[개인정보보호위원회] 개인정보 처리 통합 안내서 [안] (2024.12.31)

안녕하세요. 황컴플라이언스 입니다.

[개인정보보호위원회] 개인정보 처리 통합 안내서 [안] (2024.12.31) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 개인정보 처리 통합 안내서 [안]

○ 발행일 : 2024년 12월 31일

○ 주관부처 : 개인정보보호위원회

---

[개요]

□ 개인정보 보호의 목적과 원칙

• 법 제1조(목적) 이 법은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다
• 개인정보보호법(이하 ‘법’)은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다.
• 이에 따라 개인정보의 수집·이용, 제공 등 개인정보 처리 기본원칙, 개인정보의처리절차 및 방법, 개인정보 처리의 제한, 개인정보의 안전한 처리를 위한 관리·감독, 정보주체의 권리, 개인정보 권리 침해에 대한 구제 등 개인정보의 처리 및 보호에 관하여전반적인 사항을 규정하고 있다.
• 이 법을 통해 정보주체가 보장받는 개인의 자유와 권리의 핵심에는 ‘개인정보자기결정권’이있지만, 이에 한정되지 않고 민법상 인격권을 비롯한 개인정보와 연결되는 다양한 개인의자유와 권리 보호를 목적으로 하고 있다.

---

개인정보 처리 통합 안내서(안)(2024.12).pdf

3.85MB

개인정보 처리 통합 안내서 [안] (2024.12.31) : 개인정보보호위원회

---

○ 헌법재판소 판례 (개인정보자기결정권)

• 개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리이다. 즉 정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리를 말한다.
• 개인정보자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보라고 할 수 있고, 반드시 개인의 내밀한 영역이나 사사(私事)의 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함한다. 또한 그러한 개인정보를 대상으로 한 조사ㆍ수집ㆍ보관ㆍ처리ㆍ이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당한다. (중략)
• 개인정보자기결정권의 헌법상 근거로는 헌법 제17조의 사생활의 비밀과 자유, 헌법 제10조 제1문의 인간의 존엄과 가치 및 행복추구권에 근거를 둔 일반적 인격권 또는 위 조문들과 동시에 우리 헌법의 자유민주적 기본질서 규정 또는 국민주권원리와 민주주의원리 등을 고려할 수 있으나, 개인정보자기결정권으로 보호하려는 내용을 위 각 기본권들 및 헌법원리들 중 일부에 완전히 포섭시키는 것은 불가능하다고 할 것이므로, 그 헌법적 근거를 굳이 어느 한 두개에 국한시키는 것은 바람직하지 않은 것으로 보이고, 오히려 개인정보자기결정권은 이들을 이념적 기초로 하는 독자적 기본권으로서 헌법에 명시되지 아니한 기본권이라고 보아야 할 것이다(헌법재판소 2005.5.26. 99헌마513 결정).

---

□ 개인정보 보호 원칙 (법 제3조)

○ 제3조(개인정보 보호 원칙)

• ① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
• ② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
• ③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
• ④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.
• ⑤ 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.
• ⑥ 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
• ⑦ 개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에의하여 처리될 수 있도록 하여야 한다.
• ⑧ 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.

---

□ 의의와 역할

• 개인정보 보호 원칙은 개인정보처리자에게는 행동의 지침을 제시해 주고, 정책담당자에게는 정책 수립 및 법 집행의 기준을 제시해 주며, 사법부에 대해서는 법 해석의 이론적기초를 제시해 줌과 동시에 입법적 공백을 막아줄 수 있다. 뿐만 아니라 대법원은 제3조에따른 개인정보 보호 원칙을 개인정보처리자 행위의 위법성을 판단하기 위한 고려사항으로 열거하기도 하였다. (대법원 2017. 4. 7. 선고 2016도13263 판결 참고)
• 2023년 법 개정을 통해 국가와 지방자치단체는 개인정보의 처리에 관한 법령 또는 조례를적용할 때에는 정보주체의 권리가 보장될 수 있도록 개인정보 보호 원칙에 맞게적용하도록 하였고(법 제5조제5항), 개인정보의 처리 및 보호에 관한 다른 법률을 제정하거나개정하는 경우에는 이 법의 목적과 원칙에 맞도록 하여(법 제6조제2항) 다른 법령등의제·개정 및 적용 과정에서도 개인정보 처리 및 보호에 관한 해석원칙이 된다.

---

[목차]

Ⅰ. 개인정보 보호의 목적과 원칙(법 제1조, 제3조)

• 법 제2조 제1호 가목 · 나목의 "개인정보"

Ⅱ. 개인정보의 수집 · 이용과 제공

• ① 개인정보의 수집 · 이용(법 제15조)
• ② 개인정보의 수집 제한(법 제16조)
• ③ 개인정보의 목적 범위 내 제공(법 제17조)
• ④ 추가적 이용 및 제공(법 제15조③, 제17조④)
• ⑤ 목적 외 이용 · 제공 제한(법 제18조)
• ⑥ 제공받은 자의 이용 · 제공 제한(법 제19조)

Ⅲ. 개인정보의 파기(법 제21조)

Ⅳ. 동의를 받는 방법(법 제22조)

 

Ⅴ. 특별한 보호

• ① 아동의 개인정보 보호(법 제22조의 2)
• ② 민감정보의 처리 제한(법 제23조)
• ③ 고유식별정보의 처리 제한(법 제24조)
• ④ 주민등록번호 처리의 제한(법 제24조의 2)

Ⅵ. 업무위탁에 따른 개인정보의 처리 제한(법 제26조)

• 표준 개인정보 처리 위탁계약서(양식)

Ⅶ. 영업양도 등에 따른 개인정보의 이전 제한(법 제27조)

Ⅷ. 기타 사항

• ① 개인정보 파기 특례규정 삭제 안내

---