- ITㆍ정보ㆍ방송통신
- 개인정보ㆍ위치정보ㆍ신용정보
- 132. [일문일답] 개인정보처리방침 평가 대상은?
132.[일문일답] 개인정보처리방침 평가 대상은?
[일문일답] 개인정보처리방침 평가 대상은?
개인정보보호위원회는 개인정보 처리방침에 관하여 일정한 사항을 평가하고, 평가 결과 개선이 필요하다고 인정하는 경우에는 개인정보처리자에게 제61조제2항에 따라 개선을 권고할 수 있다(개인정보보호법 제31조의2).
이때 개인정보처리방침의 평가 대상이 되는 개인정보처리자의 범위는 아래 각 호의 사항을 종합적으로 고려하여 개인정보보호위원회가 필요성을 따져서 심의 의결한다(개인정보보호법 제31조의2 제1항, 개인정보 처리방침 평가에 관한 고시 제4조).
1. 전년도(법인의 경우에는 전 사업연도를 말하며, 이하 이 조에서 같다)의 매출액이 1,500억원 이상이면서 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 정보주체의 수가 일일평균 100만명 이상일 것 2. 전년도 말 기준 직전 3개월간 법 제23조제1항에 따른 민감정보(이하 "민감정보"라 한다) 또는 법 제24조제1항에 따른 고유식별정보(이하 "고유식별정보"라 한다)가 저장ㆍ관리되고 있는 정보주체의 수가 일일평균 5만명(업무수행을 위해 처리되는 그에 소속된 임직원의 민감정보나 고유식별정보는 제외한다) 이상일 것 3. 개인정보 처리방침에 법 제22조제3항에 따라 정보주체의 동의 없이 처리할 수 있는 개인정보의 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하고 있지 않을 것 4. 법 제37조의2에 따라 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템을 포함한다)으로 개인정보를 처리하거나, 그 밖에 새로운 기술을 이용한 개인정보 처리 방식으로 인하여 개인정보 침해 발생 우려가 있을 것 5. 최근 3년 간 다음 각 목의 어느 하나에 해당할 것 가. 2회 이상 법 제34조에 따른 개인정보 유출등이 되었을 것 나. 법 제62조의2에 따른 과징금을 부과 받았을 것 다. 법 제75조에 따른 과태료를 부과 받았을 것 6. 19세 미만 아동 또는 청소년을 주된 이용자로 하는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제2호에 따른 정보통신서비스를 운영할 것 |
개인정보보호위원회는 위 기준에 따라서 평가 대상 개인정보 처리방침을 선정한 경우에는 평가 개시 10일 전까지 해당 개인정보처리자에게 평가 내용ㆍ일정 및 절차 등이 포함된 평가계획을 통보해야 하고, 의견 제출을 요청할 수 있고, 평가 결과가 나오면 지체 없이 통보하여야 한다.
관련하여 현재 '개인정보 처리방침 평가에 관한 고시'가 제정, 시행되고 있다
