216.

[고시] 개인정보 보호 자율규제단체 지정 및 운영 등에 관한 규정 [시행 2025. 5. 22.] [개인정보보호위원회고시 , 2025. 5. 22., 일부개정]

• 새 탭 열기
• 작성 이력 보기

개인정보 보호 자율규제단체 지정 및 운영 등에 관한 규정 

[시행 2025. 5. 22.] [개인정보보호위원회고시 , 2025. 5. 22., 일부개정]

제1장 총칙

제1조(목적) 이 규정은 「개인정보 보호법」(이하 "법"이라 한다) 제5조제4항, 제13조제2호, 제4호 및 제5호와 같은 법 시행령 제14조에 따라 개인정보 보호와 관련하여 자율규제를 수행하는 단체(이하 "자율규제단체"라 한다)의 지정과 운영 등에 관한 사항을 정함으로써 개인정보처리자의 자율적인 개인정보 보호활동을 촉진하고 이를 지원하고자 함을 목적으로 한다.  

제2조(적용범위) 다음 각 호의 자는 자율규제단체의 지정ㆍ승인 및 지정ㆍ승인취소, 개인정보 보호 자율규제위원회 구성 등에 관하여 다른 법령에 특별히 정한 경우를 제외하고는 이 규정에서 정하는 바에 따른다.  

1. 제7조에 따라 자율규제단체로 지정된 협회ㆍ단체, 자율규제단체에 소속된 개인정보처리자(이하 "소속 개인정보처리자"라 한다)

2. 제15조에 따라 지정된 전문기관

제3조(자율규제단체 등의 책무) 자율규제단체와 소속 개인정보처리자는 자율적인 개인정보 보호 활동을 함에 있어서 다음 각 호 사항을 준수하여야 한다.  

1. 자율규제단체와 그 소속 개인정보처리자는 상호 신뢰와 합의에 기초하여 자율규제 규약을 마련하여 준수한다.

2. 자율규제단체는 그 소속 개인정보처리자가 개인정보 보호 활동에 자발적으로 참여할 수 있도록 노력한다.

3. 자율규제단체는 개인정보 보호 활동의 전문성을 확보하기 위하여 필요한 인력과 예산을 확보하도록 노력하여야 한다.

4. 자율규제단체는 소속 개인정보처리자가 개인정보 보호 관련 법령에 따라 안전하게 개인정보의 처리를 할 수 있도록 필요한 지원과 노력을 하여야 한다.

5. 자율규제단체와 그 소속 개인정보처리자는 법 제3조의 개인정보 보호 원칙을 준수하여야 한다.

제2장 개인정보보호 자율규제위원회

제4조(개인정보보호 자율규제위원회) 개인정보 보호위원회(이하 "보호위원회"라 한다)는 자율규제단체의 지정 및 운영 등에 관한 다음 각 호의 업무를 심의하기 위하여 개인정보보호 자율규제위원회(이하 "자율규제위원회"라 한다)를 둘 수 있다.  

1. 자율규제단체의 지정ㆍ승인 및 지정ㆍ승인 취소에 관한 사항

2. 제10조에 따라 자율규제단체가 작성하여 공표하는 자율규약에 관한 사항

3. 보호위원회 및 제15조에 따른 전문기관의 연간계획 중 자율규제와 관련된 내용의 수립 및 집행에 관한 사항

4. 제13조의 연간 개인정보 보호 수행계획 및 결과에 관한 사항

5. 제14조의 개인정보 보호 수행계획에 따른 결과의 평가에 관한 사항

6. 그 밖에 자율규제단체의 개인정보 보호 활동에 관하여 필요한 사항

제5조(자율규제위원회 구성 등) ① 자율규제위원회는 보호위원회, 개인정보 보호와 자율규제에 관하여 학식 또는 경험이 풍부한 전문가로 구성하며 위원은 다음 각 호에 해당하는 자로 하되, 위원장 1명을 포함한 13인 이내로 한다.  

1. 보호위원회 사무처 개인정보정책국장

2. 관련 학계 전문가 3인 이내

3. 관련 법조계 전문가 3인 이내

4. 관련 산업계 전문가 3인 이내

5. 관련 시민단체 전문가 3인 이내

② 위원장은 자율규제위원회의 업무를 총괄하며 제1항제3호부터 제5호까지 전문가 1인 중 보호위원회 위원장이 위촉한다.

③ 공동간사는 개인정보 보호 자율규제를 담당하는 보호위원회 부서장과 제15조제2항에 따라 지정된 한국인터넷진흥원 개인정보 보호 자율규제를 담당하는 부서장으로 한다.

④ 위원의 임기는 2년으로 하되, 연임할 수 있다.

⑤ 자율규제위원회의 회의는 위원장이 필요하다고 인정하거나 재적 위원 3분의 1 이상의 요구가 있는 경우에 위원장이 소집한다.

⑥ 자율규제위원회가 필요하다고 판단하는 경우 자율규제위원회의 회의에 관계부처 공무원, 제15조제3항에 따라 지정된 전문기관 및 자율규제단체의 임직원을 참여하게 할 수 있다.

제6조(행정기관 등에 대한 협조요청) ① 자율규제위원회는 제4조 각 호의 업무를 위하여 필요한 경우 행정기관이나 전문기관 또는 전문가의 의견 청취, 자율규제단체에 대한 자료 및 의견 제출 등의 협조를 요청할 수 있다.  
② 행정기관이나 자율규제단체는 제1항에 따른 요청을 받은 경우 이에 적극 응하여야 한다.

제3장 자율규제단체의 지정 등

제7조(자율규제단체의 지정) ① 자율규제단체는 다음 각 호의 단체로 구분한다.  

1. 보호위원회로부터 지정을 받은 자율규제단체(이하 "개인정보 자율규제단체")

2. 자율규제 규약을 정하여 보호위원회로부터 승인을 받은 자율규제단체(이하 "민관협력 자율규제단체")

② 제1항 제1호에 따라 개인정보 자율규제단체로 지정받고자 하는 협회ㆍ단체는 별지 제1호 서식의 자율규제단체 지정신청서와 제13조에 따른 연간 수행계획을 보호위원회에 제출하여야 한다.

③ 보호위원회는 제2항의 신청서를 제출한 협회ㆍ단체가 자율적 개인정보 보호활동 역량이 있는지 여부에 대하여 제4조에 따른 자율규제위원회의 검토를 거쳐 별표에 따라 심사한다.

④ 보호위원회는 제3항에 따른 심사 결과 기준에 적합하다고 판단되는 협회ㆍ단체를 개인정보 자율규제단체로 지정할 수 있다.

⑤ 민관협력 자율규제단체는 제9조제1호 및 제2호, 제13조제1항 규정의 적용을 제외할 수 있다.

⑥ 보호위원회는 제1항에 따라 개인정보 자율규제단체를 지정하거나 민관협력 자율규제단체를 승인하는 경우 별지 제2호의 자율규제단체 지정서를 발급한다.

제8조(자율규제단체의 지정 취소) ① 보호위원회는 자율규제단체가 다음 각 호의 어느 하나에 해당하는 경우 자율규제단체 지정 또는 승인을 취소할 수 있다.  

1. 허위 또는 부정한 방법으로 제7조의 지정 또는 승인을 받은 경우

2. 자율규제단체가 제9조에 따른 업무를 허위 또는 불성실하게 수행하였음이 인정되는 경우

3. 자율규제단체 운영을 통해 알게 된 정보를 부당하게 이용한 경우

4. 권한 오남용, 직무상 의무 위반 등 지정 유지가 부적합하다고 인정되는 경우

5. 자율규제단체가 제12조의2제1항에 따른 소속 개인정보처리자의 참여 제한을 정당한 이유 없이 이행하지 않아 제12조의2제2항의 심사를 거친 경우

6. 제13조에 따른 연간 수행계획 및 결과 보고를 제출하지 않거나, 관련 자료 제출 요청에 응하지 않은 경우

7. 제2항에 따라 자율규제단체의 지정 또는 승인 취소 신청이 있는 경우

② 자율규제단체는 자율규제단체 지정 또는 승인의 취소를 원하는 경우 지정 또는 승인의 취소를 보호위원회에 신청할 수 있다.

제9조(자율규제단체의 업무) 자율규제단체는 소속 개인정보처리자의 자율적인 개인정보 보호 활동을 지원하기 위하여 다음 각 호의 업무를 수행하도록 노력하여야 한다.  

1. 연간 개인정보 보호 자율규제 수행계획 수립

2. 개인정보 보호 교육 및 홍보 활동

3. 개인정보 보호 자율규제 규약 제정ㆍ개정

4. 개인정보 자율점검 및 컨설팅

5. 그 밖의 소속 개인정보처리자의 개인정보 보호 활동에 관하여 필요한 업무

제4장 자율규제단체의 업무

제10조(자율규제 규약) ① 자율규제단체는 소속 개인정보처리자의 개인정보 처리 특성을 고려하여 개인정보 보호에 필요한 규약(이하 "자율규제 규약"이라 한다)을 작성하고 공표하여야 한다.  

② 자율규제단체는 소속 개인정보처리자가 자율규제 규약을 준수하도록 지도, 권고 등 필요한 조치를 할 수 있다.

③ 소속 개인정보처리자는 자율규제 규약을 준수하도록 노력하여야 한다.

④ 자율규제 규약은 개인정보 보호법령에 반하는 내용을 포함하여서는 아니되며, 정당한 사유 없이 회원사와 정보주체의 권리를 제한하여서는 아니 된다.

⑤ 보호위원회는 자율규제 규약이 제4항을 위반하였다고 판단하는 경우 자율규제단체에 개선을 권고할 수 있다.

제11조(자율점검) ① 자율규제단체는 자율규제 규약에 따라 소속 개인정보처리자의 개인정보 처리 실태를 점검하고 미흡한 점을 개선하도록 지도할 수 있다.  

② 자율규제단체는 제1항의 점검 최소 1개월 전에 소속 개인정보처리자가 스스로 개인정보 처리 실태를 점검할 수 있도록 표준 자율점검표를 마련하여 배포하여야 한다.

제11조의2(이행점검) 보호위원회는 민관협력 자율규제단체 소속 개인정보처리자의 자율규약 이행여부 점검을 제15조제1항에 따른 자율규제 총괄 전문기관 또는 「(개인정보보호위원회) 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」제2조제3호 및 제4호에 따른 인증기관 및 심사기관이 수행하도록 할 수 있다. 이 경우, 자율규제 규약의 이행여부 점검을 수행한 기관은 그 결과를 보호위원회에 보고하여야 한다.  

제12조(소속 개인정보처리자) 소속 개인정보처리자는 개인정보 보호 자율규제 활동에 대하여 자율적으로 참여 여부를 선택할 수 있다. 다만, 제12조의2에 따른 자율규제활동 제한 기간에는 참여할 수 없다.  

제12조의2(소속 개인정보처리자의 참여 제한) ① 자율규제단체는 소속 개인정보처리자가 다음 각 호의 어느 하나에 해당하는 경우에는 자율규제 활동을 일정기간 제한할 수 있다.  

1. 법 위반으로 인해 형벌 또는 행정처분을 받은 경우

2. 제11조제1항의 개인정보 처리실태에 따른 개선을 지도받았음에도 불구하고 이를 이행하지 아니한 경우

3. 소속 개인정보처리자가 자율점검을 허위 또는 불성실하게 이행한 경우

② 제1항에도 불구하고 보호위원회는 자율규제단체가 소속 개인정보처리자의 참여 제한을 정당한 이유 없이 이행하지 아니하는 경우에는 그 자율규제단체에게 소속 개인정보처리자의 참여 제한 이행을 권고하거나 심사를 통하여 해당 자율규제단체의 지정 또는 승인을 취소할 수 있다.

③ 제1항에 따른 기간은 최소 1년으로 하고, 구체적인 기간은 자율규제단체 자율규약으로 정한다.

제13조(연간 수행계획 및 결과 보고의무 등) ① 자율규제단체는 다음 각 호의 내용을 포함하는 연간 개인정보 보호 자율규제 수행계획 및 그 결과를 제15조의 전문기관을 통하여 보호위원회에 보고하여야 한다.  

1. 자율규제단체 자체 목표에 따른 계획 및 수행결과

2. 연간 교육ㆍ컨설팅 계획 및 수행결과

3. 자율규약 및 점검표 제ㆍ개정 계획 및 수행결과

② 자율규제단체는 보호위원회 및 전문기관의 자율규제 수행 관련 의견 및 자료 요청에 적극적으로 응하여야 한다.

제5장 자율규제단체에 대한 지원

제14조(수행계획에 따른 결과의 평가 등) ① 보호위원회는 제13조에 따른 자율규제단체의 수행결과를 제4조에 따라 자율규제위원회의 검토를 거쳐 평가할 수 있다.  

② 보호위원회는 제1항에 따른 평가 결과가 우수한 개인정보 자율규제단체 및 소속 개인정보처리자에 대하여 과징금ㆍ과태료의 감경, 자율규제 참여마크 부여 및 정부 포상을 할 수 있다.

③ 보호위원회는 제11조2에 따른 이행점검 결과가 우수한 민관협력 자율규제단체 및 소속 개인정보처리자에 대하여 과징금ㆍ과태료의 감경, 민관협력 자율규제 참여마크 부여 및 정부 포상을 할 수 있다.

제14조의2(사전 실태점검의 면제) ① 보호위원회는 자율규제단체의 자율규제 활동에 참여하는 소속 개인정보처리자가 당해연도에 자율규제 규약을 충실히 준수하고 자율점검을 성실히 수행하여 제14조에 따른 평가 결과가 우수하다고 인정되는 경우에는 해당 자율규제단체 소속 개인정보처리자의 업무형태 및 규모 등을 고려하여 법 제63조의2 제1항에 따른 사전 실태점검을 차년도 1년간 면제할 수 있다.  

② 제1항에 따른 사전 실태점검의 면제는 해당 자율규제단체 소속 개인정보처리자가 법 제63조제1항 각 호의 어느 하나에 해당하는 경우에는 적용하지 아니한다.

제15조(전문기관의 지정 등) ① 보호위원회는 자율규제단체 지정, 자율규제단체의 개인정보 보호 활동의 확인 등 관련 업무의 지원을 위하여 총괄 전문기관을 지정하고 해당 업무를 위탁할 수 있다.  

② 제1항에 따른 전문기관은 한국인터넷진흥원으로 한다.

③ 보호위원회는 협회ㆍ단체의 자율규제 업무를 지원하기 위해 특별한 전문성이 필요한 분야의 전문기관을 다음 각 호와 같이 지정할 수 있다.

1. 의약 분야 전문기관은 건강보험심사평가원으로 한다.

2. 복지 분야 전문기관은 한국사회보장정보원으로 한다.

④ 제1항 및 제3항에 따라 지정된 전문기관은 다음 각 호의 역할을 수행한다.

1. 소관 자율규제단체 및 소속 개인정보처리자의 개인정보 보호 교육, 컨설팅, 이행점검, 자율규제단체의 자율점검 결과에 대한 확인 등 지원

2. 소관 자율규제단체의 자율규약 제정, 개정 지원

3. 보호위원회의 개인정보 자율규제 운영 및 개선 등 지원

⑤ 제3항에 따른 전문기관의 장은 제4항의 역할을 수행하기 위하여 적정한 예산을 편성하고 인력을 배정하기 위해 노력하여야 한다.

제16조(업무의 지원) 보호위원회는 자율규제단체의 업무 수행에 필요한 다음 각 호의 사항을 지원할 수 있다.  

1. 개인정보 보호 전문인력 파견, 자율점검 지원

2. 개인정보 보호 전문교육, 인식제고 교육 실시

3. 개인정보의 안전성 확보 조치에 관한 컨설팅

4. 개인정보 보호 관련 정보 제공 등

제17조(재검토 기한) 보호위원회는 「훈령ㆍ예규 등의 발령 및 관리에 관한 규정」에 따라 이 고시에 대하여 2020년 8월 11일을 기준으로 매 3년이 되는 시점(매 3년째의 8월 10일까지를 말한다)마다 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.  

부 칙 <제2020-3호,2020.8.11.>

제1조(시행일) 이 고시는 고시한 날부터 시행한다.

제2조(경과조치) 이 고시 시행 전에 종전의 「개인정보보호 자율규제단체 지정 등에 관한 규정」(행정안전부고시 제2019-8호)에 따라서 이루어진 행위는 이 고시에 따른 행위로 본다.

부 칙 <제2022-2호, 2022.08.03.>

제1조(시행일) 이 고시는 고시한 날부터 시행한다.

제2조(경과조치) 이 고시 시행 전에 보호위원회에서 승인한 자율규제 규약은 이 고시 제7조제3항에 따른 자율규제단체의 자율규제 규약으로 본다.