- ITㆍ정보ㆍ방송통신
- 개인정보ㆍ위치정보ㆍ신용정보
- 108. 개인정보 유출 등의 통지, 신고
- 108.1. 개인정보 유출 등의 통지 의무
이 페이지의 첫 번째 전문가가 되어주세요!
OOO 변호사
OOO 검사
OOO 법학박사
OOO 판사
위키를 작성하면 이 곳에 프로필이 표시됩니다.
프로필은 본인 닉네임 클릭 > ‘내정보관리’에서 설정할 수 있습니다.
108.1.개인정보 유출 등의 통지 의무
개인정보 유출 등의 통지 의무
[원칙]
개인정보처리자는 개인정보가 분실, 도난, 유출(이하 "유출등")되었음을 알게 된 경우에는, 해당 정보주체에게,
지체없이(=72시간 이내에),
1. 유출등이 된 개인정보의 항목,
2. 유출등이 된 시점과 그 경위,
3. 유출등으로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보,
4. 개인정보처리자의 대응조치 및 피해 구제절차,
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처를
서면등의 방법으로(=서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법. 개인정보보호법 제17조 제5항) 통지하여야 한다(개인정보보호법 제34조 제1항, 제4항, 개인정보보호법 시행령 제39조 제1항 각호외부분 본문).
[예외]
다만, 1. 유출등이 된 개인정보의 확산 및 추가 유출등을 방지하기 위하여 접속경로의 차단, 취약점 점검ㆍ보완, 유출등이 된 개인정보의 회수ㆍ삭제 등 긴급한 조치가 필요한 경우, 또는 2. 천재지변이나 그 밖에 부득이한 사유로 인하여 72시간 이내에 통지하기 곤란한 경우에는, 해당 사유가 해소된 후 지체 없이 정보주체에게 통지할 수 있다(개인정보보호법 제34조 제4항, 개인정보보호법 시행령 제39조 제1항 단서 및 각호).
또한, 위 5가지 사항 중 1. 유출등이 된 개인정보의 항목, 2. 유출등이 된 시점과 그 경위에 관한 구체적인 내용을 확인하지 못한 경우에는 개인정보가 유출등이 된 사실, 그때까지 확인된 내용 및 3. 유출등으로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보, 4. 개인정보처리자의 대응조치 및 피해 구제절차, 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처까지의 사항을 우선 통지해야 하며, 추가로 확인되는 내용에 대해서는 확인되는 즉시 통지해야 한다(개인정보보호법 제34조 제4항, 개인정보보호법 시행령 제39조 제2항).
나아가, 정보주체의 연락처를 알 수 없는 경우 등 정당한 사유가 있는 경우에는 위 5가지 사항을 정보주체가 쉽게 알 수 있도록 자신의 인터넷 홈페이지에 30일 이상 게시하는 것으로 위 통지를 갈음할 수 있다. 만일, 인터넷 홈페이지를 운영하지 아니하는 개인정보처리자의 경우라면 사업장등의 보기 쉬운 장소에 위 5가지 사항을 30일 이상 게시하는 것으로 위 통지를 갈음할 수 있다(개인정보보호법 제34조 제1항 각호외부분 단서, 개인정보보호법 시행령 제39조 제3항).
개인정보보호법 제34조(개인정보 유출 등의 통지ㆍ신고) ① 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출(이하 이 조에서 “유출등”이라 한다)되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사항을 알려야 한다. 다만, 정보주체의 연락처를 알 수 없는 경우 등 정당한 사유가 있는 경우에는 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다. <개정 2023. 3. 14.> 1. 유출등이 된 개인정보의 항목 2. 유출등이 된 시점과 그 경위 3. 유출등으로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 4. 개인정보처리자의 대응조치 및 피해 구제절차 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처 ④ 제1항에 따른 유출등의 통지 및 제3항에 따른 유출등의 신고의 시기, 방법, 절차 등에 필요한 사항은 대통령령으로 정한다. <개정 2023. 3. 14.> [제목개정 2023. 3. 14.]
개인정보보호법 시행령 제39조(개인정보 유출 등의 통지) ① 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출(이하 이 조 및 제40조에서 “유출등”이라 한다)되었음을 알게 되었을 때에는 서면등의 방법으로 72시간 이내에 법 제34조제1항 각 호의 사항을 정보주체에게 알려야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 해당 사유가 해소된 후 지체 없이 정보주체에게 알릴 수 있다. 1. 유출등이 된 개인정보의 확산 및 추가 유출등을 방지하기 위하여 접속경로의 차단, 취약점 점검ㆍ보완, 유출등이 된 개인정보의 회수ㆍ삭제 등 긴급한 조치가 필요한 경우 2. 천재지변이나 그 밖에 부득이한 사유로 인하여 72시간 이내에 통지하기 곤란한 경우 ② 제1항에도 불구하고 개인정보처리자는 같은 항에 따른 통지를 하려는 경우로서 법 제34조제1항제1호 또는 제2호의 사항에 관한 구체적인 내용을 확인하지 못한 경우에는 개인정보가 유출등이 된 사실, 그때까지 확인된 내용 및 같은 항 제3호부터 제5호까지의 사항을 서면등의 방법으로 우선 통지해야 하며, 추가로 확인되는 내용에 대해서는 확인되는 즉시 통지해야 한다. <개정 2024. 3. 12.> ③ 제1항 및 제2항에도 불구하고 개인정보처리자는 정보주체의 연락처를 알 수 없는 경우 등 정당한 사유가 있는 경우에는 법 제34조제1항 각 호 외의 부분 단서에 따라 같은 항 각 호의 사항을 정보주체가 쉽게 알 수 있도록 자신의 인터넷 홈페이지에 30일 이상 게시하는 것으로 제1항 및 제2항의 통지를 갈음할 수 있다. 다만, 인터넷 홈페이지를 운영하지 아니하는 개인정보처리자의 경우에는 사업장등의 보기 쉬운 장소에 법 제34조제1항 각 호의 사항을 30일 이상 게시하는 것으로 제1항 및 제2항의 통지를 갈음할 수 있다. [전문개정 2023. 9. 12.] [제40조에서 이동, 종전 제39조는 제40조로 이동 <2023. 9. 12.>] |
