[CPPG] 개인정보 보호법 상 개인정보처리자가 정보주체에게 “알려야 하는” 항목 및 그 내용

개인정보 보호법 상 별도의 동의가 필요한 항목과 각각 동의 시 고지 사항 글과 개인정보 보호법 상에서 “공개하여야 할” 항목과 공개 방법 글을 함께 보시면 좋습니다.

제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 통지)
개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 3일 이내에 정보주체에게 알려야 한다.
5만명 이상의 정보주체에 관하여 민감정보 또는 고유식별정보를 처리하는 개인정보처리자나, 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 개인정보처리자는 제3자 제공 동의에 근거하여 정보주체 이외로부터 개인정보를 제공받아 처리하는 때에는 제공받은 날부터 3개월 이내에 정보주체에게 알려야 한다. 다만, 개인정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 아니한 경우에는 그러하지 아니하다.

1. 개인정보의 수집 출처
2. 개인정보의 처리 목적
3. 개인정보 처리의 정지를 요구하거나 동의를 철회할 권리가 있다는 사실

 
제20조의2(개인정보 이용ㆍ제공 내역의 통지)
5만명 이상의 정보주체에 관하여 민감정보 또는 고유식별정보를 처리하는 개인정보처리자나, 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 개인정보처리자는 ①(알림창을 통해)수집한 개인정보의 이용ㆍ제공 내역이나 ②이용ㆍ제공 내역을 확인할 수 있는 정보시스템에 접속하는 방법을 주기적으로(연 1회 이상) 정보주체에게 통지하여야 한다.

1. 개인정보의 수집ㆍ이용 목적 및 수집한 개인정보의 항목
2. 개인정보를 제공받은 제3자와 그 제공 목적 및 제공한 개인정보의 항목

 
제25조의2(이동형 영상정보처리기기의 운영 제한)
이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영하는 경우에는 불빛, 소리, 안내판,안내서면, 안내방송 또는 그 밖에 이에 준하는 수단이나 방법으로 정보주체가 촬영 사실을 쉽게 알 수 있도록 표시하고 알려야 한다.

 
제26조(업무위탁에 따른 개인정보의 처리 제한)
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라(서면등의 방법) 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다.(주의: 개인정보 처리방침에 공개하는 것으로 갈음해서는 안됨)

 
제27조(영업양도 등에 따른 개인정보의 이전 제한)
① 개인정보처리자는 영업의 전부 또는 일부의 양도ㆍ합병 등으로 개인정보를 다른 사람에게 이전하는 경우에는 미리 다음 각 호의 사항을 대통령령으로 정하는 방법에 따라(서면등의 방법) 해당 정보주체에게 알려야 한다.(법문 상 개인정보를 이전하기 전에 미리 통지하여야 한다.)

1. 개인정보를 이전하려는 사실
2. 개인정보를 이전받는 자(이하 “영업양수자등”이라 한다)의 성명(법인의 경우에는 법인의 명칭을 말한다), 주소, 전화번호 및 그 밖의 연락처
3. 정보주체가 개인정보의 이전을 원하지 아니하는 경우 조치할 수 있는 방법 및 절차

② 영업양수자등은 개인정보를 이전받았을 때에는 지체 없이 그 사실을 대통령령으로 정하는 방법에 따라(서면등의 방법) 정보주체에게 알려야 한다. 다만, 개인정보처리자가 제1항에 따라 그 이전 사실을 이미 알린 경우에는 그러하지 아니하다.(법문 상 개인정보를 이전받은 후에 지체 없이 통지하여야 한다.)

 
제34조(개인정보 유출 등의 통지ㆍ신고)
개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출(이하 이 조에서 “유출등”이라 한다)되었음을 알게 되었을 때에는 지체 없이(72시간 이내) 해당 정보주체에게 다음 각 호의 사항을 알려야 한다.

1. 유출등이 된 개인정보의 항목
2. 유출등이 된 시점과 그 경위
3. 유출등으로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

 
시행령 제41조(개인정보의 열람절차 등)
⑤ 개인정보처리자는 제1항 및 제3항에 따른 개인정보 열람 요구를 받은 날부터 10일 이내에 정보주체에게 해당 개인정보를 열람할 수 있도록 하는 경우와 제42조제1항에 따라 열람 요구 사항 중 일부를 열람하게 하는 경우에는 열람할 개인정보와 열람이 가능한 날짜ㆍ시간 및 장소 등(제42조제1항에 따라 열람 요구 사항 중 일부만을 열람하게 하는 경우에는 그 사유와 이의제기방법을 포함한다)을 보호위원회가 정하여 고시하는 열람통지서로 해당 정보주체에게 알려야 한다. 다만, 즉시 열람하게 하는 경우에는 열람통지서 발급을 생략할 수 있다.

1. 개인정보의 항목 및 내용
2. 개인정보의 수집ㆍ이용의 목적
3. 개인정보 보유 및 이용 기간
4. 개인정보의 제3자 제공 현황
5. 개인정보 처리에 동의한 사실 및 내용

 
시행령 제43조(개인정보의 정정ㆍ삭제 등)
③ 개인정보처리자는 제1항과 제2항에 따른 개인정보 정정ㆍ삭제 요구를 받은 날부터 10일 이내에 법 제36조제2항에 따라 해당 개인정보의 정정ㆍ삭제 등의 조치를 한 경우에는 그 조치를 한 사실을, 법 제36조제1항 단서에 해당하여 삭제 요구에 따르지 아니한 경우에는 그 사실 및 이유와 이의제기방법을 보호위원회가 정하여 고시하는 개인정보 정정ㆍ삭제 결과 통지서로 해당 정보주체에게 알려야 한다.
시행령 제42조(개인정보 열람의 제한ㆍ연기 및 거절)
② 개인정보처리자가 법 제35조제3항 후단에 따라 정보주체의 열람을 연기하거나 같은 조 제4항에 따라 열람을 거절하려는 경우에는 열람 요구를 받은 날부터 10일 이내에 연기 또는 거절의 사유 및 이의제기방법을 보호위원회가 정하여 고시하는 열람의 연기ㆍ거절 통지서로 해당 정보주체에게 알려야 한다.

 
제37조(개인정보의 처리정지 등)
개인정보처리자는 처리정지 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 아래의 어느 하나에 해당하는 경우로 처리정지 요구를 거절하거나 동의 철회에 따른 조치를 하지 아니하였을 때에는 정보주체에게 지체 없이(10일 이내) 그 사유를 알려야 한다.

1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
2. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
3. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우
4. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우