[개인정보보호위원회] 자동처리되는 개인정보보호 가이드라인 (2020.12)

안녕하세요. 황컴플라이언스 입니다.

[개인정보보호위원회] 자동처리 되는 개인정보보호 가이드라인 (2020.12) 입니다.

업무에 참고하시기 바랍니다.

---

[개요]

□ 추진배경

• 본 가이드라인은 IoT 기기 등으로 개인정보를 자동처리 할 경우, 기획 단계부터 개인정보 침해 가능성을 충분히 고려하도록 Privacy by Design 개념을 적용하여 개인정보 처리 단계별 고려사항을 사례 중심으로 안내하고 있습니다.

○ 개인정보 처리 내용에 대한 정보주체의 이해가 더욱 중요

• 정보주체는 빅데이터 분석, AI 등 복잡한 알고리즘과 신기술에 기반한 개인정보 처리에 대한 이해 부족으로 불안감 증대
• 이해부족에 따른 불안감이 서비스나 기업에 대한 불신으로 이어져 분쟁과 소송 등 불필요한 사회적 비용이 발생

○ 사후적 대응보다는 적극적 사전예방이 필요

• 개인정보가 자동으로 처리되는 IoT 환경에서는 열람, 정정 삭제 및 피해 시 배상요구 등 사후적 권리행사가 어려움
• 특히, 대량의 개인정보가 실시간으로 처리되는 환경에서 침해 발생 시 돌이킬 수 없는 대규모 피해로 이어질 수 있어 적극적 사전예방이 필요

○ 개인정보처리자의 자발적 관행개선 시급

• 법적 책임을 고려하여 실제 개인정보 처리 내용뿐만 아니라 처리하지 않는 내용도 동의를 받는 등의 형식적 동의 관행 개선 필요
• 특히, 개인정보를 직접 수집하지 않는 기기 제조업체도 개인정보보호를 고려하도록 실질적인 개인정보보호 기반 강화 시급

□ 적용 대상

• 개인정보처리자

---

자동처리되는 개인정보 보호 가이드라인(2020.12).pdf

0.85MB

자동처리 되는 개인정보보호 가이드라인(2020.12) : 개인정보보호위원회

---

□ IoT 등에서 자동처리하는 개인정보보호 10대 수칙

• 수칙1. 서비스에 꼭 필요한 개인정보인지 확인
• 수칙2. 개인정보 수집 시 법적 준수사항을 확인
• 수칙3. 반드시 필요한 개인정보만 최소한으로 처리
• 수칙4. 개인정보 처리 단계별 적절한 안전조치 적용
• 수칙5. 개인정보의 처리절차 및 방법을 투명하게 공개
• 수칙6. 정보주체가 권리행사를 쉽게 할 수 있도록 보장
• 수칙7. 개인정보의 제3자 제공 및 위탁 시 정보주체에게 명확히 안내
• 수칙8. 정보주체가 서비스 해지 시 개인정보 파기 및 추가 수집 방지
• 수칙9. 사업 종료 시 정보주체의 권리 보장 방안 마련
• 수칙10. 서비스 출시 전 개인정보 침해 위험 요소 점검

---

[관련 법령]

• 개인정보보호법 제15조(개인정보의 수집·이용)
• 개인정보보호법 제16조(개인정보의 수집 제한)
• 개인정보보호법 제17조(개인정보의 제공)
• 개인정보보호법 제21조(개인정보의 파기)
• 개인정보보호법 제22조(동의를 받는 방법)
• 개인정보보호법 제27조(영업양도 등에 따른 개인정보의 이전 제한)
• 개인정보보호법 제29조(안전조치의무)
• 개인정보보호법 제38조(권리행사의 방법 및 절차)

---

[목차]

Ⅰ. 추진배경

1. 발간배경
2. IoT 등에서 자동처리하는 개인정보보호 10대 수칙

Ⅱ. 개인정보보호 10대 수칙별 조치사례

1. 기획
2. 설계
3. 점검

Ⅲ. 참고자료

1. Privacy by Design의 개념
2. Privacy by Design 관련 해외 정책사례

---

※ 해당 가이드라인은 개인정보보호위원회 홈페이지, 한국인터넷진흥원 홈페이지 법령·가이드라인 및 개인정보포털 홈페이지에서 확인할 수 있습니다.