개인정보보호법

외우고 싶은 부분만 간략하게 정리하였습니다.

목적

  • 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다.

제 3조 - 개인정보 보호원칙

OECD 프라이버시 8원칙(개인정보 보호원칙)

  • 수집 제한의 원칙 : 최소한의 개인 정보만을 수집
  • 목적 명확화의 원칙 : 처리 목적을 명확하게, 최소한의 개인정보만을 수집
  • 이용 제한의 원칙 : 사생활 침해를 최소화, 익명 처리가 가능하면 익명처리한다.
  • 정보 정확성의 원칙 : 처리목적에 필요한 범위에서 정확성 및 최신성이 보장되도록
  • 안정성 확보의 원칙 : 정보주체의 권리가 침해받을 가능성과 그 위험정도를 고려하여
  • 처리방침 공개의 원칙 : 개인정보 처리에 관한 사항을 공개하여야 한다.
  • 정보주체 참여의 원칙 : 열람 청구권등 정보주체의 권리를 보장하여야 한다.
  • 책임의 원칙 : 개인정보처리자는 책임과 의무 준수, 정보주체의 신뢰를 얻어야 함

제 4조 - 정보주체의 권리


정보 주체는 개인정보 처리에 관련하여 각 호의 권리를 가진다.
- 개인정보의 처리에 관한 정보를 제공받을 권리
- 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
- 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람을 요구할 권리
- 개인정보의 처리 정지, 정정, 삭제 및 파기를 요구할 권리
- 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리

제 15조 - 개인정보의 수집,이용

개인정보 처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.

- 정보 주체의 동의를 받은 경우
- 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
- 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
- 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
- 정보주체 또는 그 법정 대리인이 의사표시를 할 수 없는 상태에 있거나 주소 불명으로 사전의 동의를 받을 수 없는 경우
- 개인정보 처리자의 정당한 이익을 달성하기 위하여 필요한 경우
개인정보처리자가 정보주체에게 알려야 하는 사항

- 개인정보의 수집, 이용 목적
- 개인정보의 항목
- 개인정보의 보유, 이용 기간
- 동의할 거부가 있다는 사실 및 동의 거부에 따른 불이익

제 16조 - 개인정보의 수집 제한

  • 개인정보 처리자는 최소한의 개인정보를 수집하여야 한다.
  • 개인정보 처리자는 정보주체에게 최소한의 정보 외에 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 알림
  • 개인정보 처리자는 정보주체가 최소한의 정보 외에 개인정보 수집에 동의하지 아니한다는 이유로 서비스 제공을 거부하여서는 아니된다.

제 17조 - 개인정보의 제공

정보주체의 개인정보를 제 3자에게 제공 가능할 때
  • 정보 주체의 동의를 받은 경우
  • (제15조 제1항 제2호 및 제5호)에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공한 경우
제 3자 제공이 가능한 경우
  • 정보주체의 동의를 받은 경우
  • 법률에 특정한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
  • 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
  • 정보 주체 또는 그 법정 대리인이 의사표시를 할 수 없는 상태에 있거나 등등 사전 동의를 받을 수 없는 경우

제 18조 - 개인정보의 목적 외 이용,제공 제한

목적 외 이용,제공 금지 예외 사유

- 정보 주체로부터 별도의 동의를 받은 경우
- 다른 법률에 특별한 규정이 있는 경우
- 정보 주체가 의사표시를 할 수 없는 상태 등 사전 동의를 받을 수 없는 경우
- 통계 작성 및 학술 연구 등의 목적을 위하여 필요한 경우
- 개인정보를 목적 외의 용도로 이용하거나 이를 제 3자에게 제공하지 아니하면 법률에서 정하는 소관 업무를 수행할 수 없는 경우
- 조약, 그 밖의 국제협정의 이행을 위하여 외국정부, 국제정부에 제공하기 위하여 필요한 경우
- 범죄의 수사 및 공소의 제기 및 유지를 위하여 필요한 경우
- 법원의 재판업무 수행을 위하여 필요한 경우
- 형 및 감호, 보호처분의 집행을 위하여 필요한 경우

제 21조 - 개인정보의 파기

  • 개인정보처리자는 보유시간의 경과, 처리목적 달성 이후에는 지체없이 그 개인정보를 파기하여야 한다.
  • 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.
  • 개인정보 처리자가 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 똔느 개인정보파일을 다른 개인정보와 분리하여서 저장, 관리하여야 한다.
  • 개인정보의 파기 방법 절차에 필요한 사항은 대통령령으로 정한다.

제 24조 - 고유식별정보 처리 제한

  • 고유식별정보는 원칙적으로 처리 할 수 없다. 하지만 별도로 정보주체의 동의를 받은 경우나 법령에서 고유식별정보의 처리를 오구하거나 허용하고 있는 경우에는 고유식별정보를 처리할 수 있다.
제 24조 2 - 주민등록 처리의 제한
처리할 수 있는 경우
  • 법령에서 구체적으로 주민등록 번호의 처리를 요구하거나 허용
  • 정보주체 또는 제 3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정
  • 주민번호 처리가 불가피한 경우(행정안전부령)

제 25조 - 영상정보처리기기의 설치,운영 제한

안내판 포함 내용
  • 설치 목적 및 장소
  • 촬영 범위 및 시간
  • 관리책임자의 성명 및 연락처

제 29조

  • 개인정보 처리자의 경우, 개인정보가 분실,도난,유출,변조 또는 훼손되지 아니하도록 필요한 기술적, 관리적, 물리적 조치를 취하도록 규정

[관리적 조치]
- 개인정보의 안전한 처리를 위한 내부 관리계획의 수립,시행

[기술적 조치]
- 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치
- 개인정보를 안전하게 저장,전송 할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
- 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조,변조 장치를 위한 조치
- 개인 정보에 대한 악성프로그램 방지 프로그램 설치 및 갱신
- 개인정보 유출 등 개인정보 침해사고 방지를 위한 관리용 단말기의 안전조치

[물리적 조치]
- 개인정보의 안전한 보관을 위한 시설 또는 잠금장치 설치 등 물리적 조치 및 위기대응 절차 수립
- 개인정보 처리자는 개인정보를 파기할 경우 규정에 따라 조치하여야 한다.

제 35조 - 개인정보 영향평가의 대상

대통령령으로 정하는 개인정보파일

- 구축, 운용 또는 변경하려는 개인정보 파일로서 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
- 연계하려는 경우, 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보 파일
- 구축, 운용 또는 변경하려는 개인정보 파일로서 100만명 이상의 정보주체에 관한 개인정보 파일
- 영향평가 받은 후에 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우 그 개인정보 파일

제 40조 - 개인정보 분쟁조정위원회 설치 및 구성

  • 위원장 1명을 포함한 20명 이내의 위원으로 구성
  • 조정 사건의 분야별로 5명 이내의 위원으로 구성되는 조정부를 둘 수 있다.
  • 조정부 중 1명은 변호사 자격이 있는 위원으로 한다.

제 44조 - 분쟁조정의 처리 기간

  • 분쟁 조정 신청을 받은 날부터 60 일 이내에 이를 심사하여 조정안을 작성하여야 한다.

제 47조 - 분쟁의 조정

  • 분쟁조정 위원회는 각 호의 어느 하나의 사항을 포함하여 조정안을 작성할 수 있음
1. 조사 대상 침해행위의 중지
2. 원상회복, 손해배상, 그 밖에 필요한 구제조치
3. 같거나 비슷한 침해의 재발을 방지하기 위하여 필요한 조치
  • 조정안을 제시한 날 부터 15 일 이내에 수락 여부를 알리지 아니하면 조정을 거부한 것으로 본다.
  • 조정의 내용은 재판상 화해와 동일한 효력을 갖는다.