| 카테고리 | 고객 |
|---|---|
| 유형 | 법령 |
| 발령번호 | 법률 제20897호 |
| 제정/개정일 | 2025-04-01 |
| 시행일 | 2025-10-02 |
| 관리기관 | 개인정보보호위원회 |
| 관리부서 | 마케팅 |
| 적용부서 | 마케팅,영업,인사 |
| 유관 업무명 | 개인정보 수집 및 관리 업무 |
| 관련 사규 | |
| 입법예고일 | |
| [준수평가] 준수평가일 | 2025-11-21 |
| [준수평가] 준수평가자 | 정경수 |
| [준수평가] 주관부서는 유효한 법규를 식별 및 관리하고 있는가? | 적합 |
| [준수평가] 적용부서의 사내표준 및 업무절차에 반영되어 있는가? | 적합 |
| [준수평가] 적용부서의 이행이 올바르게 진행되고 있는가? | 적합 |
| [준수평가] 법무검토 절차를 올바르게 이행했는가? | 적합 |
| [준수평가] 준수평가 이전 발생한 부적합 사항이 있는가? | 없음 |
1. 준수 평가
| 관리항목 | 법규 조항 | 준수 요구사항 | 벌금, 과태료 | 관리방법 (관련문서) | 주관 부서 | 해당부서 | 준수 평가 결과 | 조치내역 |
| 1. 개인정보 수집 시 동의 | 법 제15조 |
• (홈페이지) 회원가입, 이벤트 응모 시 수집 목적, 항목, 보유 기간, 동의 거부 권리를 명확히 알리고 동의를 받아야 함 . • (A/S) 고객 서비스(A/S) 접수 시 이름, 주소, 연락처 등 수집에 대한 동의 확보. • (주민등록번호) 법률(세금계산서 발행 등)에 근거하지 않는 한, 홈페이지 회원가입 등을 위해 주민등록번호 수집 금지 (법 제24조의2) .
|
• [과태료] 5천만원 이하 (동의 없이 수집) .
• [과태료] 3천만원 이하 (고지사항 누락) .
|
• (문서) 홈페이지/A/S 접수용 개인정보 수집·이용 동의서 (양식) • (시스템) 동의 여부/일시 기록 관리 |
솔루션 |
법무 / QA | 준수 | |
| 2. 안전조치 의무 이행 |
법 제29조
|
• 고객정보(A/S 이력, 회원 DB) 및 임직원 정보가 유출·분실·훼손되지 않도록 기술적/관리적 조치 이행: 1. 내부관리계획 수립. 2. 접근 통제 시스템 (권한 관리). 3. 고유식별정보(주민번호 등), 비밀번호의 암호화. 4. 접속기록 보관 및 위·변조 방지 (최소 1년 이상). 5. 보안프로그램(백신, 방화벽) 설치. |
• [형사 처벌] 2년 이하 징역 또는 2천만원 이하 벌금 (안전조치 미이행으로 정보 도난·유출 시) .
• [과태료] 3천만원 이하 (안전조치 의무 미이행) .
• [과징금] 관련 매출액의 3% 이하 (유출 시). |
• (문서) 개인정보 내부관리계획 • (시스템) DB 암호화 솔루션, 접근제어(IAM) 솔루션, 로그 관리 시스템(LMS) • (문서) 보안서버 구축 확인서 |
솔루션 |
전사 | 준수 | |
| 3. 개인정보 처리방침 공개 |
법 제30조 8
|
• 개인정보의 처리 목적, 항목, 보유 기간, 파기 절차, 위탁 현황, CPO 연락처 등이 포함된 **'개인정보 처리방침'**을 수립해야 함. • 해당 방침을 회사 홈페이지 등 정보주체가 쉽게 확인할 수 있는 곳에 지속적으로 공개해야 함. |
• [과태료] 1천만원 이하 (미공개 또는 부적정 공개 시) .
|
• (문서) 개인정보 처리방침 (최신 버전 유지) • (웹사이트) 홈페이지 하단 '개인정보 처리방침' 링크 게시 |
법무 / 솔루션 |
준수 | ||
| 4. 개인정보 보호책임자(CPO) 지정 |
법 제31조
|
• 개인정보 처리 업무를 총괄하는 **'개인정보 보호책임자(CPO)'**를 의무적으로 지정해야 함. • CPO의 성명(직책) 및 연락처를 홈페이지 등을 통해 공개해야 함. |
• [과태료] 1천만원 이하 (미지정 또는 연락처 미공개 시) .
|
• (문서) CPO 임명장 • (웹사이트) '개인정보 처리방침' 내 CPO 연락처 명시 |
법무 / 인사 |
준수 | ||
| 5. CCTV 설치 및 운영 |
법 제25조 12
|
• 공장, 사무실, 연구소 등 공개된 장소에 시설안전, 화재예방, 범죄예방 목적으로만 CCTV 설치 가능. • (녹음 금지) 영상과 함께 음성을 녹음하는 행위 절대 금지. • (안내판 부착) 설치 목적, 촬영 범위, 시간, 관리책임자 연락처가 포함된 안내판을 알아보기 쉽게 부착해야 함. |
• [형사 처벌] 3년 이하 징역 또는 3천만원 이하 벌금 (녹음 또는 설치 목적 위반 시) .
• [과태료] 3천만원 이하 (안내판 미설치 등) .
|
• (문서) 영상정보처리기기(CCTV) 운영·관리 방침 • (설치) 연구실, 공장, 사무실 입구에 CCTV 안내판 부착 |
총무 |
제조 / QA | 준수 | |
| 6. 업무 위탁 시 관리 |
법 제26조
|
• 컴퓨터 A/S(서비스센터), 배송(물류업체), 마케팅(대행사) 등 개인정보 처리를 위탁하는 경우, 위탁 사실과 수탁업체를 홈페이지(개인정보 처리방침)에 공개해야 함. • 수탁업체가 안전하게 정보를 처리하는지 교육하고 감독해야 함. |
• [과태료] 3천만원 이하 (위탁 내용 미공개 시) .
• (수탁사고 시) 위탁사의 직접 책임으로 간주됨. |
• (문서) 개인정보 처리 위·수탁 계약서 (표준 양식) • (웹사이트) '개인정보 처리방침' 내 위탁 현황 공개 • (기록) 수탁사 정기 점검/교육 실적 |
솔루션 |
법무 | 준수 | |
| 7. 개인정보 유출 시 신고/통지 |
법 제34조 17
|
• 해킹, 관리자 과실 등으로 고객 또는 임직원 정보가 유출되었음을 알게 된 경우, 지체 없이(중대 유출 시 72시간 내) 정보주체(고객)와 개인정보보호위원회(또는 KISA)에 신고 및 통지해야 함. |
• [과태료] 3천만원 이하 (지연 통지/신고 시) .
|
• (문서) 개인정보 유출 사고 대응 매뉴얼 (CERT/CSIRT) • (프로세스) 유출 인지 시 즉시 신고/통지 절차 |
솔루션 | 법무 | 준수 | |
| 8. 정보 파기 |
법 제21조
|
• 수집 목적 달성(예: A/S 보증기간 만료, 회원 탈퇴) 또는 보유 기간이 경과한 개인정보는 지체 없이 파기해야 함. • 1년간 서비스를 이용하지 않은 고객(휴면 계정)의 정보는 별도 분리 보관하거나 파기해야 함. |
• [과태료] 3천만원 이하 (미파기 시) .
|
• (정책) 개인정보 파기 절차서 • (시스템) 휴면 계정 자동 분리/파기 시스템 • (기록) 개인정보 파기 관리대장 |
솔루션 | QA | 준수 |
|
구 분 |
요 약 |
당사 적용현황 |
|
목적 |
이 법은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다. |
- |
| 의무 |
① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침 (이하 "개인정보 처리방침"이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일 에 대하여 개인정보 처리방침을 정한다
1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유 기간 3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다) 4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다) 5. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항 6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호 업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처 7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다) 8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항
② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우 에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방 법에 따라 공개하여야 한다.
③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체 결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적 용한다.
④ 행정안전부장관은 개인정보 처리방침의 작성지침을 정하여 개인정 보처리자에게 그 준수를 권장할 수 있다 |
홈페이지 개인정보처리방침 고시 |
| 개인정보 보호책임자 |
① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임 질 개인정보 보호책임자를 지정하여야 한다.
② 개인정보 보호책임자는 다음 각 호의 업무를 수행한다.
1. 개인정보 보호 계획의 수립 및 시행 2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선 3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제 4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축 5. 개인정보 보호 교육 계획의 수립 및 시행 6. 개인정보파일의 보호 및 관리ㆍ감독 7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무
③ 개인정보 보호책임자는 제2항 각 호의 업무를 수행함에 있어서 필 요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다.
④ 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여 야 하며, 필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고 하여야 한다.
⑤ 개인정보처리자는 개인정보 보호책임자가 제2항 각 호의 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서 는 아니 된다.
⑥ 개인정보 보호책임자의 지정요건, 업무, 자격요건, 그 밖에 필요한 사항은 대통령령으로 정한다. |
개인정보처리 담당자 및 책임자 발령 (내부 문서 보관) |
| 개인정보 보호 원칙 |
① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당 하게 수집하여야 한다.
② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합 하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여 서는 아니 된다.
③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인 정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보 주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인 정보를 안전하게 관리하여야 한다.
⑤ 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하 여야 한다.
⑥ 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
⑦ 개인정보처리자는 개인정보의 익명처리가 가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다.
⑧ 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노 력하여야 한다. |
개인정보처리 담당자 및 책임자 한국인터넷진흥원에서 진행하는 ‘개인정보보호교육’ 수료 |
댓글 6
-
[시행 2023. 9. 15.] [법률 제19234호, 2023. 3. 14., 일부개정]
◇ 개정이유
정보주체의 개인정보에 대한 통제권을 강화하기 위하여 정보주체가 개인정보처리자에게 자신의 개인정보를 정보주체 본인, 개인정보관리 전문기관 또는 안전조치의무를 이행하고 대통령령으로 정하는 시설 및 기술 기준을 충족하는 자에게 전송할 것을 요구할 수 있도록 하고, 인공지능 등을 이용한 자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우 정보주체가 이를 거부하거나 해당 결정에 대한 설명 등을 요구할 수 있도록 하며, 종전에 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에서 이관된 개인정보 보호 관련 규정이 온라인 사업자인 정보통신서비스 제공자에 대한 특례로 규정되어 동일한 행위에 대하여 온라인 사업자와 오프라인 사업자 간 적용되는 규정이 달라 불필요한 혼란이 발생한 점을 고려하여 관련 규정을 정비하는 한편,
개인정보의 국외 이전이 증가함에 따라 개인정보를 국외로 이전할 수 있는 경우를 확대하여 국제기준에 부합하도록 하는 등 현행 제도의 운영상 나타난 일부 미비점을 개선ㆍ보완함.
◇ 주요내용
가. 이동형 영상정보처리기기 운영 기준 마련(제2조제7호의2 및 제25조의2 신설)
1) CCTV와 같은 고정형 영상정보처리기기 외에 드론, 자율주행 자동차 등을 이용한 이동형 영상정보처리기기의 사용이 증가함에 따라, 이동형 영상정보처리기기의 정의를 마련함.
2) 이동형 영상정보처리기기로 공개된 장소에서 업무를 목적으로 사람 또는 그 사람과 관련된 사물의 영상을 촬영할 수 없도록 원칙적으로 금지하고, 예외적으로 촬영할 수 있는 경우를 정보주체의 동의를 받은 경우, 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우 등으로 정하며, 촬영을 하는 경우에는 불빛, 소리, 안내판 등으로 촬영 사실을 표시하도록 하는 등 이동형 영상정보처리기기의 운영 기준 등을 정함.
나. 정보주체는 인공지능 기술을 적용한 시스템을 포함하는 자동화된 시스템으로 개인정보를 처리하여 이루어지는 결정이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우에는 해당 결정을 거부하거나 해당 결정에 대한 설명 등을 요구할 수 있도록 함(제4조제6호 및 제37조의2 신설).
다. 개인정보 보호위원회로 하여금 매년 공공기관 등의 개인정보 보호 수준을 평가하고 그 결과를 바탕으로 개선을 권고할 수 있도록 함(제11조의2 신설).
라. 종전에는 개인정보처리자가 정보주체와 계약 체결 및 이행을 위하여 불가피하게 필요한 경우에만 개인정보를 수집할 수 있도록 하던 것을 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우, 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요한 경우에는 개인정보를 수집할 수 있도록 그 요건을 합리적으로 개선함(제15조제1항제4호ㆍ제5호, 같은 항 제7호 신설).
마. 개인정보의 국외 이전 및 국외 이전 중지 명령(제28조의8 및 제28조의9 신설)
1) 종전에는 정보주체의 별도 동의가 있는 경우에만 개인정보를 국외로 이전할 수 있도록 하던 것을 앞으로는 개인정보가 이전되는 국가 또는 국제기구가 이 법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준의 보호 수준을 갖추었다고 개인정보 보호위원회가 인정하는 경우 등에도 개인정보를 국외로 이전할 수 있도록 하여 국외 이전의 요건을 국제기준에 부합하도록 다양화 함.
2) 개인정보 보호위원회는 개인정보처리자가 이 법을 위반하여 개인정보를 국외로 이전하는 경우 등에는 해당 개인정보처리자에게 국외 이전을 중지할 것을 명할 수 있도록 함.
바. 개인정보 영향평가를 실시하는 평가기관의 지정취소 근거 및 사유를 규정하고, 지정취소를 하려는 경우 「행정절차법」상 청문 절차를 거치도록 함(제33조제7항ㆍ제8항 신설).
사. 정보주체가 개인정보처리자에게 그가 처리하는 자신의 개인정보를 정보주체 본인, 개인정보관리 전문기관 또는 안전조치의무를 이행하고 대통령령으로 정하는 시설 및 기술 기준을 충족하는 자에게 전송할 것을 요구할 수 있도록 하고, 개인정보 전송 요구의 요건 등을 정함(제35조의2 신설).
아. 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우 손해배상책임의 한도액을 종전 손해액의 3배에서 5배로 상향함(제39조제3항).
자. 이 법 위반에 따른 손해배상청구소송에 관하여 법원이 당사자의 신청에 따라 자료제출명령을 할 수 있도록 하고, 일정한 요건이 갖추어진 경우 법원이 당사자의 신청에 따라 비밀유지명령을 하거나 또는 그 명령을 취소할 수 있도록 함(제39조의3부터 제39조의5까지).
차. 정보통신서비스 제공자 등의 개인정보 처리에 관하여는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에서 이관된 특례 규정을 적용하도록 하던 것을 모든 개인정보처리자에 대하여 동일 행위에 동일 규제를 적용할 수 있도록 종전의 특례 규정을 삭제하고 이를 모든 개인정보처리자에 대한 일반 규정으로 정비함(현행 제39조의3부터 제39조의8까지 등 삭제).
카. 개인정보에 관한 분쟁조정제도 개선(제43조제3항, 제45조제2항부터 제4항까지 신설, 제47조제3항ㆍ제4항)
1) 분쟁조정의 통지를 받은 경우 특별한 사유가 없는 한 분쟁조정에 참여하여야 하는 대상을 공공기관에서 모든 개인정보처리자로 확대하고, 분쟁조정의 당사자가 개인정보 분쟁조정위원회로부터 조정안을 제시받은 날부터 15일 이내에 수락 여부를 알리지 아니할 경우 종전에는 조정을 거부한 것으로 간주하던 것을, 앞으로는 조정안을 수락한 것으로 간주하도록 분쟁조정제도를 개선함.
2) 개인정보 분쟁조정위원회는 사실 확인이 필요한 경우에는 사무기구의 소속 공무원 등으로 하여금 사건과 관련된 장소에 출입하여 자료를 조사하거나 열람하게 할 수 있고, 관계 기관 등에 자료 또는 의견의 제출 등 필요한 협조를 요청할 수 있도록 함.
타. 위반행위에 대한 과징금의 상한액을 전체 매출액의 100분의 3 이하에 해당하는 금액으로 하되, 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 금액을 기준으로 과징금을 산정하도록 함(제64조의2 신설).
파. 개인정보 영향평가를 실시하지 않거나 그 결과를 보호위원회에 제출하지 아니한 자에게 3천만원 이하의 과태료를 부과함(제75조제2항제16호 신설).
하. 손해배상책임 이행을 위해 보험 또는 공제에 가입하거나 준비금을 적립하도록 하는 규정을 위반한 개인정보처리자에 대해 과태료를 부과하는 규정을 삭제함(현행 제75조제3항제1호 삭제). -
입법 예고 [시행 2024. 3. 15.] [법률 제19234호, 2023. 3. 14., 일부개정]
-
[시행 2024. 3. 15.] [법률 제19234호, 2023. 3. 14., 일부개정]
◇ 개정이유
정보주체의 개인정보에 대한 통제권을 강화하기 위하여 정보주체가 개인정보처리자에게 자신의 개인정보를 정보주체 본인, 개인정보관리 전문기관 또는 안전조치의무를 이행하고 대통령령으로 정하는 시설 및 기술 기준을 충족하는 자에게 전송할 것을 요구할 수 있도록 하고, 인공지능 등을 이용한 자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우 정보주체가 이를 거부하거나 해당 결정에 대한 설명 등을 요구할 수 있도록 하며, 종전에 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에서 이관된 개인정보 보호 관련 규정이 온라인 사업자인 정보통신서비스 제공자에 대한 특례로 규정되어 동일한 행위에 대하여 온라인 사업자와 오프라인 사업자 간 적용되는 규정이 달라 불필요한 혼란이 발생한 점을 고려하여 관련 규정을 정비하는 한편,
개인정보의 국외 이전이 증가함에 따라 개인정보를 국외로 이전할 수 있는 경우를 확대하여 국제기준에 부합하도록 하는 등 현행 제도의 운영상 나타난 일부 미비점을 개선ㆍ보완함.
◇ 주요내용
가. 이동형 영상정보처리기기 운영 기준 마련(제2조제7호의2 및 제25조의2 신설)
1) CCTV와 같은 고정형 영상정보처리기기 외에 드론, 자율주행 자동차 등을 이용한 이동형 영상정보처리기기의 사용이 증가함에 따라, 이동형 영상정보처리기기의 정의를 마련함.
2) 이동형 영상정보처리기기로 공개된 장소에서 업무를 목적으로 사람 또는 그 사람과 관련된 사물의 영상을 촬영할 수 없도록 원칙적으로 금지하고, 예외적으로 촬영할 수 있는 경우를 정보주체의 동의를 받은 경우, 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우 등으로 정하며, 촬영을 하는 경우에는 불빛, 소리, 안내판 등으로 촬영 사실을 표시하도록 하는 등 이동형 영상정보처리기기의 운영 기준 등을 정함.
나. 정보주체는 인공지능 기술을 적용한 시스템을 포함하는 자동화된 시스템으로 개인정보를 처리하여 이루어지는 결정이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우에는 해당 결정을 거부하거나 해당 결정에 대한 설명 등을 요구할 수 있도록 함(제4조제6호 및 제37조의2 신설).
다. 개인정보 보호위원회로 하여금 매년 공공기관 등의 개인정보 보호 수준을 평가하고 그 결과를 바탕으로 개선을 권고할 수 있도록 함(제11조의2 신설).
라. 종전에는 개인정보처리자가 정보주체와 계약 체결 및 이행을 위하여 불가피하게 필요한 경우에만 개인정보를 수집할 수 있도록 하던 것을 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우, 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요한 경우에는 개인정보를 수집할 수 있도록 그 요건을 합리적으로 개선함(제15조제1항제4호ㆍ제5호, 같은 항 제7호 신설).
마. 개인정보의 국외 이전 및 국외 이전 중지 명령(제28조의8 및 제28조의9 신설)
1) 종전에는 정보주체의 별도 동의가 있는 경우에만 개인정보를 국외로 이전할 수 있도록 하던 것을 앞으로는 개인정보가 이전되는 국가 또는 국제기구가 이 법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준의 보호 수준을 갖추었다고 개인정보 보호위원회가 인정하는 경우 등에도 개인정보를 국외로 이전할 수 있도록 하여 국외 이전의 요건을 국제기준에 부합하도록 다양화 함.
2) 개인정보 보호위원회는 개인정보처리자가 이 법을 위반하여 개인정보를 국외로 이전하는 경우 등에는 해당 개인정보처리자에게 국외 이전을 중지할 것을 명할 수 있도록 함.
바. 개인정보 영향평가를 실시하는 평가기관의 지정취소 근거 및 사유를 규정하고, 지정취소를 하려는 경우 「행정절차법」상 청문 절차를 거치도록 함(제33조제7항ㆍ제8항 신설).
사. 정보주체가 개인정보처리자에게 그가 처리하는 자신의 개인정보를 정보주체 본인, 개인정보관리 전문기관 또는 안전조치의무를 이행하고 대통령령으로 정하는 시설 및 기술 기준을 충족하는 자에게 전송할 것을 요구할 수 있도록 하고, 개인정보 전송 요구의 요건 등을 정함(제35조의2 신설).
아. 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우 손해배상책임의 한도액을 종전 손해액의 3배에서 5배로 상향함(제39조제3항).
자. 이 법 위반에 따른 손해배상청구소송에 관하여 법원이 당사자의 신청에 따라 자료제출명령을 할 수 있도록 하고, 일정한 요건이 갖추어진 경우 법원이 당사자의 신청에 따라 비밀유지명령을 하거나 또는 그 명령을 취소할 수 있도록 함(제39조의3부터 제39조의5까지).
차. 정보통신서비스 제공자 등의 개인정보 처리에 관하여는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에서 이관된 특례 규정을 적용하도록 하던 것을 모든 개인정보처리자에 대하여 동일 행위에 동일 규제를 적용할 수 있도록 종전의 특례 규정을 삭제하고 이를 모든 개인정보처리자에 대한 일반 규정으로 정비함(현행 제39조의3부터 제39조의8까지 등 삭제).
카. 개인정보에 관한 분쟁조정제도 개선(제43조제3항, 제45조제2항부터 제4항까지 신설, 제47조제3항ㆍ제4항)
1) 분쟁조정의 통지를 받은 경우 특별한 사유가 없는 한 분쟁조정에 참여하여야 하는 대상을 공공기관에서 모든 개인정보처리자로 확대하고, 분쟁조정의 당사자가 개인정보 분쟁조정위원회로부터 조정안을 제시받은 날부터 15일 이내에 수락 여부를 알리지 아니할 경우 종전에는 조정을 거부한 것으로 간주하던 것을, 앞으로는 조정안을 수락한 것으로 간주하도록 분쟁조정제도를 개선함.
2) 개인정보 분쟁조정위원회는 사실 확인이 필요한 경우에는 사무기구의 소속 공무원 등으로 하여금 사건과 관련된 장소에 출입하여 자료를 조사하거나 열람하게 할 수 있고, 관계 기관 등에 자료 또는 의견의 제출 등 필요한 협조를 요청할 수 있도록 함.
타. 위반행위에 대한 과징금의 상한액을 전체 매출액의 100분의 3 이하에 해당하는 금액으로 하되, 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 금액을 기준으로 과징금을 산정하도록 함(제64조의2 신설).
파. 개인정보 영향평가를 실시하지 않거나 그 결과를 보호위원회에 제출하지 아니한 자에게 3천만원 이하의 과태료를 부과함(제75조제2항제16호 신설).
하. 손해배상책임 이행을 위해 보험 또는 공제에 가입하거나 준비금을 적립하도록 하는 규정을 위반한 개인정보처리자에 대해 과태료를 부과하는 규정을 삭제함(현행 제75조제3항제1호 삭제). -
[시행 2025. 3. 13.] [법률 제19234호, 2023. 3. 14., 일부개정]
- ◇ 개정이유
정보주체의 개인정보에 대한 통제권을 강화하기 위하여 정보주체가 개인정보처리자에게 자신의 개인정보를 정보주체 본인, 개인정보관리 전문기관 또는 안전조치의무를 이행하고 대통령령으로 정하는 시설 및 기술 기준을 충족하는 자에게 전송할 것을 요구할 수 있도록 하고, 인공지능 등을 이용한 자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우 정보주체가 이를 거부하거나 해당 결정에 대한 설명 등을 요구할 수 있도록 하며, 종전에 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에서 이관된 개인정보 보호 관련 규정이 온라인 사업자인 정보통신서비스 제공자에 대한 특례로 규정되어 동일한 행위에 대하여 온라인 사업자와 오프라인 사업자 간 적용되는 규정이 달라 불필요한 혼란이 발생한 점을 고려하여 관련 규정을 정비하는 한편,
개인정보의 국외 이전이 증가함에 따라 개인정보를 국외로 이전할 수 있는 경우를 확대하여 국제기준에 부합하도록 하는 등 현행 제도의 운영상 나타난 일부 미비점을 개선ㆍ보완함.
◇ 주요내용
가. 이동형 영상정보처리기기 운영 기준 마련(제2조제7호의2 및 제25조의2 신설)
1) CCTV와 같은 고정형 영상정보처리기기 외에 드론, 자율주행 자동차 등을 이용한 이동형 영상정보처리기기의 사용이 증가함에 따라, 이동형 영상정보처리기기의 정의를 마련함.
2) 이동형 영상정보처리기기로 공개된 장소에서 업무를 목적으로 사람 또는 그 사람과 관련된 사물의 영상을 촬영할 수 없도록 원칙적으로 금지하고, 예외적으로 촬영할 수 있는 경우를 정보주체의 동의를 받은 경우, 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우 등으로 정하며, 촬영을 하는 경우에는 불빛, 소리, 안내판 등으로 촬영 사실을 표시하도록 하는 등 이동형 영상정보처리기기의 운영 기준 등을 정함.
나. 정보주체는 인공지능 기술을 적용한 시스템을 포함하는 자동화된 시스템으로 개인정보를 처리하여 이루어지는 결정이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우에는 해당 결정을 거부하거나 해당 결정에 대한 설명 등을 요구할 수 있도록 함(제4조제6호 및 제37조의2 신설).
다. 개인정보 보호위원회로 하여금 매년 공공기관 등의 개인정보 보호 수준을 평가하고 그 결과를 바탕으로 개선을 권고할 수 있도록 함(제11조의2 신설).
라. 종전에는 개인정보처리자가 정보주체와 계약 체결 및 이행을 위하여 불가피하게 필요한 경우에만 개인정보를 수집할 수 있도록 하던 것을 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우, 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요한 경우에는 개인정보를 수집할 수 있도록 그 요건을 합리적으로 개선함(제15조제1항제4호ㆍ제5호, 같은 항 제7호 신설).
마. 개인정보의 국외 이전 및 국외 이전 중지 명령(제28조의8 및 제28조의9 신설)
1) 종전에는 정보주체의 별도 동의가 있는 경우에만 개인정보를 국외로 이전할 수 있도록 하던 것을 앞으로는 개인정보가 이전되는 국가 또는 국제기구가 이 법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준의 보호 수준을 갖추었다고 개인정보 보호위원회가 인정하는 경우 등에도 개인정보를 국외로 이전할 수 있도록 하여 국외 이전의 요건을 국제기준에 부합하도록 다양화 함.
2) 개인정보 보호위원회는 개인정보처리자가 이 법을 위반하여 개인정보를 국외로 이전하는 경우 등에는 해당 개인정보처리자에게 국외 이전을 중지할 것을 명할 수 있도록 함.
바. 개인정보 영향평가를 실시하는 평가기관의 지정취소 근거 및 사유를 규정하고, 지정취소를 하려는 경우 「행정절차법」상 청문 절차를 거치도록 함(제33조제7항ㆍ제8항 신설).
사. 정보주체가 개인정보처리자에게 그가 처리하는 자신의 개인정보를 정보주체 본인, 개인정보관리 전문기관 또는 안전조치의무를 이행하고 대통령령으로 정하는 시설 및 기술 기준을 충족하는 자에게 전송할 것을 요구할 수 있도록 하고, 개인정보 전송 요구의 요건 등을 정함(제35조의2 신설).
아. 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우 손해배상책임의 한도액을 종전 손해액의 3배에서 5배로 상향함(제39조제3항).
자. 이 법 위반에 따른 손해배상청구소송에 관하여 법원이 당사자의 신청에 따라 자료제출명령을 할 수 있도록 하고, 일정한 요건이 갖추어진 경우 법원이 당사자의 신청에 따라 비밀유지명령을 하거나 또는 그 명령을 취소할 수 있도록 함(제39조의3부터 제39조의5까지).
차. 정보통신서비스 제공자 등의 개인정보 처리에 관하여는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에서 이관된 특례 규정을 적용하도록 하던 것을 모든 개인정보처리자에 대하여 동일 행위에 동일 규제를 적용할 수 있도록 종전의 특례 규정을 삭제하고 이를 모든 개인정보처리자에 대한 일반 규정으로 정비함(현행 제39조의3부터 제39조의8까지 등 삭제).
카. 개인정보에 관한 분쟁조정제도 개선(제43조제3항, 제45조제2항부터 제4항까지 신설, 제47조제3항ㆍ제4항)
1) 분쟁조정의 통지를 받은 경우 특별한 사유가 없는 한 분쟁조정에 참여하여야 하는 대상을 공공기관에서 모든 개인정보처리자로 확대하고, 분쟁조정의 당사자가 개인정보 분쟁조정위원회로부터 조정안을 제시받은 날부터 15일 이내에 수락 여부를 알리지 아니할 경우 종전에는 조정을 거부한 것으로 간주하던 것을, 앞으로는 조정안을 수락한 것으로 간주하도록 분쟁조정제도를 개선함.
2) 개인정보 분쟁조정위원회는 사실 확인이 필요한 경우에는 사무기구의 소속 공무원 등으로 하여금 사건과 관련된 장소에 출입하여 자료를 조사하거나 열람하게 할 수 있고, 관계 기관 등에 자료 또는 의견의 제출 등 필요한 협조를 요청할 수 있도록 함.
타. 위반행위에 대한 과징금의 상한액을 전체 매출액의 100분의 3 이하에 해당하는 금액으로 하되, 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 금액을 기준으로 과징금을 산정하도록 함(제64조의2 신설).
파. 개인정보 영향평가를 실시하지 않거나 그 결과를 보호위원회에 제출하지 아니한 자에게 3천만원 이하의 과태료를 부과함(제75조제2항제16호 신설).
하. 손해배상책임 이행을 위해 보험 또는 공제에 가입하거나 준비금을 적립하도록 하는 규정을 위반한 개인정보처리자에 대해 과태료를 부과하는 규정을 삭제함(현행 제75조제3항제1호 삭제).
<법제처 제공>
【관보정정】
- ○ 법률제19234호(개인정보 보호법 일부개정법률 중 정정)
관보 제20458호(2023. 03. 14.) 에 게재된 법률제19234호(개인정보 보호법 일부개정법률) 중 오류사항이 있어 다음과 같이 정정합니다.
2023년 4월 4일
법제처장
- ◇ 개정이유
-
[시행 2025. 10. 2.] [법률 제20897호, 2025. 4. 1., 일부개정]
◇ 개정이유 및 주요내용
국내에 주소 또는 영업소가 없는 개인정보처리자가 국내대리인을 지정하는 경우, 해당 개인정보처리자가 설립한 국내 법인이나 해당 개인정보처리자가 임원 구성, 사업 운영 등에 지배적인 영향력을 행사하는 국내 법인이 있는 경우에는 그 법인 중에서 국내대리인을 지정하도록 하고, 이를 위반하여 국내대리인을 지정하는 경우 2천만원 이하의 과태료를 부과하는 한편,
국내대리인을 지정한 개인정보처리자에게 국내대리인을 관리ㆍ감독할 의무를 부여하고, 이를 위반하는 경우 2천만원 이하의 과태료를 부과하며, 국내대리인의 성명ㆍ주소ㆍ전화번호 및 전자우편 주소를 개인정보처리방침에 포함하지 아니한 경우 1천만원 이하의 과태료를 부과하는 등 국내대리인 제도를 내실 있게 운영하기 위하여 현행 제도의 운영상 나타난 일부 미비점을 개선ㆍ보완함.
| 적용부서 | 제목 | 제정/개정일 | 시행일 | 입법예고일 | 관리부서 |
|---|---|---|---|---|---|
| 전사 | 단체표준 인증_정부조달컴퓨터 | 2025-01-03 | 2019-01-18 | QA,기타 | |
| 기타 | 중소기업자간 경쟁제품 직접생산 확인 기준_컴퓨터 [4] | 2025-11-19 | 2025-11-19 | 기타 | |
| 전사 | 중대재해 처벌 등에 관한 법률 | 2021-01-26 | 2022-01-27 | QA | |
| 전사 | 산업안전보건법 [5] | 2025-10-01 | 2025-10-01 | QA,총무 | |
| 개발,제품기획 | 제품 규제사항 준수평가 (2025년) | 2025-11-20 | 2025-04-05 | 개발 | |
| 전사 | 법규 및 이해관계자의 요구사항 관리 절차서 [3] | 2024-03-13 | 2019-01-01 | 법무 | |
| 전사 | 산업재해보상보험법 [10] | 2024-10-22 | 2025-01-01 | 2026-02-12 | 인사,총무 |
| 전사 | 남녀고용평등과 일ㆍ가정 양립 지원에 관한 법률 [4] | 2025-10-01 | 2025-10-01 | 인사 | |
| 전사 | 근로자참여 및 협력증진에 관한 법률 [3] | 2022-06-10 | 2022-12-11 | 인사 | |
| 전사 | 근로복지기본법 [2] | 2022-06-10 | 2023-06-11 | 인사 | |
| 전사 | 근로기준법 [7] | 2024-10-22 | 2025-10-23 | 인사 | |
| 전사 | 고용보험법 [8] | 2025-10-01 | 2025-10-01 | 2026-05-12 | 인사 |
| 전사 | 소방시설 설치 및 관리에 관한 법률 [6] | 2021-11-30 | 2024-12-01 | 총무 | |
| 전사 | 법규관리 MASTER 및 준수평가 (2025년 Q3) | 2025-11-20 | 2019-09-01 | 법무 | |
| 개발,제품기획,경영기획 |
디자인보호법
[6]  | 2025-05-27 | 2025-11-28 | 경영기획 | |
| 경영기획 |
자본시장과 금융투자업에 관한 법률
[10] | 2025-11-11 | 2025-11-11 | 2026-03-17 | 경영기획 |
| 마케팅 |
중소기업제품 구매촉진 및 판로지원에 관한 법률
[4] | 2024-02-20 | 2024-08-21 | 마케팅 | |
| 마케팅,경영기획 |
중소기업기본법
[2] | 2024-02-27 | 2024-08-28 | 마케팅 | |
| QA,영업,구매 |
하도급거래 공정화에 관한 법률
[9] | 2025-04-01 | 2025-10-02 | 구매 | |
| 재무,구매 |
관세법
[7] | 2025-11-11 | 2025-11-11 | 구매 | |
| 인사 |
국민연금법
[9] | 2025-11-11 | 2025-11-11 | 2026-01-01 | 인사 |
| 인사 |
국민건강보험법
[9] | 2024-10-22 | 2025-04-23 | 인사 | |
| 제조,인사 |
파견근로자보호 등에 관한 법률
[2] | 2020-12-08 | 2020-12-08 | 인사 | |
| 인사 |
최저임금법
[1] | 2020-05-26 | 2020-05-26 | 인사 | |
| 인사 |
장애인고용촉진 및 직업재활법
[2] | 2025-11-11 | 2025-11-11 | 인사 | |
| 인사 |
근로자퇴직급여 보장법
[2] | 2025-11-11 | 2025-11-11 | 인사 | |
| 마케팅,영업,인사 |
개인정보 보호법
[6] | 2025-04-01 | 2025-10-02 | 마케팅 | |
| 총무 |
지방세법
[8] | 2025-10-01 | 2025-10-01 | 2026-01-02 | 총무 |
| 총무 |
대기환경보전법
[11] | 2025-03-25 | 2025-03-25 | 2026-03-26 | 총무 |
| QA,개발 |
연구실 안전환경 조성에 관한 법률
[4] | 2025-01-31 | 2025-01-31 | 개발 | |
| 총무 |
상가건물 임대차 보호법
[2] | 2022-01-04 | 2022-01-04 | 2026-05-12 | 총무 |
| 개발,총무 |
전기ㆍ전자제품 및 자동차의 자원순환에 관한 법률
[5] | 2025-10-01 | 2025-10-01 | 개발,총무 | |
| 개발,제품기획 |
(환경부) 녹색인증제 운영요령
[2] | 2023-11-23 | 2023-11-23 | 개발 | |
| 개발,제품기획 |
기후위기 대응을 위한 탄소중립ㆍ녹색성장 기본법 시행령
[3] | 2025-10-21 | 2025-10-23 | 개발 | |
| 개발,제품기획 |
환경표지인증에 관한 업무규정
| 2024-06-10 | 2024-06-10 | 개발 | |
| 개발,제품기획 |
환경기술 및 환경산업 지원법
[3] | 2025-10-01 | 2025-10-01 | 2026-03-19 | 개발 |
| 개발,제품기획 |
전기용품 및 생활용품 안전관리 운용요령
[4] | 2024-04-18 | 2024-04-18 | 2025-12-04 | 개발 |
입법예고 [시행 2020. 8. 5.] [법률 제16930호, 2020. 2. 4., 일부개정]