관련된 분쟁을 당사자 사이의 합리적이고 신속하게 해결하기 위한 기구로 심의를 통하여 손해배상을 결정하며 개인정보피해예방 활동, 법제도 개선 건의, 시정권고등을 통해 국민의 권리 보호 및 건전한 개인정보보호 이용환경 구축 등의 업무를 담당한다.

4. 개인정보 침해신고 센터

개인정보침해와 관련된 신고접수와 상담을 수행하고 신고된 개인정보처리자의 법률위반 여부를 조사하여 후속조치 지원하고있다.

OECD 프라이버시 8원칙과 개인정보보호법 비교

OECD 프라이버시 8원칙 개인정보보호법  제3조 (개인정보보호원칙)
 1원칙 : 수집제한의 원칙
개인정보의 수집은 적법하고 정당한 절차에 의해 정보주체의 인지나 동의를 얻은 후 수집되어야 한다.
 – 목적에 필요한 최소정보의 수집(제1항)
개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
 – 사생활 침해를 최소화하는 방법으로 처리(제6항)
⑥ 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
 – 익명처리의 원칙(제7항)
⑦ 개인정보처리자는 개인정보의 익명처리가 가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다.
 2원칙 : 정보 정확성의 원칙
개인정보는 그 이용목적에 부합되는 것이어야 하며 이용목적에 필요한 범위내에서 정확하고 완전하며 최신의 상태를 유지해야 한다.
 – 처리목적 내에서 정확성, 완전성, 최신성 보장(제3항)
③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
 3원칙 : 목적 명확화의 원칙
개인정보의 수집목적은 수집시에 특정되어 있어야 하며 그 후의 이용은 구체회된 목적달성 또는 수집목적과 부합해야 한다.
 – 처리목적의 명확화(제1항)
① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다
 4원칙 : 이용제한의 원칙
개인정보는 특정된 목적 이외의 다른 목적을 위하여 공개,이용,제공될 수 없다
 – 목적 범위 내에서 적법하게 처리 및 목적외 활용금지 (제2항)
② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
 5원칙 : 안전성 확보의 원칙
개인정보는 분실 또는 불법적인 접근,파괴,사용,위조변조,공개 위험에 대비하여 적절한 안전조치에 의해 보호되어야 한다.
 – 권리침해 가능성 등을 고려하여 안전하게 관리(제4항)
④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.
 6원칙 : 처리방침의 공개 원칙
정보주체가 제공한 개인정보가 어떠한 용도와 방식으로 이용되고 있으며 개인정보보호를 위하여 어떠한 조치를 취하고 있는지를 공개하여야 하며 정보주체가 자신의 정보에 대하여 쉽게 확인할 수 있어야 한다
 – 개인정보 처리방침 등 공개(제5항)
⑤ 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.
 7원칙 : 정보주체 참여의 원칙
정보주체가 제공한 개인정보를 열람,정정,삭제를 요구할 수 있는 절차를 마련해야 한다
 – 열람청구권 등 정보주체의 권리보장(제5항)
⑤ 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.
 8원칙 : 책임의 원칙
정보관리자는 위의 제 원칙이 지켜지도록 필요한 제반조치를 취해야할 책임이 있다
 – 개인정보처리자의 책임준수․신뢰확보 노력(제8항)
⑧ 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.

개인정보영향평가의 개요 및 의무화 대상

■ 개인정보영향평가의 개요

○ 목적:  평가 대상 시스템 활용에 따른 잠재적 위험을 평가하여 개인정보  침해에 따른 피해를 줄일 수  있는지를 미리 검토·반영하여 개인정보보호
○ 대상: 공공기관: 의무, 민간기구: 자율 (권고)
○ 시기: 대상기관이 대상시스템을 구축, 운영 또는 변경하거나 연계하려는 경우
○ 근거:: 개인정보보호법 제33조

 ① 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가(이하 “영향평가”라 한다)를 하고 그 결과를 행정안전부장관에게 제출하여야 한다. 이 경우 공공기관의 장은 영향평가를 행정안전부장관이 지정하는 기관(이하 “평가기관”이라 한다) 중에서 의뢰하여야 한다.  
② 영향평가를 하는 경우에는 다음 각 호의 사항을 고려하여야 한다.
1. 처리하는 개인정보의 수
2. 개인정보의 제3자 제공 여부
3. 정보주체의 권리를 해할 가능성 및 그 위험 정도
4. 그 밖에 대통령령으로 정한 사항
③ 행정안전부장관은 제1항에 따라 제출받은 영향평가 결과에 대하여 보호위원회의 심의ㆍ의결을 거쳐 의견을 제시할 수 있다. 
④ 공공기관의 장은 제1항에 따라 영향평가를 한 개인정보파일을 제32조제1항에 따라 등록할 때에는 영향평가 결과를 함께 첨부하여야 한다.
⑤ 행정안전부장관은 영향평가의 활성화를 위하여 관계 전문가의 육성, 영향평가 기준의 개발ㆍ보급 등 필요한 조치를 마련하여야 한다. 
⑥ 제1항에 따른 평가기관의 지정기준 및 지정취소, 평가기준, 영향평가의 방법ㆍ절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
⑦ 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관을 포함한다)의 영향평가에 관한 사항은 국회규칙대법원규칙헌법재판소규칙 및 중앙선거관리위원회규칙으로 정하는 바에 따른다.
⑧ 공공기관 외의 개인정보처리자는 개인정보파일 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 영향평가를 하기 위하여 적극 노력하여야 한다.

※ 개인정보영향평가를 반드시 받아야 하는 대상은 공공기관이다.   공공기관의 범위는 법에서 아래와 같이 정의되어있다.

■ 공공기관의 범위(법 제2조제6호)

• 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령
소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체
• 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관
1. 「국가인권위원회법」 제3조에 따른 국가인권위원회
2. 「공공기관의 운영에 관한 법률」 제4조에 따른 공공기관
3. 「지방공기업법」에 따른 지방공사 및 지방공단
4. 특별법에 의하여 설립된 특수법인
5. 「초·중등교육법」, 「고등교육법」 및 그 밖의 다른 법률에 따라 설치된 각급 학교

■ 개인정보 영향평가 대상

공공부문의 경우, 전자정부 추진으로 개인정보를 대량으로 시스템화하여 상호연동하는 등, 개인정보 침해우려가 높으므로 행정정보 공유 및 전자정부 추진사업의 신뢰성을 제고하기 위하여 영향평가를 의무화하고 있으며 개인정보보호법 시행령에서 다음 각 호에 해당하는 개인정보파일에 대하여 영향평가를 하도록 의무화하고 있다.

  제33조제1항에서 “대통령령으로 정하는 기준에 해당하는 개인정보파일”이란 개인정보를 전자적으로 처리할 수 있는 개인정보파일로서 다음 각 호의 어느 하나에 해당하는 개인정보파일을 말한다.  
1. 구축ㆍ운용 또는 변경하려는 개인정보파일로서 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
2. 구축ㆍ운용하고 있는 개인정보파일을 해당 공공기관 내부 또는 외부에서 구축ㆍ운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일
3. 구축ㆍ운용 또는 변경하려는 개인정보파일로서 100만명 이상의 정보주체에 관한 개인정보파일
4.  제33조제1항에 따른 개인정보 영향평가(이하 “영향평가”라 한다)를 받은 후에 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우 그 개인정보파일. 이 경우 영향평가 대상은 변경된 부분으로 한정한다.

■ 개인정보 영향평가 시 고려사항

  제33조제2항제4호에서 “대통령령으로 정한 사항”이란 다음 각 호의 사항을 말한다.
1. 민감정보 또는 고유식별정보의 처리 여부
2. 개인정보 보유기간

■ 개인정보 영향평가 시 평가기준

 개인정보보호법 시행령 제38조(영향평가의 평가기준 등)
①  제33조제6항에 따른 영향평가의 평가기준은 다음 각 호와 같다.   
1. 해당 개인정보파일에 포함되는 개인정보의 종류ㆍ성질, 정보주체의 수 및 그에 따른 개인정보 침해의 가능성
2.  제24조제3항제25조제6항 및 제29조에 따른 안전성 확보 조치의 수준 및 이에 따른 개인정보 침해의 가능성
3. 개인정보 침해의 위험요인별 조치 여부
4. 그 밖에 법 및 이 영에 따라 필요한 조치 또는 의무 위반 요소에 관한 사항