티스토리 뷰

IT정보/정보보호

개인정보 처리방침 평가제

제이스트림 2024. 6. 22. 09:53
728x90
반응형
SMALL

1. 개인정보 처리방침 평가제

1.1 관련 근거

「개인정보 보호법」이 2023년 3월 14일 개정 (시행일 2024년 3월 15일) 되면서 법 제30조의2, 동법 시행령 제31조의2에 따라 개인정보 처리방침에 대한 평가와 개선권고가 가능해졌고 「개인정보 처리방침 평가에 관한 고시」 또한 2024년 2월 20일 제정됐다.

따라서 올해부터 개인정보보호위원회는 평가계획을 수립해 평가 대상을 선정하고 평가를 수행해 개선을 권고하거나 우수사례를 선정한다.

 

1.2 24년 개인정보 처리방침 평가대상 및 시기

현재 평가대상(안)이 발표되긴 했으나 일부 변경될 수도 있을 것으로 보여진다.

 

[평가 분야]

언론보도 또는 국회 지적 등을 통해 개인정보 처리방침 상 문제가 부각되었거나, 국민 생활 밀접 분야 중 개인정보처리가 복잡하거나 정책적으로 집중 점검이 필요한 7개 분야 평가
① 빅테크 ② 온라인 쇼핑(종합 쇼핑몰, 온·오프라인 병행, 홈쇼핑, 중고거래) ③ 온라인 플랫폼(주문·배달, 숙박·여행) ④ 병·의료원 ⑤ 온라인 동영상 서비스(OTT) ⑥ 엔터테인먼트(게임·웹툰) ⑦ AI 채용

 

[선정 기준]

고시 제4조제1항 각 호의 평가대상 선정 기준 중 1개 이상 요건에 해당하는 경우 선정
단, 고시 제4조제1항제3호 요건(처리방침에 동의·비동의 구분)은 개인정보 처리방침 작성지침이 '24.4월에 배포되었음을 고려, 올해 평가에서 적용 제외
<평가대상 선정기준(고시 제4조)>
1. 전년도 매출액이 1,500억원 이상이면서 말 기준 직전 3개월 간 그 개인정보가 저장·관리되고 있는 정보주체의 수가 일일평균 100만명 이상일 것
2. 전년도 말 기준 직전 3개월 간 민감정보·고유식별정보가 저장·관리되고 있는 정보주체의 수가 일일평균 5만명 이상일 것
3. 처리방침에 정보주체의 동의 없이 처리할 수 있는 개인정보의 항목·법적 근거를 동의를 받아 처리하는 개인정보와 구분하고 있지 않을 것
4. 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템 포함)으로 개인정보를 처리하거나, 그 밖에 새로운 기술을 이용한 개인정보 처리 방식으로 인하여 개인정보 침해 우려가 있을 것
5. 최근 3년간 개인정보 유출등이 2회 이상 되었거나, 보호위로부터 과징금 또는 과태료 처분을 받았을 것
6. 19세 미만 아동 또는 청소년을 주된 이용자로 한 정보통신서비스를 운영할 것

 

[평가 대상 시점]

'24년 7월 1일(평가 시작일)을 기준으로 공개되어 있는 개인정보 처리방침을 대상으로 평가

 

[평가 기준 지표]

 

[평가 절차]

① 평가계획 수립·공개
② 기초평가(평가위원회)
③ 이용자 평가(이용자 평가단)
④ 심층평가(평가위원회)
⑤ 평가결과 통보 및 이의신청
⑥ 평가결과 확정·개선권고

 

[평가 추진 일정]

  • '24년 개인정보 처리방침 평가계획(안) 통보 및 공개(6월 3주)
  • 개인정보 처리방침 사전 분석(~7월)
  • 개인정보 처리방침 기초 평가 및 이용자 평가(7~8월)
  • 개인정보 처리방침 심층 평가(~9월)
  • 평가 결과 통보 및 이의신청(~10월)
  • 이의신청 검토 및 결과 통보(~11월)
  • '24년 개인정보 처리방침 평가 결과 확정 및 우수사례 공개(12월)

 

1.3 개인정보 처리방침 이란?

개인정보처리자는 「개인정보 보호법」제30조에 따라 수집된 개인정보를 처리하게 되면 정보주체가 쉽게 확인할 수 있도록 ①법령 부합성 ②투명성 및 정확성 ③명확성 및 가독성 ④접근성을 고려하여 개인정보 처리방침을 작성해 무조건 공개해야 한다.

①법령 부합성 
개인정보처리자는 법 제30조제1항 각 호 및 영 제31조제1항 각 호의 사항 중 해당되는 내용을 모두 작성하여야 하며, 작성된 내용은 개인정보 보호 법령에 부합하여야 함

②투명성 및 정확성
- 개인정보처리자는 정보주체의 알 권리 보장을 위해 자신의 개인정보 처리 현황을 정확하게 반영하여 개인정보 처리방침을 작성하고, 이를 투명하게 공개하여야 함
- 개인정보처리자는 개인정보 처리방침에 공개한 내용이 실제 개인정보 처리현황과 일치할 수 있도록 하는 등의 정확성과 투명성, 최신성을 유지할 수 있도록 수립 및 관리하여야 함

③명확성 및 가독성
- 개인정보처리자는 법 제30조제1항 각 호 및 영 제31조제1항 각 호의 사항을 정보주체가 쉽게 알 수 있도록 구분하여 작성해야 하며, 가급적 각각 별도의 항목으로 명시적으로 구분하여 작성할 것을 권고함
- 개인정보처리자는 개인정보 처리방침에 개인정보 처리 현황을 구체적으로 작성하여야 하며, 모호하고 불명확한 표현을 사용하는 거은 지양됨
- 개인정보 처리방침은 알기 쉬운 용어로 구체적이고 명확하게 표현되어야 하며, 정보주체가 쉽게 이해할 수 있도록 가급적 평어체를 사용하고, 전문용어(법률용어 등)는 쉬운 표현으로 부연 설명을 제공하는 것을 권장함
- 특히 개인정보 보호법의 적용을 받는 해외사업자의 경우 국내이용자가 이해할 수 있도록 쉽고 명확한 한글로 정보를 제공하여야 함

④접근성
- 개인정보 처리방침은 정보주체 누구나 쉽게 확인할 수 있는 방법으로 공개되어야 함
- 개인정보 처리방침 상 정보주체 권리행사 방법은 개인정보를 수집하는 방법과 동일한 수준이거나 보다 쉬운 절차로 설게하고 구체적이고 상세하게 안내하여야 함

※ 참고
GDPR(유럽 개인정보 보호법) 제13조 및 제14조에서도 정보주체의 권리를 보장하기 위해 정확하고, 투명하고, 이해하기 쉬운 형식으로 정보를 제공하도록 규정하고 있음

 

공개 방법은 온라인·오프라인을 구분하지 않고 적용되기 때문에 웹 또는 모바일에 공개하지 않는 경우 「개인정보 보호법」 시행령 제31조제3항에 따라 다음과 같은 방법으로 공개하면 된다. 

  • 개인정보처리자의 사업장등의 보기 쉬운 장소에 게시하는 방법
  • 관보(개인정보처리자가 공공기관인 경우만 해당한다)나 개인정보처리자의 사업장 등이 있는 시·도 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조제1호가목·다목 및 같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법
  • 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물·소식지·홍보지 또는 청구서 등에 지속적으로 싣는 방법
  • 재화나 서비스를 제공하기 위하여 개인정보처리자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법

 

1.4 개인정보 처리방침의 작성

개인정보 처리방침에는 다음과 같은 내용들을 담아 작성하면 된다.

  • 개인정보의 처리 목적
  • 처리하는 개인정보의 항목
  • 14세 미만 아동의 개인정보 처리에 관한 사항
  • 개인정보의 처리 및 보유기간
  • 개인정보의 파기 절차 및 방법에 관한 사항
  • 개인정보의 제3자 제공에 관한 사항
  • 추가적인 이용·제공이 지속적으로 발생 시 판단 기준
  • 개인정보 처리업무의 위탁에 관한 사항
  • 개인정보의 국외 수집 및 이전에 관한 사항
  • 개인정보의 안전성 확보조치에 관한 사항
  • 민감정보의 공개 가능성 및 비공개를 선택하는 방법
  • 가명정보 처리에 관한 사항
  • 개인정보 자동 수집 장치의 설치·운영 및 거부에 관한 사항
  • 개인정보 자동 수집 장치를 통해 제3자가 행태정보를 수집하도록 허용하는 경우 그 수집·이용 및 거부에 관한 사항
  • 정보주체와 법정대리인의 권리·의무 및 행사방법에 관한 사항
  • 개인정보 보호책임자의 성명 또는 개인정보 업무 담당부서 및 고충사항을 처리하는 부서에 관한 사항
  • 국내대리인 지정에 관한 사항
  • 정보주체의 권익침해에 대한 구제방법
  • 고정형 영상정보처리기기 운영·관리에 관한 사항
  • 이동형 영상정보처리기기 운영·관리에 관한 사항
  • 개인정보처리자가 개인정보 처리 기준 및 보호조치 등에 관하여 자율적으로 개인정보 처리방침에 포함하여 정한 사항
  • 개인정보 처리방침의 변경에 관한 사항

2. 개인정보 처리방침 평가제 이용자 평가단 모집

다음과 같이 개인정보보호위원회에서 개인정보 처리방침 평가제

모집개요
  • 모집기간 : 공고일 ~ 2024.6.26(수)
선정 및 발표
  • 선정인원 : 총 25명
활동사항
  • 주요활동 : 평가 대상의 개인정보 처리방침에 대한 가독성/접근성 및 전반적인 의견 제시
  • 혜택 및 보상
    - 개인정보보호위원장 명의 감사장 발급
    - 회의 참석자 대상 소정의 활동비 지급
    - 우수 활동자 연임 혜택 부여

 

자!! 우리도 평가단에 참여해보자~
728x90
반응형
LIST
공지사항
최근에 올라온 글
최근에 달린 댓글
글 보관함