[개인정보보호위원회] 개인정보보호 자율규제단체 지정 등에 관한 규정 (2020.08)

안녕하세요. 황컴플라이언스 입니다.

[개인정보보호위원회] 개인정보 보호 자율규제단체 지정 등에 관한 규정 (2020.08)

○ 자료명 : 개인정보보호위원회 운영규칙

○ 제정일 : 2020년 08월

○ 주관부처 : 개인정보보호위원회

---

(개인정보보호위원회) 개인정보 보호 자율규제단체 지정 등에 관한 규정.pdf

0.09MB

 

개인정보 보호 자율규제단체 지정 등에 관한 규정 (2020.08) : 개인정보보호위원회

---

제1장 총칙

제1조 (목적)

• 이 규정은 "개인정보 보호법"(이하 "법"이라 한다) 제5조 제3항, 제13조 제2호, 제4호 및 제5호와 같은 법 시행령 제14조에 따라 개인정보 보호와 관련하여 자율규제를 수행하는 단체(이하 "자율규제단체"라 한다)의 지정 등에 관한 사항을 정함으로써 개인정보처리자의 자율적인 개인정보 보호활동을 촉진하고 이를 지원하고자 함을 목적으로 한다.

제2조 (적용범위)

• 다음 각 호의 자는 자율규제단체의 지정 · 지정취소, 자율규제 협의회 구성 등에 관하여 다른 법령에 특별히 정한 경우를 제외하고는 이 규정에서 정하는 바에 따른다.
• 1. 제7조에 따라 자율규제단체로 지정된 협회 · 단체, 자율규제단체에 소속된 개인정보처리자(이하 "소속 개인정보처리자"라 한다)
• 2. 제15조에 따라 지정된 전문기관

제3조 (자율규제단체 등의 책무)

• 자율규제단체와 소속 개인정보처리자는 자율적인 개인정보 보호 활동을 함에 있어서 다음 각 호 사항을 준수하여야 한다.
• 1. 자율규제단체와 그 소속 개인정보처리자는 상호 신뢰와 합의에 기초하여 자율규제 규약을 마련하여 준수한다.
• 2. 자율규제단체는 그 소속 개인정보처리자가 개인정보 보호 활동에 자발적으로 참여할 수 있도록 노력한다.
• 3. 자율규제단체는 개인정보 보호 활동의 전문성을 확보하기 위하여 필요한 인력과 예산을 확보하도록 노력하여야 한다.
• 4. 자율규제단체는 소속 개인정보처리자가 개인정보 보호 관련 법령에 따라 안전하게 개인정보의 처리를 할 수 있도록 필요한 지원과 노력을 하여야 한다.
• 5. 자율규제단체와 그 소속 개인정보처리자는 법 제3조의 개인정보 보호 원칙을 준수하여야 한다.

---

제2장 자율규제 협의회

제4조 (자율규제 협의회)

• 개인정보 보호위원회(이하 "보호위원회"라 한다)는 자율규제단체 지정 등에 관한 다음 각 호의 업무를 위하여 개인정보보호 자율규제 협의회(이하 "협의회"라 한다)를 둘 수 있다.
• 1. 자율규제단체의 지정 및 지정 취소에 대한 심사
• 2. 제10조의 자율규제 규약에 대한 검토
• 3. 제13조의 연간 개인정보 보호 수행계획 및 결과에 대한 검토
• 4. 제14조의 개인정보 보호 수행계획에 따른 결과의 평가에 대한 검토
• 5. 그 밖에 자율규제단체의 개인정보 보호 활동에 관하여 필요한 사항

제5조 (협의회 구성 등)

• ① 협의회는 보호위원회, 자율규제단체 소관 행정기관, 전문기관 및 해당 분야 전문가로 구성하며 위원은 다음 각 호에 해당하는 자로 한다.
• 1. 보호위원회, 자율규제단체 소관 행정기관 소속 개인정보 보호 업무를 담당하는 국장급 공무원
• 2. 제15조에 따라 전문기관으로 지정된 기관의 개인정보 보호 업무를 담당하는 임직원
• 3. 개인정보 보호와 자율규제에 관하여 학식과 경험이 풍부한 전문가 5인 이내
• ② 위원장은 협의회의 업무를 총괄하며 제1항 제3호 민간 전문가 1인으로 정한다.
• ③ 간사는 제15조 제2항에 따라 지정된 한국인터넷진흥원 개인정보 보호 자율규제 업무를 담당하는 자로 한다.
• ④ 제1항 제3호 위원 임기는 2년으로 하되, 연임할 수 있다.
• ⑤ 협의회의 회의는 위원장이 필요하다고 인정하거나 재적 위원 3분의 1 이상의 요구가 있는 경우에 위원장이 소집한다.

제6조 (행정기관 등에 대한 협조요청)

• ① 협의회는 제4조 각 호의 업무를 위하여 필요한 경우 행정기관이나 전문기관 또는 전문가의 의견 청취, 자율규제단체에 자료 및 의견 제출 등의 협조를 요청할 수 있다.
• ② 행정기관이나 자율규제단체는 제1항에 따른 요청을 받은 경우 이에 적극 응하여야 한다.

---

제3장 자율규제단체의 지정 등

제7조 (자율규제단체의 지정)

• ① 자율규제단체로 지정받고자 하는 협회 · 단체는 별지 제1호 서식의 자율규제단체 지정신청서와 제13조에 따른 연간 수행계획을 협의회에 제출하여야 한다.
• ② 협의회는 제1항의 신청서를 제출한 협회 · 단체가 자율적 개인정보 보호활동 역량이 있는지 여부에 대하여 발표에 따라 심사한다.
• ③ 보호위원회는 제2항의 심사 결과에 따라 자율규제단체를 지정 확정한 후 별지 제2호의 자율규제단체 지정서를 발급한다.

제8조 (자율규제단체의 지정 취소)

• ① 협의회는 자율규제단체가 다음 각 호의 어느 하나에 해당하는 경우 자율규제단체 지정 취소를 심사할 수 있다.
• 1. 허위 또는 부정방법으로 제7조의 지정을 받은 경우
• 2. 자율규제단체의 수행실적 관련 보고 및 제출을 하지 않은 경우
• 3. 자율규제단체 운영을 통해 알게 된 정보를 부당하게 이용한 경우
• 4. 권한 오남용, 직무상 의무 위반 등 자격유지가 부적합하다고 인정되는 경우
• 5. 자율규제단체가 제9조에 따른 업무를 허위 또는 불성실하게 수행하였음이 인정되는 경우
• ② 자율규제단체는 자율규제단체 지정의 취소를 원하는 경우 지정의 취소를 보호위원회에 신청할 수 있다.
• ③ 보호위원회는 제1항의 심사 결과나 제2항의 지정의 취소 신청에 따라 자율규제단체를 지정 취소할 수 있다.

---

제4장 자율규제단체의 업무

제9조 (자율규제단체의 업무)

• 자율규제단체는 소속 개인정보처리자의 자율적인 개인정보 보호 활동을 지원하기 위하여 다음 각 호의 업무를 수행하도록 노력하여야 한다.
• 1. 연간 개인정보 보호 자율규제 수행계획 수립
• 2. 개인정보 보호 교육 및 홍보 활동
• 3. 개인정보 보호 자율규제 규약 제정 · 개정
• 4. 개인정보 자율점검 및 컨설팅
• 5. 그 밖의 소속 개인정보처리자의 개인정보 보호 활동에 관하여 필요한 업무

제10조 (자율규제 규약)

• ① 자율규제단체는 소속 개인정보처리자의 개인정보 처리 특성을 고려하여 개인정보 보호에 필요한 규약(이하 "자율규제 규약"이라 한다)을 작성하고 공표하여야 한다.
• ② 자율규제단체는 소속 개인정보처리자가 자율규제 규약을 준수하도록 지도, 권고 등 필요한 조치를 할 수 있다.
• ③ 소속 개인정보처리자는 자율규제 규약을 준수하도록 노력하여야 한다.

제11조 (자율점검)

• ① 자율규제단체는 자율규제 규약에 따라 소속 개인정보처리자의 개인정보 처리 실태를 점검하고 미흡한 점을 개선하도록 지도할 수 있다.
• ② 자율규제단체는 제1항의 실태 점검 최소 1개월 전에 소속 개인정보처리자가 스스로 개인정보 처리 실태를 점검할 수 있도록 표준 자율점검표를 마련하여 배포하여야 한다.

제12조 (소속 개인정보처리자)

• 소속 개인정보처리자는 개인정보 보호 자율규제 활동에 대하여 자율적으로 참여 여부를 선택할 수 있다. 다만, 제12조의 2에 따른 자율규제활동 제한 기간에는 참여할 수 없다.

제12조의 2 (자율규제단체 소속 개인정보처리자의 참여 제한)

• ① 자율규제단체는 소속 개인정보처리자가 다음 각 호의 어느 하나에 해당하는 경우에는 자율규제 활동의 전부 또는 일부를 일정기간 제한할 수 있다.
• 1. 법 위반으로 인해 형벌 또는 행정처분을 받은 경우
• 2. 제11조 제1항의 개인정보 처리실태에 따른 개선을 지도받았음에도 불구하고 이를 이행하지 아니한 경우
• 3. 소속 개인정보처리자가 자율점검을 허위 또는 불성실하게 이행한 경우
• ② 제1항에도 불구하고 협의회는 자율규제단체가 소속 개인정보처리자의 참여 제한을 정당한 이유 없이 이행하지 아니하는 경우에는 그 자율규제단체에게 소속 개인정보처리자의 참여 제한 이행을 권고하거나 심사를 통하여 해당 자율규제단체의 지정을 취소할 수 있다.
• ③ 제1항에 따른 제한기간은 최소 1년으로 하고, 구체적인 기간은 자율규제단체 자율규약으로 정한다.

제13조 (연간 수행계획  및 결과 보고의무 등)

• ① 자율규제단체는 다음 각 호의 내용을 포함하는 연간 개인정보 보호 자율규제 수행계획 및 그 결과를 협의회에 보고하여야 한다.
• 1. 연간 교육 · 컨설팅 계획 및 수행결과
• 2. 자율규약 체결 목표 및 수행결과
• 3. 자율규약 및 점검표 제·개정 계획 및 수행결과
• 4. 자율점검 이행목표 및 수행결과
• ② 자율규제단체는 보호위원회 및 협의회의 자율규제 수행 관련 의견 및 자료 요청에 적극적으로 응하여야 한다.

---

제5장 자율규제단체에 대한 지원

제14조 (수행계획에 따른 결과의 평가 등)

• ① 협의회는 자율규제단체의 개인정보 보호 자율규제 수행계획에 따른 결과를 평가할 수 있다.
• ② 보호위원회는 제1항에 따른 평가 결과가 우수한 자율규제단체 및 소속 개인정보처리자에 대하여 포상할 수 있다.

제14조의 2 (자료제출 및 검사의 면제 등)

• ① 보호위원회는 자율규제단체의 자율규제 활동에 참여하는 소속 개인정보처리자가 자율규제 규약을 충술히 준수하고 자율점검을 성실히 수행하여 수행결과가 우수하다고 인정되는 경우에는 자료제출 요구 및 검사를 1년간 면제할 수 있다.
• ② 제1항에 따른 자료제출 요구 및 검사의 면제는 해당 소속 개인정보처리자가 법 제63조 제1항의 어느 하나에 해당하는 경우에는 적용하지 아니한다.

제15조 (전문기관의 지정 등)

• ① 보호위원회는 자율규제단체 지정, 자율규제단체의 개인정보 보호 활동의 확인 등 관련 업무의 지원을 위하여 총괄 전문기관을 지정하고 해당 업무를 위탁할 수 있다.
• ② 제1항에 따른 전문기관은 한국인터넷진흥원으로 한다.
• ③ 보호위원회는 협회 · 단체의 자율규제 업무를 지원하기 위해 특별한 전문성이 필요로 하는 경우 분야별 전문기관을 추가하여 지정할 수 있다.
• ④ 보호위원회는 제3의 전문기관을 지정한 경우 이를 공고하여야 한다.

제16조 (업무의 지원)

• 보호위원회는 자율규제단체의 업무 수행에 필요한 다음 각 호의 사항을 지원할 수 있다.
• 1. 개인정보 보호 전문인력 파견, 자율점검 지원
• 2. 개인정보 보호 전문교육, 인식제고 교육 실시
• 3. 웹 취약점 점검, 보안도구의 제공 등의 기술지원 (단, 보안도구 제공 등 일부 기술지원은 '중소기업기본법 제2조'에 따른 중소기업에만 해당)
• 4. 개인정보 보호 관련 정보 제공 등

제17조 (재검토 기한)

• 보호위원회는 "훈련 · 예규 등의 법령 및 관리에 관한 규정"에 따라 이 고시에 대하여 2020년 8월 11일을 기준으로 매 3년이 되는 시점(매 3년째의 8월 10일까지를 말한다)마다 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.

부칙 <제2020-3호, 2020.0811>

제1조 (시행일)

• 이 고시는 고시한 날부터 시행한다.

제2조 (경과조치)

• 이 고시 시행 전에 종전의 "개인정보보호 자율규제단체 지정 등에 관한 규정" (행정안전부고시 제2019호-8호)에 따라서 이루어진 행위는 이 고시에 따른 행위로 본다.