개인정보보호 실태점검

실제상황과 위반사례
개인정보 실태 점검 및 행정 처분 개요

개인정보보호 실태점검 및 행정처분

2012년 3월 말부터 개인정보 관리실태가 취약한 업종 등에 대하여 점검 대상을 선정하여 점검을 시행

1. 배경과 필요성

2011년 9월 개인정보 보호법 시행 이후 법 적용 대상이 기존의 공공기관에서 380만 개 민간 사업자까지 확대됨에 따라 개인정보 관리실태가 취약한 분야 및 업종에 대한 실태 점검의 필요성이 대두되어 실시하게 되었습니다.

물론, 법 시행 초기에는 개인정보 침해 관련 언론보도, 신고민원등에 따라 실태점검을 실시했지만, 2012년 3월 말부터는 업종별로 관리실태가 취약한 대상을 선정하여 점검을 하였습니다.

이러한, 실태점검 결과 법률 위반 기업 및 기관에 대해서는 과태료 부과, 시정명령, 개선권고 등 행정 제재를 실시하여 개인정보보호에 대한 기업 및 기관의 경각심을 가지는 계기가 되었습니다.

2. 점검 종류 및 절차

개인정보 관리실태 현장점검은 침해 우려가 큰 취약 분야를 대상으로 실시하는 예방적 차원의 기획점검, 침해 신고나 민원 접수 등 침해사고가 발생할 때 실시하는 특별점검, 개인정보 관리실태를 자체적으로 점검하여 행정안전부로 제출하는 서면점검으로 나뉩니다.

  • 기획점검 절차

기획점검은 먼저 개인정보 보유량, 기업 규모, 사전 온라인 점검 결과 등을 종합적으로 판단하여 점검 대상을 선정하고, 공문 발송 후 수검 기관 현장을 직접 방문하여 자료 조사, 담당자 인터뷰, 시스템 점검 등을 실시하게 됩니다.

점검반은 보호위원회와 한국인터넷진흥원 등에서 2~3인으로 구성하며, 1개 업체 및 기관에 대하여 2~3일간 실시합니다.
특별점검은 해킹 등을 통한 개인정보 유출 사고가 발생하였을 때 사고의 원인 조사 및 책임 규명이 필요한 경우 실시한다. 또한 언론 보도 및 민원 접수 등으로 점검이 필요한 해당 업체 또는 업종에 대하여 실시합니다.

  • 서면점검 절차

서면점검은 수검 기관을 확대하기 위하여 2017년 처음 도입되었으며, 자율에 초점을 맞춘 간소화된 점검 방식입니다.
서면점검은 현장점검 인력 부족으로 점검 대상 34만 개 사업자 대비 연간 300개소 수준에 그치는 현장점검을 보완하기 위하여 도입되었으며, 서면점검은 현장점검 대상에 비하여 개인정보 보유량 및 기업 규모가 상대적으로 작은 업체를 대상으로 실시하게 됩니다.
점검 절차는 수검 기관이 직접 점검표와 증거 자료를 작성하여 제출하고, 행정안전부와 한국인터넷진흥원이 이를 점검하는 방식으로 진행되게 됩니다.

3. 행정 처분과 공표

개인정보 보호법은 법을 위반한 개인정보처리자 또는 그 밖의 자에 대하여 과태료 및 과징금 부과, 시정조치 명령, 개선권고, 징계권고, 공표 등을 행사하여 행정 질서를 바로잡으려는 행위입니다.

개인정보 보호법에는 대부분 개인정보처리자를 처분의 대상으로 하고 있으나, 영상정보처리기기 설치・운영에 대해서는 위반한 모든 사람을 처분 대상으로 하고 있습니다.

  • 개인정보보호법 _ 제61조(의견제시 및 개선권고) 

① 보호위원회는 개인정보 보호에 영향을 미치는 내용이 포함된 법령이나 조례에 대하여 필요하다고 인정하면 심의ㆍ의결을 거쳐 관계 기관에 의견을 제시할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>

② 보호위원회는 개인정보 보호를 위하여 필요하다고 인정하면 개인정보처리자에게 개인정보 처리 실태의 개선을 권고할 수 있다. 이 경우 권고를 받은 개인정보처리자는 이를 이행하기 위하여 성실하게 노력하여야 하며, 그 조치 결과를 보호위원회에 알려야 한다.

  • 제64조(시정조치 등)

① 보호위원회는 개인정보가 침해되었다고 판단할 상당한 근거가 있고 이를 방치할 경우 회복하기 어려운 피해가 발생할 우려가 있다고 인정되면 이 법을 위반한 자(중앙행정기관, 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회는 제외한다)에 대하여 다음 각 호에 해당하는 조치를 명할 수 있다.

  • 제75조(과태료)

① 다음 각 호의 어느 하나에 해당하는 자에게는 5천만원 이하의 과태료를 부과한다.

10년 이하의 징역 또는 1억원 이하의 벌금
– 거짓이나 그 밖의 부정한 수단이나 방법으로  제3자에게 제공한 자

5년 이하 징역 또는 5천만원 이하 벌금
– 정보주체의 동의 없이 개인정보를 제3자에게 제공한 자
– 민감정보 ,  고유식별정보 처리기준을 위반한 자

3년 이하 징역 또는 3천만원 이하 벌금
– 거짓 그 밖에 부정한 수단이나 방법에 의하여 개인정보를 취득하여 개인정보처리에 관한 동의를 얻은 행위를 한 자
– 직무상 알게 된 비밀을 누설하거나 직무상 목적 외에 이용한 자

2년 이하 징역 또는 2천만원 이하 벌금
– 안전성 확보에 필요한 보호조치를 취하지 아니하여 개인정보 분실∙도난∙유출∙위조∙변조∙훼손당한 자
– 개인정보를 파기하지 아니한 정보통신서비스 제공자
– 개인정보의 처리를 정지하지 아니하고 계속 이용하거나 제3자에게 제공한 자

5천만원 이하 과태료 
– 개인정보의 수집기준을 위반한 자

3천만원 이하 과태료 
– 개인정보 수집∙이용∙제공 동의획득시, 목적 외 이용∙제공 동의획득시, 직접 마케팅 업무위탁으로 인한 개인정보 제공시 정보주체에게 알려야 할 사항을 알리지 아니한 자
– 정보주체 외로부터 수집한 개인정보를 고지하지 않은 자
– 개인정보를 파기하지 아니한 자
– 안전성 확보에 필요한 조치의무를 이행하지 아니한 자
– 정보주체의 열람 요구를 부당하게 제한∙거절한 자
– 정보주체의 정정요구에 따라 필요조치를 취하지 아니한 자

1천만원 이하 과태료 
– 미 파기 개인정보의 별도 보존의무를 위반한 자
– 동의획득 방법을 위반하여 동의 받은 자

Tags: 실제상황과 위반사례
개인정보보호를 위한 자체 점검 및 자료 제출 요청에 따른 개인정보보호 실태점검서 준비(5)

개인정보보호 및 솔루션에 대해 궁금하신가요?
언제든지 문의하기를 통해 연락주세요

메뉴
error: 컨덴츠는 보호됩니다.