개인정보의 파기에 대한 부분은 모두 제21조로 귀결된다. 따라서 이 부분을 잘 아는 것이 중요하고, 인전성 확보조치 기준도 나오니 상세한 방법도 기억하도록 하자.
개인정보의 파기 - 제21조
개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성, 가명정보의 처리 기간 경과 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.
“가명정보의 처리 기간 경과”라는 상세한 경우가 추가되었다.
개인정보처리자는 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.
개인정보처리자가 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장 및 관리하여야 한다.
개인정보의 파기방법 - 시행령 제16조
개인정보처리자는 법 제21조에 따라 개인정보를 파기할 때에는 다음 각 호의 구분에 따른 방법으로 해야 한다.
- 전자적 파일 형태인 경우 : 복원이 불가능한 방법으로 영구 삭제. 다만, 기술적 특성으로 영구 삭제가 현저히 곤란한 경우에는 법 제58조의2에 해당하는 정보로 처리하여 복원이 불가능하도록 조치해야 한다.
- 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 파쇄 또는 소각
제58조의2는 더 이상 개인을 알아볼 수 없는 정보의 적용 제외를 말하는 조항이다.
안전한 파기에 관한 세부 사항 - 개인정보의 안전성 확보조치 기준 제13조 개인정보의 파기
개인정보처리자는 개인정보를 파기할 경우 다음 각 호 중 어느 하나의 조치를 하여야 한다.
- 완전파괴(소각 및 파쇄 등)
- 전용 소자장비(자기장을 이용해 저장장치의 데이터를 삭제하는 장비)를 이용하여 삭제
- 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
개인정보처리자가 개인정보의 일부만을 파기하는 경우, 제1항의 방법으로 파기하는 것이 어려울 때에는 다음 각 호의 조치를 하여야 한다.
- 전자적 파일 형태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독
- 전자적 파일 형태 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 구멍 뚫기 등으로 삭제
여기까지가 법으로 작성된 부분이다. 개인정보의 안전성 확보조치 기준 해설서에는 예시와 함께 자세한 내용이 적혀있지만, 이는 추후에 안전성 확보조치 기준 해설서 포스팅에서 따로 다루도록 하겠다.