[개인정보보호위원회] 한국으로 이전된 개인정보의 처리와 관련한 개인정보보호법의 해석과 적용을 위한 보완규정 (2020.09)

안녕하세요. 황컴플라이언스 입니다.

[개인정보보호위원회] 한국으로 이전된 개인정보의 처리와 관련한 개인정보보호법의 해석과 적용을 위한 보완규정 (2020.09) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 한국으로 이전된 개인정보의 처리와 관련한 개인정보보호법의 해석과 적용을 위한 보완규정

○ 발행일 : 2020년 9월

○ 주관부처 : 개인정보보호위원회

---

(고시 제2020-10호) 한국으로 이전된 개인정보의 처리와 관련한 개인정보 보호법의 해석과 적용을 위한 보완규정.pdf

0.20MB

한국으로 이전된 개인정보의 처리와 관련한 개인정보보호법의 해석과 적용을 위한 보완규정 (2020.09) : 개인정보보호위원회

---

[개요]

• 한국과 유럽연합(이하 ‘EU’)은 적정성 결정에 관한 논의를 진행해 왔고, 그 결과 EU 집행위원회는 GDPR 제45조에 근거하여 한국이 개인정보의 보호에 대한 적정한 보호 수준을 보장하고 있다고 결정하였다.
• 이에, 개인정보보호위원회(이하 ‘보호위원회’라 함)는 「개인정보 보호법」제5조(국가 등의 책무)와 제14조(국제협력1)를 근거로 EU 적정성 결정에 기반하여 한국으로 이전 된 개인정보 처리에 대하여 특정 법 조항에 대한 해석 기준을 명확히 하고, 양 국가간 제도적 차이점 보완을 위하여 본 고시를 마련하였다.
• 본 고시는 대한민국의 법 체계상 「개인정보 보호법」의 해석과 집행 기준을 명확히 하기 위하여 소관 행정청이 작성․공표하는 행정규칙으로서, 본 고시의 내용을 위반하는 행위는 관련 법 조항을 위반하는 행위로 간주 될 수 있으므로 개인정보처리자에게 법적 구속력을 가진다. 아울러, 본 고시를 위반하여 개인의 권리와 이익이 침해되는 경우 해당 개인은 보호위원회 또는 법원 등에 구제를 요구할 수 있다.
• 따라서, EU 적정성 결정에 따라 한국으로 이전된 개인정보를 처리하는 개인정보 처리자가 본 고시에 부합하는 조치를 취하지 않는 경우에는 법 제64조제1항 · 제2항에 따른 ‘개인정보가 침해되었다고 판단할 상당한 근거가 있고 이를 방치할 경우 회복 하기 어려운 피해가 발생할 우려가 있다고 인정되는 경우’로 간주되며, 이러한 경우 보호위원회 또는 관계 중앙행정기관은 동 조항에서 부여한 권한에 따라 해당 개인 정보처리자에게 시정조치 등을 명할 수 있고, 또한 구체적인 법 위반 행위에 따라 이에 상응하는 처벌(벌칙, 과태료 등)도 병과할 수 있다.

---

[용어 정의]

이 규정에 사용되는 용어의 정의는 다음과 같다.

• (ⅰ) 법 : 개인정보 보호법(법률 제16930호, 2020.2.4. 개정, 2020.8.5. 시행)을 말한다.
• (ⅱ) 시행령 : 개인정보 보호법 시행령(대통령령 제00호, 2020.0.0. 개정 2020.8.5. 시행)을 말한다.
• (ⅲ) 정보주체 : 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
• (ⅳ) 개인정보처리자 : 업무를 목적으로 개인정보파일을 운용하기 위하여스스로 또는 다른 사람을 통하여 개인정보를 처리하는공공기관, 법인, 단체 및 개인을 말한다.
• (ⅴ) EU : 유럽연합 27개 회원국2)(2020. 5월말 기준 벨기에, 프랑스, 독일, 이탈리아, 룩셈부르크, 네덜란드, 덴마크, 아일랜드, 그리스, 포르투갈, 스페인, 오스트리아, 핀란드, 스웨덴, 키프로스, 체코, 에스토니아, 헝가리, 라트비아, 리투아니아, 몰타, 폴란드, 슬로바키아, 슬로베니아, 루마니아, 불가리아, 크로아티아)과 유럽경제지역(European Economy Area)에 참여하는 3개국(아이슬랜드, 리히텐슈타인, 노르웨이)을 말한다.
• (ⅵ) GDPR : 유럽연합의 일반 개인정보 보호법, General Data Protection Regulation (Regulation EU 2016/679)을 말한다.
• (ⅶ) 적정성 결정 : GDPR 제45조제3항에 따라 유럽연합 집행위원회가 제3국 또는 제3국 영토 내지 하나 이상의 특정 구역, 또는 국제기구가 적정한 수준의 개인정보 보호를 보장하고 있다고 결정하는 것을 말한다.

---

[보완 규정]

1. 수집 목적 외 개인정보 이용 · 제공 제한(법 제3조, 제15조, 제18조)

<개인정보 보호법(법률 제16930호, 2020.2.4. 일부 개정)>

제3조(개인정보 보호 원칙)

• ① 개인정보처리자는 개인정보의 처리 목적을 명확 하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
• ② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인 정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.

제15조(개인정보의 수집ㆍ이용)

• ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
• 1. 정보주체의 동의를 받은 경우
• 2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
• 3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
• 4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
• 5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소 불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
• 6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.

제18조(개인정보의 목적 외 이용ㆍ제공 제한)

• ① 개인정보처리자는 개인정보를 제15조제1항 및 제39조의3제1항 및 제2항에 따른 범위를 초과하여 이용하거나 제17조제1항 및 제3항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다.
• ② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, 이용자( 정보통신망 이용촉진 및 정보보호 등에 관한 법률」제2조제1항제4호에 해당하는 자를 말한다. 이하 같다)의 개인정보를 처리하는 정보통신서비스 제공자( 정보통신망 이용촉진 및 정보보호 등에 관한 법률」제2조제1항제3호에 해당하는 자를 말한다. 이하 같다)의 경우 제1호ㆍ제2호의 경우로 한정하고, 제5호부터 제9호까지의 경우는 공공기관의 경우로 한정한다.
• 1. 정보주체로부터 별도의 동의를 받은 경우
• 2. 다른 법률에 특별한 규정이 있는 경우
• 3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
• 4. 삭제 <2020. 2. 4.>
• 5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의ㆍ의결을 거친 경우
• 6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
• 7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
• 8. 법원의 재판업무 수행을 위하여 필요한 경우 9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
• ③ ~ ④ (생략)
• ⑤ 개인정보처리자는 제2항 각 호의 어느 하나의 경우에 해당하여 개인정보를목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 그 밖에 필요한 사항에 대하여 제한을 하거나, 개인정보의 안전성 확보를 위하여 필요한 조치를 마련하도록 요청하여야 한다. 이 경우 요청을 받은 자는 개인정보의 안전성 확보를 위하여 필요한 조치를 하여야 한다.