YesXYZ

아딸이 함께 만드는 세상

[CPPG] 개인정보 침해요인 평가, 개인정보 보호수준 평가, 개인정보 처리방침 평가 및 개인정보 영향평가 시 기준 및 고려사항

by · 2024년 08월 12일

개인정보 보호법 제8조의2 개인정보 침해요인 평가, 제11조의2 개인정보 보호수준 평가, 제30조의2 개인정보 처리방침의 평가 및 제33조 개인정보 영향평가를 수행할 때 고려사항을 알아보겠습니다.

개인정보 보호법 제8조의2(개인정보 침해요인 평가) ① 중앙행정기관의 장은 소관 법령의 제정 또는 개정을 통하여 개인정보 처리를 수반하는 정책이나 제도를 도입ㆍ변경하는 경우에는 보호위원회에 개인정보 침해요인 평가를 요청하여야 한다.

개인정보 침해요인 평가 시 고려사항

  1. 개인정보 처리의 필요성
  2. 개인정보 주체의 권리보장의 적정성
  3. 개인정보 관리의 안전성
  4. 그 밖에 침해요인 평가에 필요한 사항

개인정보 보호법 제11조의2(개인정보 보호수준 평가) ① 보호위원회는 공공기관 중 중앙행정기관 및 그 소속기관, 지방자치단체, 그 밖에 대통령령으로 정하는 기관을 대상으로 매년 개인정보 보호 정책ㆍ업무의 수행 및 이 법에 따른 의무의 준수 여부 등을 평가(이하 “개인정보 보호수준 평가”라 한다)하여야 한다.

개인정보 보호수준 평가 기준(시행령 제13조의2 제2항)

  1. 개인정보 보호 정책ㆍ업무 수행실적 및 개선 정도
  2. 개인정보 관리체계의 적정성
  3. 정보주체의 권리보장을 위한 조치사항 및 이행 정도
  4. 개인정보 침해방지 조치사항 및 안전성 확보 조치 이행 정도
  5. 그 밖에 개인정보의 처리 및 안전한 관리를 위해 필요한 조치 사항의 준수 여부

개인정보 보호수준 평가 지표

개인정보 보호법 시행령 제31조의2(개인정보 처리방침의 평가 대상 및 절차) ① 보호위원회는 법 제30조의2제1항에 따라 개인정보 처리방침을 평가하는 경우 다음 각 호의 사항을 종합적으로 고려하여 평가 대상을 선정한다.<개정 2024. 3. 12.>

개인정보 처리방침 평가 사항(법 제30조의2 제1항)

  1. 이 법에 따라 개인정보 처리방침에 포함하여야 할 사항을 적정하게 정하고 있는지 여부
  2. 개인정보 처리방침을 알기 쉽게 작성하였는지 여부
  3. 개인정보 처리방침을 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 여부

개인정보 처리방침 평가기준(2024년도 개인정보 처리방침 평가 계획)

  1. 적정성
    1. 적합성:
      필수ㆍ권장 기재 사항 작성 여부, 기재 내용의 법령 부합성 및 개인정보 처리의 법적근거 및 항목, 보유·이용기간 등의 구체성·적정성 평가
    2. 권리보장:
      정보주체의 권리 보장을 위해 처리방침에 작성하도록 한 사항의 기재 여부, 실제 작동 여부 등 평가
    3. 안전성:
      개인정보를 안전하게 관리하도록 추가적인 의무를 부여한 항목에 대해 법령 부합성 및 구체성·적정성 평가
  2. 가독성:
    처리방침의 구성 방법(줄 간격, 목차 등), 문장·어휘의 적정성, 가독성 제고를 위해 사용하고 있는 방법 등 평가
  3. 접근성:
    정보주체가 처리방침을 쉽게 확인 및 접근할 수 있는지 공개 방식의 적정성·접근 용이성 평가(웹·앱 처리방침 모두 포함)
  4. 기타 고려사항(감정):
    정보주체에게 불이익한 내용을 기재하고 있는 경우
    개인정보 처리방침 상 법령 위반 사실이 확인되거나, 최신 법률 내용 등이 미반영되는 등 개인정보 처리방침이 미흡한 경우

2024년 개인정보 처리방침 평가기준표
2024년 개인정보 처리방침 평가기준표
2024년 개인정보 처리방침 평가기준표

개인정보 보호법 제33조(개인정보 영향평가) ① 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가(이하 “영향평가”라 한다)를 하고 그 결과를 보호위원회에 제출하여야 한다.

개인정보 영향평가 시 고려사항(법 제33조 제3항)(2024년 정보보안기사 2회 실기시험 출제)

  1. 처리하는 개인정보의 수
  2. 개인정보의 제3자 제공 여부
  3. 정보주체의 권리를 해할 가능성 및 그 위험 정도
  4. 민감정보 또는 고유식별정보의 처리 여부
  5. 개인정보 보유기간

개인정보 영향평가 기준(시행령 제38조 제1항)

  1. 해당 개인정보파일에 포함되는 개인정보의 종류ㆍ성질, 정보주체의 수 및 그에 따른 개인정보 침해의 가능성
  2. 법 제23조제2항, 제24조제3항, 제24조의2제2항, 제25조제6항(제25조의2제4항에 따라 준용되는 경우를 포함한다) 및 제29조에 따른 안전성 확보 조치의 수준 및 이에 따른 개인정보 침해의 가능성
  3. 개인정보 침해의 위험요인별 조치 여부
  4. 그 밖에 법 및 이 영에 따라 필요한 조치 또는 의무 위반 요소에 관한 사항

개인정보 영향평가서 포함 사항(시행령 제38조 제2항)

  1. 영향평가의 대상 및 범위
  2. 평가 분야 및 항목
  3. 평가기준에 따른 개인정보 침해의 위험요인에 대한 분석ㆍ평가
  4. 제3호의 분석ㆍ평가 결과에 따라 조치한 내용 및 개선계획
  5. 영향평가의 결과
  6. 제1호부터 제5호까지의 사항에 대하여 요약한 내용

Tags:

You may also like...

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다