상세 컨텐츠

본문 제목

[개인정보보호위원회] 개인정보 영향평가 수행안내서 (2020.12)

개인정보보호 자료실/가이드라인

by 황컴플라이언스 2024. 11. 9. 22:59

본문

반응형

안녕하세요. 황컴플라이언스 입니다.

[개인정보보호위원회] 개인정보 영향평가 수행안내서 (2020.12) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 개인정보 영향평가 수행안내서

○ 발행일 : 2020년 12월

○ 주관부처 : 개인정보보호위원회, 한국인터넷진흥원

[개요]

□ 추진배경

본 안내서는 개인정보 처리가 수반되는 사업 추진 시 사업이 개인정보에 미치는 영향을 사전에 분석하고 이에 대한 개선방안을 수립하여 개인정보 침해사고를 사전에 예방하기 위해 마련되었습니다.

□ 적용 대상

공공기관

(개념) 개인정보 영향평가

  • 개인정보 파일을 운용하는 새로운 정보시스템의 도입이나, 기존에 운영 중인 개인정보처리시스템의 중대한 변경 시
  • 시스템의 구축·운영·변경 등이 개인정보에 미치는 영향(Impact)을 사전에 조사·예측·검토하여 개선방안을 도출하는 체계적인 절차

(평가 대상) 일정 규모 이상의 개인정보를 전자적으로 처리하는 개인정보 파일을 구축·운영 또는 변경하려는 공공기관은 '개인정보보호법' (이하 '법'이라 한다.) 제33조 및 '개인정보보호법 시행령' (이하 '영'이라 한다.) 제35조에 근거하여 영향평가를 수행

  • (5만명 조건) 5만명 이상의 정보주체의 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보 파일
  • (50만명 조건) 해당 공공기관의 내부 또는 외부의 다른 개인정보 파일과 연계하려는 경우로서, 연계 결과 정보주체의 수가 50만명 이상인 개인정보 파일
  • (100만명 조건) 100만명 이상의 정보주체 수를 포함하고 있는 개인정보 파일

※ 현시점 기준으로 영향평가 대상은 아니나, 가까운 시점(1년 이내)에 정보주체의 수가 기준을 초과할 것이 확실한 경우, 영향평가를 수행할 것을 권고

  • (변경 시) 영 제35조에 근거하여 영향평가를 실시한 기관이 개인정보 검색체계 등 개인정보 파일의 운용체계를 변경하려는 경우, 변경된 부분에 대해서는 영향평가를 실시

※ 법령상 규정된 대상시스템이 아니더라도 대량의 개인정보나 민감한 개인정보를 수집·이용하는 기관은 개인정보 유출 및 오·남용으로 인한 사회적 피해를 막기 위해 영향평가 수행 가능

개인정보 영향평가 수행 안내서(2020.12) : 개인정보보호위원회, 한국인터넷진흥원

[평가 시기]

○ 시스템을 신규 구축 또는 기존 시스템을 변경하는 경우

  • 개인정보처리시스템을 신규로 구축하거나, 기존 시스템을 변경하려는 기관은 사업계획 단계에서 영향평가 의무대상 여부를 파악하여 예산을 확보한 후, 대상 시스템의 설계 완료 전에 영향평가를 수행해야 함. 또한, 영향평가 결과는 시스템 설계·개발 시 반영해야 함('개인정보 영향평가에 관한 고시' 제9조의2)

○ 기 구축되어 운영 중인 시스템의 경우

개인정보처리시스템을 기 구축·운영 중, 아래의 경우 추가적으로 영향평가 수행 가능

  • 수집·이용 및 관리상에 중대한 침해위험의 발생이 우려되는 경우
  • 전반적인 개인정보 보호체계를 점검하여 개선하기 위한 경우

영향평가 시기

[평가 수행 주체]

○ 공공기관은 보호위원회가 지정한 영향평가 기관에 평가를 의뢰하여 수행

※ 영향평가 기관에 대한 정보는 개인정보 포털 홈페이지에서 확인 가능

[평가 수행 체계]

○ 영향평가는 보호위원회가 지정한 영향평가 기관에 의뢰하여 영향평가를 수행하고 그 결과를 사업 완료 후 2개월 이내에 보호위원회에 제출*

  • 보호위원회는 심의·의결을 거쳐 해당 사업에 대한 의견 제시 가능
  • 개인정보보호 종합시스템에 등록

영향평가 수행체계

[관련 법령]

  • 개인정보보호법 제33조(영향평가)
  • 개인정보보호법 시행령 제35조(영향평가의 대상)
  • 개인정보보호법 시행령 제36조(영향평가 시 고려사항)
  • 개인정보보호법 시행령 제37조(평가기관의 지정 및 지정취소)
  • 개인정보보호법 시행령 제38조(영향평가의 평가기준 등)
  • 개인정보 처리 방법에 관한 고시 제3조(개인정보보호 업무 관련 장부 및 문서 서식)
  • 개인정보 영향평가에 관한 고시

[목차]

Ⅰ. 총론

  1. 개인정보 영향평가 개요
  2. 용어정의 및 추진근거
  3. 개인정보 영향평가 수행절차 요약

Ⅱ. 영향평가 수행 절차

  1. 영향평가 사전준비 단계
  2. 영향평가 수행단계
  3. 이행단계

부록1. 개인정보 영향평가서 양식

부록2. 개인정보 영향평가 항목(요약)

부록3. 개인정보 영향평가 항목(평가표)

부록4. 개인정보 영향평가 FAQ

※ 해당 안내서는 개인정보보호위원회 홈페이지 정책·법령 지침·가이드라인 및 KISA 한국인터넷진흥원 홈페이지에서 확인할 수 있습니다.

반응형
저작자표시 비영리 변경금지

'개인정보보호 자료실 > 가이드라인' 카테고리의 다른 글

[개인정보보호위원회] 국내대리인 지정제도 안내서 (2020.12)  (0) 2024.11.10
[개인정보보호위원회] 개인정보의 암호화 조치 안내서 (2020.12)  (0) 2024.11.09
[개인정보보호위원회] 개인정보 위험도 분석 기준 및 해설서 (2020.12)  (0) 2024.11.09
[개인정보보호위원회] 개인정보 보호조치 안내서 (2020.12)  (1) 2024.11.09
[개인정보보호위원회] 개인정보 손해배상책임 보장제도 안내서 (2020.11)  (0) 2024.11.09

관련글 더보기

티스토리툴바