개인정보보호법 개인정보 보호수준 평가

개인정보보호법에 관심이 많다면 보호수준 평가를 강화하겠다는 기사를 본 적이 있을 것이다. 아마 그 목적의 일환으로 만들어진 조항으로 보인다. 다만, 아직 시행되려면 멀었기 때문에 시행령도 없다. 짧게 내용만 정리하겠다.

개인정보 보호수준 평가 - 제11조의2

보호위원회는 공공기관 중 중앙행정기관 및 그 소속기관, 지방자치단체, 그 밖에 대통령령으로 정하는 기관을 대상으로 매년 개인정보 보호 정책 및 업무의 수행과 이 법에 따른 의무의 준수 여부 등을 평가하여야 한다.

보호위원회는 개인정보 보호수준 평가에 필요한 경우 해당 공공기관의 장에게 관련 자료를 제출하게 할 수 있다.

보호위원회는 개인정보 보호수준 평가의 결과를 인터넷 홈페이지 등을 통하여 공개할 수 있다.

보호위원회는 개인정보 보호수준 평가의 결과에 따라 우수기관 및 그 소속 직원에 대하여 포상할 수 있고, 개인정보 보호를 위하여 필요하다고 인정하면 해당 공공기관의 장에게 개선을 권고할 수 있다. 이 경우 권고를 받은 공공기관의 장은 이를 이행하기 위하여 성실하게 노력하여야 하며, 그 조치 결과를 보호위원회에 알려야 한다.

평가를 받는 기관

대통령령으로 정하는 기관이란 다음 각 호의 기관을 말한다. - 시행령 제13조의2제1항

1. 공공기관
2. 지방공사와 지방공단
3. 특수법인 및 각급 학교 중 공공기관의 개인정보 처리 업무의 특성 등을 고려하여 보호위원회가 고시하는 기준에 해당하는 기관

특별법에 의하여 설립된 특수법인과 고등교육법에 따른 학교 중에 다음 각 호의 사항을 종합적으로 고려하여 보호수준 평가가 필요한 기관에 대해 보호위원회가 정할 수 있다. - 개인정보 보호수준 평가에 관한 고시 제2조제2항

1. 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보를 처리하는 경우
2. 100만명 이상의 정보주체에 관한 개인정보를 처리하는 경우
3. 최근 3년간 개인정보 유출 등 개인정보 침해사고가 2회 이상 발생하였거나, 보호위원회로부터 과징금 또는 과태료 처분 등을 1회 이상 받은 경우
4. 그 밖에 개인정보 처리 및 관리에 있어서 개인정보 침해 우려가 크다고 판단되는 경우

위에 따라 지정된 평가 대상은 최초 평가를 위한 준비기간을 고려하여 차년도부터 평가를 실시할 수 있으며, 이 경우 최초 평가를 실시한 연도를 포함하여 3년간 평가를 실시한다. - 개인정보 보호수준 평가에 관한 고시 제2조제3항

평가 기준과 방법 및 절차

개인정보 보호수준 평가의 기준은 다음 각 호와 같다. - 시행령 제13조의2제2항

1. 개인정보 보호 정책ㆍ업무 수행실적 및 개선 정도
2. 개인정보 관리체계의 적정성
3. 정보주체의 권리보장을 위한 조치사항 및 이행 정도
4. 개인정보 침해방지 조치사항 및 안전성 확보 조치 이행 정도
5. 그 밖에 개인정보 처리 및 안전한 관리를 위해 필요한 조치 사항의 준수 여부

자료 제출의 범위

보호위원회는 다음 각 호의 자료를 제출하게 할 수 있다.

1. 평가대상기관이 개인정보 보호수준을 자체적으로 점검한 경우 그 결과 및 증명자료
2. 제1호의 증명자료의 검증에 필요한 자료
3. 그 밖에 개인정보의 안전한 관리 여부 등 개인정보 보호수준을 평가하기 위해 필요한 자료