지난 9월 15일 개정된 개인정보보호법에 ‘개인정보처리방침 평가제도’가 새롭게 도입되었고, 9월 27일 공개된 개인정보보호법 및 시행령 개정 안내서 초안을 통해 제도에 대한 보다 자세한 내용을 확인할 수 있었습니다.이번 포스팅에서는 법 개정으로 새롭게 도입된 개인정보처리방침 평가제도가 무엇인지 평가대상과 방법, 절차에 대해 알아보고자 합니다. 개인정보처리방침평가제도란?
지난 9월 15일 개정된 개인정보보호법에 ‘개인정보처리방침 평가제도’가 새롭게 도입되었고, 9월 27일 공개된 개인정보보호법 및 시행령 개정 안내서 초안을 통해 제도에 대한 보다 자세한 내용을 확인할 수 있었습니다.이번 포스팅에서는 법 개정으로 새롭게 도입된 개인정보처리방침 평가제도가 무엇인지 평가대상과 방법, 절차에 대해 알아보고자 합니다. 개인정보처리방침평가제도란?
개인 정보 처리 방침 평가 제도는 개인 정보 보호 위원회가 개인 정보 처리자가 공개한 개인 정보 처리 방침의 적정성, 용이성, 접근성 등을 평가하는 제도입니다.개인 정보 보호 위원회는 개인 정보 보호 법 및 시행령 개정 안내서의 초안에서 “개인 정보 보호 법은 개인 정보 처리자에 개인 정보 처리 방침의 작성 및 공개 의무를 부과하고 있지만 처리 방침의 내용의 적정성에 대한 판단 기준이 모호하고, 대부분의 처리 방침이 획일적이고, 텍스트의 나열 등에 의한 정보 주체가 이해하기 어렵고, 정보 주체가 처리 방침을 확인하지 않는 등 문제가 발생한 “이라며”이에 대한 개인 정보 처리 방침의 적정성, 용이성, 접근성 등을 평가하고 개인 데이터 처리의 책임성을 높일 수 있도록 했다”라고 평가했다.개인 정보 보호 위원회가 개인 정보 보호 법 및 시행령 개정 안내서 초안에서 공개한 개인 정보 처리 방침 평가 대상 및 기준, 평가 절차는 다음과 같습니다.1. 평가 대상 개인 정보 보호 위원회는 개인 정보 보호 법 및 시행령 개정 안내서 초안에서 “평가 대상은 개인 정보 처리자의 유형 및 매출액 처리하는 개인 정보의 유형 및 규모, 개인 정보 처리 법적 근거 및 방식 법 위반 행위 발생 여부, 아동·청소년 등 정보 주체의 특성 등을 종합적으로 고려하는 보호 위원회가 선정할 계획”이라고 밝혔습니다.이 중”개인 정보 처리 법적 근거와 방식”은 개인 정보 보호 법에 기초한 개인 정보 처리 방침에 명시토록 했다”개인 정보 처리 법적 근거”이 모호하거나 개인 정보를 자동적으로 수집하는 장치의 설치·운영 또는 완전히 자동화된 시스템(인공 지능 기술을 적용한 시스템 등)에 의한 개인 정보 처리 등에서 개인 정보 처리 방침상의 위험 요인이 발견된 경우, 평가 대상으로 고려할 수 있음을 의미합니다.개인 정보 보호 위원회는 9월 17일 공개된 개인 정보 처리 방침 평가 고시 행정 예고 안에서 다음과 같이 보다 자세하게 선정 기준을 명시하기도 했죠.
2. 평가기준 개인정보보호위원회는 개인정보보호법 및 시행령 개정 안내서 초안에서 개인정보처리방침에 포함해야 할 사항을 적정하게 정하고 있는지(적정성), 알기 쉽게 작성하고 있는지(용이성), 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지(접근성)를 기준으로 평가한다고 합니다. (1) 적정성:개인정보처리방침에 포함시켜야 할 사항을 적정하게 정하고 있는지, 개인정보보호법 제30조(개인정보처리방침의 책정 및 공개) 및 시행령 제31조(개인정보처리방침의 내용 및 공개방법 등)의 조항을 보면 개인정보처리방침에는 다음과 같은 항목을 포함하도록 하고 있습니다.
[법령에 의한 개인 정보 처리 방침에 포함될 항목]1. 개인 정보 처리 목적 2. 처리하는 개인 정보의 항목 3. 개인 정보 처리 및 보유 기간 4. 개인 정보의 제삼자 제공에 관한 사항(해당하는 경우에 한한다.)5. 개인 정보의 폐기 절차 및 파기 방법(개인 정보를 보존해야 할 경우에 대해서는 그 보존 근거 및 보존하는 개인 정보 항목을 포함.)6. 민감 데이터 공개 가능성 및 비공개를 선택하는 방법(해당하는 경우에 한한다.)7. 사생활에 관한 사항(해당하는 경우에만 정한다.)8. 가명정보 처리에 관한 사항자의 이름 또는 개인 정보 보호 업무 및 민원을 처리하는 부서의 명칭 및 전화 번호 등 연락처 11. 인터넷 접속 정보 파일 등 개인 정보를 자동적으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항(해당하는 경우만 돼)12. 개인 정보의 안전성 확보 조치에 관한 사항[법령에 따라 개인정보 처리방침에 포함되어야 할 항목] 1. 개인정보의 처리목적 2. 처리할 개인정보의 항목 3. 개인정보의 처리 및 보유기간 4. 개인정보의 제3자 제공에 관한 사항(해당하는 경우에 한한다.) 5. 개인정보의 파기절차 및 파기방법(개인정보를 보존하여야 할 경우에는 그 보존근거 및 보존할 개인정보 항목을 포함한다.) 6. 민감 데이터의 공개 가능성 및 비공개를 선택하는 방법(해당하는 경우에 한한다.) 7. 프라이버시에 관한 사항(해당하는 경우에만 정한다.) 8. 가명 정보처리에 관한 사항자의 성명 또는 개인정보보호업무 및 관련 민원을 처리하는 부서의 명칭 및 전화번호 등 연락처11. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항(해당하는 경우만 정한다)12. 개인정보의 안전성 확보조치에 관한 사항개인정보처리방침평가제도의 근거법령은 다음과 같습니다.개인정보처리방침평가제도의 근거법령은 다음과 같습니다.외출할 때개인 정보 보호 위원회는 개인 정보 보호 법 및 시행령 개정 안내서 초안에서 “24년 상반기에 개인 정보 처리 방침의 세부 평가 계획을 수립 및 공개, 평가를 시작하고 24년 하반기에는 평가 결과를 확정 및 통지할 계획이라고 밝혔습니다.정보 주체가 이해하기 어려웠던 개인 정보 처리 방침이 평가 제도를 통해서 개인 정보 저리의 책임성, 투명성을 높일 기회가 됐으면 합니다.네이버는 정보 주체(이용자)에게 쉽게 개인 정보 처리 현황을 안내하기 위해서 개인 정보 처리 방침”EASY버전(링크)”,”개인 정보 처리 방침 인포 그래픽(링크)”을 제공하고 왔고 앞으로도 정보 주체에 개인 정보 처리에 관한 내용을 보다 효과적이며 투명하게 알리도록 노력하겠습니다.감사합니다。<참고 자료>개인 정보 보호 법 및 시행령 개정 안내서 초안(2023.09.27개인 정보 보호 위원회)-“개인 정보 처리 방침 평가에 관한 고시”제정 방안의 행정 예고(2023.09.28개인 정보 보호 위원회)개인 정보 처리 방침 작성 지침(2023.03및 개인 정보 보호 위원회)* 이 게시물은 네이버 개인정보보호 공식 페이스북에서도 소개하고 있습니다.작성 [2023.10.13 Data Protection & Privacy 정명희* 이 게시물은 네이버 개인정보보호 공식 페이스북에서도 소개하고 있습니다.작성 [2023.10.13 Data Protection & Privacy 정명희