개인정보 실태 점검 및 행정 처분 개요
개인정보보호 실태점검 및 행정처분
1. 배경과 필요성
2011년 9월 개인정보 보호법 시행 이후 법 적용 대상이 기존의 공공기관에서 380만 개 민간 사업자까지 확대됨에 따라 개인정보 관리실태가 취약한 분야 및 업종에 대한 실태 점검의 필요성이 대두되어 실시하게 되었습니다.
물론, 법 시행 초기에는 개인정보 침해 관련 언론보도, 신고민원등에 따라 실태점검을 실시했지만, 2012년 3월 말부터는 업종별로 관리실태가 취약한 대상을 선정하여 점검을 하였습니다.
이러한, 실태점검 결과 법률 위반 기업 및 기관에 대해서는 과태료 부과, 시정명령, 개선권고 등 행정 제재를 실시하여 개인정보보호에 대한 기업 및 기관의 경각심을 가지는 계기가 되었습니다.

2. 점검 종류 및 절차
개인정보 관리실태 현장점검은 침해 우려가 큰 취약 분야를 대상으로 실시하는 예방적 차원의 기획점검, 침해 신고나 민원 접수 등 침해사고가 발생할 때 실시하는 특별점검, 개인정보 관리실태를 자체적으로 점검하여 행정안전부로 제출하는 서면점검으로 나뉩니다.
-
기획점검 절차
기획점검은 먼저 개인정보 보유량, 기업 규모, 사전 온라인 점검 결과 등을 종합적으로 판단하여 점검 대상을 선정하고, 공문 발송 후 수검 기관 현장을 직접 방문하여 자료 조사, 담당자 인터뷰, 시스템 점검 등을 실시하게 됩니다.
점검반은 보호위원회와 한국인터넷진흥원 등에서 2~3인으로 구성하며, 1개 업체 및 기관에 대하여 2~3일간 실시합니다.
특별점검은 해킹 등을 통한 개인정보 유출 사고가 발생하였을 때 사고의 원인 조사 및 책임 규명이 필요한 경우 실시한다. 또한 언론 보도 및 민원 접수 등으로 점검이 필요한 해당 업체 또는 업종에 대하여 실시합니다.

-
서면점검 절차
서면점검은 수검 기관을 확대하기 위하여 2017년 처음 도입되었으며, 자율에 초점을 맞춘 간소화된 점검 방식입니다.
서면점검은 현장점검 인력 부족으로 점검 대상 34만 개 사업자 대비 연간 300개소 수준에 그치는 현장점검을 보완하기 위하여 도입되었으며, 서면점검은 현장점검 대상에 비하여 개인정보 보유량 및 기업 규모가 상대적으로 작은 업체를 대상으로 실시하게 됩니다.
점검 절차는 수검 기관이 직접 점검표와 증거 자료를 작성하여 제출하고, 행정안전부와 한국인터넷진흥원이 이를 점검하는 방식으로 진행되게 됩니다.

3. 행정 처분과 공표
개인정보 보호법은 법을 위반한 개인정보처리자 또는 그 밖의 자에 대하여 과태료 및 과징금 부과, 시정조치 명령, 개선권고, 징계권고, 공표 등을 행사하여 행정 질서를 바로잡으려는 행위입니다.
개인정보 보호법에는 대부분 개인정보처리자를 처분의 대상으로 하고 있으나, 영상정보처리기기 설치・운영에 대해서는 위반한 모든 사람을 처분 대상으로 하고 있습니다.
-
개인정보보호법 _ 제61조(의견제시 및 개선권고)
① 보호위원회는 개인정보 보호에 영향을 미치는 내용이 포함된 법령이나 조례에 대하여 필요하다고 인정하면 심의ㆍ의결을 거쳐 관계 기관에 의견을 제시할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
② 보호위원회는 개인정보 보호를 위하여 필요하다고 인정하면 개인정보처리자에게 개인정보 처리 실태의 개선을 권고할 수 있다. 이 경우 권고를 받은 개인정보처리자는 이를 이행하기 위하여 성실하게 노력하여야 하며, 그 조치 결과를 보호위원회에 알려야 한다.
-
제64조(시정조치 등)
① 보호위원회는 개인정보가 침해되었다고 판단할 상당한 근거가 있고 이를 방치할 경우 회복하기 어려운 피해가 발생할 우려가 있다고 인정되면 이 법을 위반한 자(중앙행정기관, 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회는 제외한다)에 대하여 다음 각 호에 해당하는 조치를 명할 수 있다.
-
제75조(과태료)
① 다음 각 호의 어느 하나에 해당하는 자에게는 5천만원 이하의 과태료를 부과한다.
10년 이하의 징역 또는 1억원 이하의 벌금
– 거짓이나 그 밖의 부정한 수단이나 방법으로 제3자에게 제공한 자
5년 이하 징역 또는 5천만원 이하 벌금
– 정보주체의 동의 없이 개인정보를 제3자에게 제공한 자
– 민감정보 , 고유식별정보 처리기준을 위반한 자
3년 이하 징역 또는 3천만원 이하 벌금
– 거짓 그 밖에 부정한 수단이나 방법에 의하여 개인정보를 취득하여 개인정보처리에 관한 동의를 얻은 행위를 한 자
– 직무상 알게 된 비밀을 누설하거나 직무상 목적 외에 이용한 자
2년 이하 징역 또는 2천만원 이하 벌금
– 안전성 확보에 필요한 보호조치를 취하지 아니하여 개인정보 분실∙도난∙유출∙위조∙변조∙훼손당한 자
– 개인정보를 파기하지 아니한 정보통신서비스 제공자
– 개인정보의 처리를 정지하지 아니하고 계속 이용하거나 제3자에게 제공한 자
5천만원 이하 과태료
– 개인정보의 수집기준을 위반한 자
3천만원 이하 과태료
– 개인정보 수집∙이용∙제공 동의획득시, 목적 외 이용∙제공 동의획득시, 직접 마케팅 업무위탁으로 인한 개인정보 제공시 정보주체에게 알려야 할 사항을 알리지 아니한 자
– 정보주체 외로부터 수집한 개인정보를 고지하지 않은 자
– 개인정보를 파기하지 아니한 자
– 안전성 확보에 필요한 조치의무를 이행하지 아니한 자
– 정보주체의 열람 요구를 부당하게 제한∙거절한 자
– 정보주체의 정정요구에 따라 필요조치를 취하지 아니한 자
1천만원 이하 과태료
– 미 파기 개인정보의 별도 보존의무를 위반한 자
– 동의획득 방법을 위반하여 동의 받은 자
제63조(자료제출 요구 및 검사)
① 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보처리자에게 관계 물품ㆍ서류 등 자료를 제출하게 할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
1. 이 법을 위반하는 사항을 발견하거나 혐의가 있음을 알게 된 경우
2. 이 법 위반에 대한 신고를 받거나 민원이 접수된 경우
3. 그 밖에 정보주체의 개인정보 보호를 위하여 필요한 경우로서 대통령령으로 정하는 경우
② 보호위원회는 개인정보처리자가 제1항에 따른 자료를 제출하지 아니하거나 이 법을 위반한 사실이 있다고 인정되면 소속 공무원으로 하여금 개인정보처리자 및 해당 법 위반사실과 관련한 관계인의 사무소나 사업장에 출입하여 업무 상황, 장부 또는 서류 등을 검사하게 할 수 있다. 이 경우 검사를 하는 공무원은 그 권한을 나타내는 증표를 지니고 이를 관계인에게 내보여야 한다. <개정 2013. 3. 23., 2014. 11. 19., 2015. 7. 24., 2017. 7. 26., 2020. 2. 4.>
③ 관계 중앙행정기관의 장은 소관 법률에 따라 개인정보처리자에게 제1항에 따른 자료제출을 요구하거나 개인정보처리자 및 해당 법 위반사실과 관련한 관계인에 대하여 제2항에 따른 검사를 할 수 있다. <개정 2015. 7. 24.>
④ 보호위원회는 이 법을 위반하는 사항을 발견하거나 혐의가 있음을 알게 된 경우에는 관계 중앙행정기관의 장(해당 중앙행정기관의 장의 지휘ㆍ감독을 받아 검사권한을 수행하는 법인이 있는 경우 그 법인을 말한다)에게 구체적인 범위를 정하여 개인정보처리자에 대한 검사를 요구할 수 있으며, 필요 시 보호위원회의 소속 공무원이 해당 검사에 공동으로 참여하도록 요청할 수 있다. 이 경우 그 요구를 받은 관계 중앙행정기관의 장은 특별한 사정이 없으면 이에 따라야 한다. <개정 2020. 2. 4.>
⑤ 보호위원회는 관계 중앙행정기관의 장(해당 중앙행정기관의 장의 지휘ㆍ감독을 받아 검사권한을 수행하는 법인이 있는 경우 그 법인을 말한다)에게 제4항에 따른 검사 결과와 관련하여 개인정보처리자에 대한 시정조치를 요청하거나, 처분 등에 대한 의견을 제시할 수 있다. <개정 2020. 2. 4.>
⑥ 제4항 및 제5항에 대한 방법과 절차 등에 관한 사항은 대통령령으로 정한다. <개정 2020. 2. 4.>
⑦ 보호위원회는 개인정보 침해사고의 예방과 효과적인 대응을 위하여 관계 중앙행정기관의 장과 합동으로 개인정보 보호실태를 점검할 수 있다. <신설 2015. 7. 24., 2017. 7. 26., 2020. 2. 4.>
⑧ 보호위원회와 관계 중앙행정기관의 장은 제1항 및 제2항에 따라 제출받거나 수집한 서류ㆍ자료 등을 이 법에 따른 경우를 제외하고는 제3자에게 제공하거나 일반에 공개해서는 아니 된다. <신설 2020. 2. 4.>
⑨ 보호위원회와 관계 중앙행정기관의 장은 정보통신망을 통하여 자료의 제출 등을 받은 경우나 수집한 자료 등을 전자화한 경우에는 개인정보ㆍ영업비밀 등이 유출되지 아니하도록 제도적ㆍ기술적 보완조치를 하여야 한다. <신설 2020. 2. 4.>
제60조(자료제출 요구 및 검사)
① 법 제63조제1항제3호에서 “대통령령으로 정하는 경우”란 개인정보 유출 등 정보주체의 개인정보에 관한 권리 또는 이익을 침해하는 사건ㆍ사고 등이 발생하였거나 발생할 가능성이 상당히 있는 경우를 말한다.
② 보호위원회는 법 제63조제1항 및 제2항에 따른 자료의 제출 요구 및 검사 등을 위하여 한국인터넷진흥원의 장에게 기술적인 사항을 자문하는 등 필요한 지원을 요청할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2015. 12. 30., 2017. 7. 26., 2020. 8. 4.>
③ 보호위원회는 법 제63조제4항 전단에 따라 관계 중앙행정기관의 장(해당 중앙행정기관의 장의 지휘ㆍ감독을 받아 검사권한을 수행하는 법인이 있는 경우 그 법인을 말한다. 이하 이 조에서 같다)에게 검사 대상 및 사유를 정하여 개인정보처리자에 대한 검사를 요구할 수 있으며, 필요 시 보호위원회의 소속 공무원을 지정하여 해당 공무원이 검사에 공동으로 참여하도록 요청할 수 있다. <신설 2020. 8. 4.>
④ 제3항에 따른 요구를 받은 관계 중앙행정기관의 장은 검사 일정, 검사 범위 및 방법 등을 포함한 검사 계획을 수립하여 요구를 받은 날부터 15일 이내에 보호위원회에 통보해야 한다. <신설 2020. 8. 4.>
⑤ 관계 중앙행정기관의 장은 제4항에 따른 검사 계획을 통보한 날부터 60일 이내에 검사를 완료하고, 검사 결과를 보호위원회에 통보해야 한다. 다만, 검사 기간은 보호위원회와 협의하여 30일 이내의 범위에서 연장할 수 있다. <신설 2020. 8. 4.>
⑥ 관계 중앙행정기관의 장은 법 제63조제5항에 따라 개인정보처리자에 대한 시정조치를 요청받거나 처분 등에 대한 의견을 제시받은 경우에는 그 내용을 이행하도록 노력해야 한다. <신설 2020. 8. 4.>
⑦ 보호위원회는 법 제63조제7항에 따라 개인정보 침해사고의 예방과 효과적인 대응이 필요한 경우에는 보호위원회가 정하는 바에 따라 관계 중앙행정기관의 장에게 공동대응을 요청할 수 있다. <신설 2020. 8. 4.>