[개인정보보호위원회] 개인정보보호법 및 2차 시행령 개정사항 안내 (2024.03) 입니다.
업무에 참고하시기 바랍니다.
[개정 개요]
종전 '공공기관 관리수준 진단'은 평가대상 선정, 평가절차, 진단결과 및 개선·이행 조치 등에 대한 명확한 법적 근거가 없어 진단결과를 환류하는데 어려움이 있었습니다.
이에, 공공기관의 개인정보보호 수준을 매년 평가하고 그 결과를 바탕으로 우수기관에 대한 포상과 미흡기관에 대한 개선권고를 실시함으로써 공공기관의 개인정보보호 수준 역령강화로 환류하고자, '개인정보보호 수준 평가'의 법적 근거를 마련하였습니다.
[개인정보보호 수준 평가] (법 제11조의2)
보호위원회는 공공기관 중 중앙행정기관 및 그 소속기관, 지방자치단체, 그 밖에 대통령령으로 정하는 기관을 대상으로 개인정보보호 정책·업무의 수행 및 이 법에 따른 의무의 준수 여부 등을 평가하여야 합니다.
보호위원회는 개인정보보호 수준 평가에 필요한 경우 해당 공공기관의 장에게 관련 자료를 제출하게 할 수 있습니다.
보호위원회는 개인정보보호 수준 평가의 결과를 인터넷 홈페이지 등을 통하여 공개할 수 있습니다.
보호위원회는 개인정보보호 수준 평가의 결과에 따라 우수기관 및 그 소속 직원에 대하여 포상할 수 있고 개인정보보호를 위하여 필요하다고 인정하면 해당 공공기관의 장에게 개선을 권고할 수 있습니다. 이 경우 권고를 받은 공공기관의 장은 이를 이행하기 위하여 성실하게 노력하여야 하며, 그 조치 결과를 보호위원회에 알려야 합니다.
그 밖에 개인정보보호 수준 평가의 기준·방법·절차 및 제2항에 따른 자료 제출의 범위 등에 필요한 사항은 대통령령으로 정합니다.
[개인정보보호 수준 평가 대상·기준·방법·절차 등] (법 제13조의2)
1. 법 제11조의2 제1항에서 "대통령령으로 정하는 기관"이란 다음 각 호의 기관을 말합니다.
'공공기관의 운영에 관한 법률' 제4조에 따른 공공기관
'지방공기업법'에 따른 지방공사와 지방공단
그 밖에 제2조의 제4조 및 제5호에 따른 공공기관 중 공공기관의 개인정보 처리 업무의 특성 등을 고려하여 보호위원회가 고시하는 기준에 해당하는 기관
2. 법 제11조의2 제1항에 따른 개인정보보호 수준 평가의 기준은 다음 각 호와 같다.
개인정보보호 정책·업무 수행실적 및 개선 정도
개인정보 관리체계의 적정성
정보주체의 권리보장을 위한 조치사항 및 이행 정도
개인정보 침해방지 조치사항 및 안전성 확보 조치 이행 정도
그 밖에 개인정보의 처리 및 안전한 관리를 위해 필요한 조치 사항의 준수 여부
3. 보호위원회는 개인정보보호 수준 평가를 시행하기 전에 평가대상, 평가기준·방법 및 평가지표 등을 포함한 평가 계획을 마련하여 개인정보보호 수준 평가 대상 기관의 장에게 통보하여야 합니다.