ISMS-P 개인정보보호법 주요내용 정리(5) 제23조 ~ 제28조

오늘은 제3장 개인정보 처리 - 제2절 개인정보의 처리제한에 대한 내용을 살펴보겠다. 

개인정보보호법만 5번째 포스팅인데, 아직 반도 못 보았다.

생각보다 양이 너무 많다. 

ISMS항목에서 개인정보 관련 항목 비중은 1/3정도밖에 안되는데, 정보통신망법보다 개인정보보호법이 더 확인해야 할 내용이 많다. 

개인정보가 대부분 법률과 유관한 분야이기 때문일 것이다. 

 

---

제23조(민감정보의 처리 제한), 제24조(고유식별정보의 처리 제한)

민감정보와 고유식별정보의 처리에 대한 규정은 비슷하기 때문에 한꺼번에 살펴보겠다. 

 

ㅇ 민감정보의 범위

1. 사상/신념
2. 노동조합/정당의 가입/탈퇴
3. 정치적 견해
4. 건강, 성생활 등에 관한 정보
5. 유전정보
6. 범죄경력정보
7. 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보
8. 인종이나 민족에 관한 정보

ㅇ 고유식별정보의 범위

1. 주민등록번호
2. 여권번호
3. 운전면허번호
4. 외국인등록번호 

ㅇ 다음의 경우에만 민감정보 및 고유식별정보를 처리할 수 있다.

1. 정보주체에게 다른 별도 동의를 받은 경우
2. 법령에서 민감정보/고유식별정보 처리를 허용한 경우

ㅇ 개인정보 처리자는 민감정보/고유식별정보 처리 시에는 안전성 확보 조치를 하여야 한다. 

 

제24조의 2(주민등록번호 처리의 제한) 

주민등록번호는 고유식별정보에 해당되지만, 조금 더 엄격한 기준이 적용되므로 해당 조항을 주의 깊게 숙지하여야 한다. 

 

ㅇ 주민등록번호는 다음에 해당하는 경우를 제외하고는 처리할 수 없다. 

1. 법률, 대통령령, 국회규칙, 대법원규칙, 헌법재판소 규칙, 중앙선거관리위원회 규칙, 감사원 규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
3. 보호위원회가 고시로 정하는 경우

주민등록번호는 고유식별정보임에도 불구하고 정보주체의 동의에 의해 처리될 수 없다. 

 

ㅇ 개인정보처리자는 주민등록번호를 암호화 저장하여야 한다. 

ㅇ 개인정보처리자는 주민등록번호를 처리할 수 있는 경우에도, 홈페이지 회원가입 시 주민등록번호를 사용하지 않고도 회원으로 가입할 수 있는 방법을 제공해야 한다. 

 

고유식별정보 처리 위반 사례 - 개인정보 보호조치 안내서 19.06. 행정안전부 , KISA

 

 

제25조(영상정보처리기기의 설치/운영 제한)

ㅇ 다음의 경우를 제외하고는 공개된 장소에 영상정보처리기기를 설치/운영해서는 아니 된다. 

1. 법령에서 구체적으로 허용하고 있는 경우
2. 범죄의 예방 및 수사를 위하여 필요한 경우
3. 시설안전 및 화재 예방을 위하여 필요한 경우
4. 교통단속을 위하여 필요한 경우
5. 교통정보의 수집/분석 및 제공을 위하여 필요한 경우 

ㅇ 불특정 다수가 이용하는 화장실, 발한실, 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있는 영상정보처리기기를 설치/운영해서는 아니 된다. 교정시설 및 정신의료기관, 정신요양시설, 정신재활시설에는 설치/운영할 수 있다. 이 경우 다음의 사람으로부터 의견을 수렴해야 한다. 

1. 관계 전문가
2. 해당 시설에 종사하는 사람, 해당 시설에 구금되어 있거나 보호받고 있는 사람 또는 그 사람의 보호자 등 이해관계인

ㅇ(공공기관 준수사항) 영상정보처기기기를 운영하려는 자는 다음의 절차를 거쳐 전문가 및 이해관계인의 의견을 수렴하여야 한다. 

1. 행정예고의 실시 또는 의견청취
2. 해당 영상정보처리기기의 설치로 직접 영향을 받는 주역 주민 등을 대상으로 하는 설명회/설문조사/여론조사

ㅇ 영상정보처기기기운영자는 영상정보처리기기가 설치/운영되고 있음을 정보주체가 알아볼 수 있도록 다음의 사항을 포함한 안내판을 설치하여야 한다. 

1. 설치 목적 및 장소
2. 촬영범위 및 시간
3. 관리책임자 성명 및 연락처

ㅇ 다음에 해당하는 경우에는 안내판 대신 인터넷 홈페이지에 안내 내용을 게시할 수 있다. 

1. 공공기관이 원거리 촬영, 과속, 신호위반 단속 또는 교통흐름 조사 등의 목적으로 영상정보처리기기를 설치하는 경우로서 개인정보 침해의 우려가 적은 경우
2. 산불감시용 영상정보처리기기를 설치하는 경우 등 장소적 특성으로 인하여 안내판을 설치하는 것이 불가능하거나 안내판을 설치하여도 정보주체가 쉽게 알아볼 수 없는 경우

ㅇ 영상정보처리기기에 대하여 다음은 금지된다. 

1. 설치 목적과 다른 목적으로 영상정보처리기기를 임의로 조작
2. 설치 목적과 다른 곳을 비춰는 행위
3. 녹음기능

ㅇ 영상정보 처리기기운영자는 다음 내용을 포함한 영상정보처리기기 운영/관리 방침을 마련해야 한다. 이 경우 개인정보처리방침을 정하지 않을 수 있다.  

1. 영상정보처리기기의 설치 근거 및 설치 목적
2. 영상정보처리기기의 설치 대수, 설치 위치 및 촬영 범위
3. 관리책임자, 담당부서 및 영상정보에 대한 접근 권한이 있는 사람
4. 영상정보의 촬영 시간, 보관 기간, 보관장소 및 처리 방법
5. 영상정보처리기기운영자의 영상정보 확인 방법 및 장소
6. 정보주체의 영상정보 열람 등 요구에 대한 조치
7. 영상정보 보호를 위한 기술적ㆍ관리적 및 물리적 조치
8. 그밖에 영상정보처리기기의 설치ㆍ운영 및 관리에 필요한 사항

 

 

ㅇ (공공기관 준수사항) 영상정보처리기기 운영을 위탁하는 경우 다음 각 내용이 포함된 문서로 해야 한다. 

1. 위탁하는 사무의 목적 및 범위
2. 재위탁 제한에 관한 사항
3. 영상정보에 대한 접근 등 안전성 확보 조치에 관한 사항
4. 영상정보의 관리 현황 점검에 관한 사항
5. 위탁받는 자가 준수 의무를 위반한 경우 손해배상에 관한 사항 

 

제26조(업무위탁에 따른 개인정보의 처리 제한)

ㅇ 개인정보 처리업무를 위탁하는 경우 다음의 내용이 포함된 문서에 의하여야 한다. 

1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
2. 개인정보의 기술적 관리적 보호조치에 관한 사항
3. 위탁업무의 목적 및 범위
4. 재위탁 제한에 관한 사항
5. 개인정보의 접근 제한 등 안전성 확보 조치에 관한 사항
6. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
7. 준수의무 위반 시 손해배상 책임에 관한 사항

ㅇ 위탁자는 위탁하는 업무의 내용과 수탁자를 정보주체가 확인할 수 있도록 홈페이지 또는 다음의 방법으로 지속적으로 게재해야 한다.  재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에도 같다. 

1. 위탁자의 사업장에 게시
2. 위탁자의 사업장이 있는 지역을 주된 보급지역으로 하는 신문에 싣는 방법
3. 정보주체에게 배포하는 간행물, 소식지, 홍보지, 청구서 등에 지속적으로 싣는 방법
4. 계약서 등에 실어 정보주체에게 발급하는 방법

 

ㅇ 위탁자는 수탁자의 개인정보 처리 현황을 교육/감독하여야 한다. 

ㅇ 수탁자는 위탁 업무 범위를 초과하여 제3자에게 제공해서는 아니 된다. 

ㅇ 수탁자가 개인정보를 처리하는 과정에서 발생하는 손해배상책임에 대하여는 수탁자를 위탁자의 소속 직원으로 본다. 

 

제27조(영업양도 등에 따른 개인정보의 이전 제한) 

ㅇ 영업을 양도/합병 등으로 이전하는 경우에는 미리 다음과 같이 정보주체에게 알려야 한다. 

 - 알려야 하는 사항

1. 개인정보를 이전하려는 사실
2. 개인정보를 이전받는 자의 성명, 주소, 전화번호 및 그 밖의 연락처
3. 정보주체가 개인정보의 이전을 원하지 않는 경우 조치할 수 있는 방법 및 절차

- 안내 방법 

1. 영업양도자등의 사업장 등의 보기 쉬운 장소에 30일 이상 게시하는 방법
2. 위탁자의 사업장이 있는 지역을 주된 보급지역으로 하는 신문에 싣는 방법

ㅇ 개인정보처리자가 이전 사실을 알리지 않은 경우 영업 양수자는 개인정보를 이전받았을 경우 지체 없이 정보주체에게 알려야 한다. 

 

ㅇ 영업양수자등은 개인정보를 이전 당시의 본래 목적으로만 이용/제공할 수 있다. 이 경우 영업양수자등은 개인정보처리자로 본다. 

 

 

제28조(개인정보취급자에 대한 감독)

ㅇ 개인정보처리자는 개인정보취급자를 감독/교육해야 한다. 

ㅇ 개인정보처리자는 다음 사람들을 포함한다. 

1. 임직원
2. 파견근로자
3. 시간제근로자
4. 그밖에 개인정보처리자의 지휘/감독을 받아 개인정보를 처리하는 자