보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

[외부 법률 기고] 개인정보 처리방침의 평가 및 개선권고 대응

2023.12.20

2,713

※ 본 기고는 당사와 법률자문·정보보호 서비스 상호협력 MOU를 체결한 법무법인(유) 화우에서 작성하였습니다.
※ 외부 필자의 기고 및 칼럼 등은 이글루코퍼레이션 콘텐츠의 편집방향과 일치하지 않을 수 있습니다.

2023년 3월 14일 일부 개정되어 2023년 9월 15일에 시행된 개인정보 보호법은 기존 개인정보 보호법보다 개인정보처리자인 사업자에게 영향을 미칠 규정을 많이 담고 있다. 개인적인 소견으로 그중 사업자에게 가장 큰 영향을 미칠 수 있는 것을 뽑으라면 제30조의2 개인정보 처리방침의 평가 및 개선권고, 그리고 제63조의2 사전 실태점검을 들 수 있다. 사전 실태점검의 경우 과거부터 업종별로 규제기관이 일정한 계획을 정해서 점검을 진행한 적이 있어 처음 도입되는 제도라기 보다는 기존의 제도를 확대 및 명문화하되 그 대상을 ‘개인정보 침해사고 발생의 위험성이 높고 개인정보 보호의 취약점을 사전에 점검할 필요성’이 인정되는 개인정보처리자로 한정한 것으로 보는 것이 맞을 것이다.

하지만 제30조의2 개인정보 처리방침의 평가 및 개선권고는 처음 도입되는 제도이므로 개인정보처리자가 이에 대해 사전에 대비하는 것이 필요하다. 특히 개인정보 보호위원회는 법 제30조의2, 동법 시행령 제31조의2를 구체화한 고시(이하 ‘고시안’)를 입법예고하여 의견을 수렴하였는바, 곧 해당 제도의 시행이 가시화될 것이 예상된다.

제30조의2 개인정보 처리방침의 평가 및 개선권고가 도입됨에 따라 개인정보 보호위원회는 개인정보처리자가 작성한 개인정보 처리방침에 관하여 ①개인정보 처리방침에 포함하여야 할 사항을 적정하게 정하고 있는지, ②개인정보 처리방침을 알기 쉽게 작성하였는지, ③개인정보 처리방침을 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지를 평가할 수 있다.

그 구체적인 평가 방식과 순서를 정리하면 다음과 같다.

우선, 개인정보 보호위원회는 개인정보 처리방침의 평가 및 개선권고를 시행하기 위해 ①개인정보처리자의 유형 및 매출액 규모, ②민감정보 및 고유식별 정보 등 처리하는 개인정보의 유형 및 규모, ③개인정보 처리의 법적 근거 및 방식, ④법 위반행위 발생 여부, ⑤아동ㆍ청소년 등 정보주체의 특성이라는 5가지 사항을 종합적으로 고려해서 평가 대상을 선정한다(동법 시행령 제31조의2 제1항).

아직 확정되지 않았으나 개인정보 보호위원회가 예고한 고시안 제4조는 그 평가대상 선정의 구체적인 기준으로 7개의 사유를 제시하고 있다.

①연간 매출액이 1,500억원 이상이면서 100만명 이상의 국내 정보주체에 관한 개인정보를 처리하는 자, ②5만명 이상의 민감정보 또는 고유식별 정보를 처리하는 자, ③처리방침에 법 제22조에 따라 정보주체의 동의 없이 처리할 수 있는 개인정보의 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하지 않은 자, ④법 제37조의2에 따라 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템 포함)으로 개인정보를 처리하는 자, ⑤최근 3년 간 법 개인정보 유출등이 2회 이상 되었거나, 과징금 또는 과태료 처분 등을 받은 자, ⑥만14세 미만 아동 또는 만24세 이하 청소년을 주요 이용 대상자로 한 정보통신서비스, ⑦그 밖에 개인정보 침해사고 발생의 위험성, 정보주체의 권리보장에 미치는 영향 등을 고려하여 시급히 처리방침 평가가 필요하다고 인정되는 자

다음으로 개인정보 보호위원회는 평가대상을 선정한 경우 평가 개시 10일 전까지 해당 개인정보처리자에게 평가 내용ㆍ일정 및 절차 등이 포함된 평가계획을 통보해야 한다(동 시행령 제31조의2 제2항). 고시안에 따르면 평가계획을 개인정보 보호위원회 홈페이지에도 공개할 수 있다(고시안 제3조 제2항). 이 경우 개인정보 보호위원회는 개인정보 처리 방침의 평가에 필요한 경우에는 해당 개인정보처리자에게 의견을 제출하도록 요청할 수 있다(동 시행령 제31조의2 제3항).

그리고 개인정보 보호위원회가 개인정보 처리방침을 평가하였다면 그 결과를 지체 없이 해당 개인정보처리자에게 통보해야 한다(동 시행령 제31조의2 제4항).

개인정보 보호위원회가 개인정보 처리방침 평가 후 그 결과에 따라 개선이 필요하다고 인정하는 경우에는 개인정보처리자에게 그 개선을 권고할 수 있다(동법 제30조의2 제1항, 제61조 제2항). 그러면 권고를 받은 개인정보처리자는 개선 권고를 이행하기 위하여 성실하게 노력하여야 하며, 그 조치 결과를 개인정보 보호위원회에 알려야 한다(동법 제61조 제2항).

개인정보처리자가 개인정보 처리방침의 평가 결과에 따른 개선권고를 따르지 않았다고 하여 과징금이나 과태료 등이 부과되지는 않지만, 개선권고에 따른 내용과 그 결과는 공표될 수 있기에 개인정보처리자 입장에서는 개인정보 처리방침의 평가 및 개선권고에 대해 주의를 기울여야 한다(동법 제66조). 아직 확정되지 않았으나 개인정보 보호위원회는 처리방침 평가 결과 우수한 개인정보처리자에 대하여 포상할 수 있고, 처리방침 평가 우수 사례를 홍보하거나 컨설팅 지원 등에 활용할 수 있다고 하여 개인정보 처리방침이 제대로 작성된 경우에는 그에 상응하는 조치를 취하려고 한다(고시안 제8조 제3항, 제4항). 따라서 제대로 작성된 개인정보 처리방침이라면 개인정보처리자의 평판에 긍정적인 영향을 끼칠 수 있다는 점도 유념할 필요가 있다.

새롭게 시행되는 제도인 만큼 개인정보 보호위원회가 많은 관심을 기울일 것이며, 특히 고시안에서 제시한 평가대상 선정의 세부 기준을 보면 상당히 많은 개인정보처리자가 그 대상에 포함될 수 있기에, 미리 자신의 개인정보처리방침이 제대로 법령이 요구하는 방식과 수준대로 작성되었는지 점검할 필요가 있다.



법무법인(유) 화우 이근우 변호사
약력
- 서울대학교 법학과, 서울대학교 대학원 법학과
- University of Southern California Gould School of Law, 법학석사 (LL.M.)
- Lee, Hong, Degerman, Kang & Waimey LA사무소 근무
- 2017년 10월 24일, 2022년 11월 21일 산업통상자원부 장관상 수상

소개
이근우 변호사는 AI, 자율주행, 드론, 5G, 3D 프린팅, IoT, 빅데이터, Cyber Security, GDPR, 블록체인 등 신기술 및 4차 산업혁명 기술 분야의 영업비밀침해 / 개인정보침해 등 관련 컴플라이언스 및 규제 법령 전문가로 통신비밀보안법 개정안 마련, SK 하이닉스와 도시바 및 샌디스크간의 영업비밀침해 사건, 금호석유화학의 상표권 분쟁, 리튬이온이차전지분리막에 관한 특허 분쟁, 쓰레기자동집하시설에 관한 특허 분쟁, 플라빅스 의약품 관련 특허무효소송, 고속버스의 자동예약 시스템 특허 분쟁 등 다수의 특허, 상표, 디자인, 영업비밀, 부정경쟁행위 사건과 정보통신망 및 개인정보보호 업무를 수행하였고, 기간통신사업자의 통신역무 관련 업무, IT 기업들에 대한 자문을 제공하였습니다.