개인정보 영향평가 수행안내서(2020.12)

버전
다운로드 3286
파일 크기 33.78 MB
파일 수 1
생성 날짜 2020년 12월 30일
마지막 업데이트 2024년 2월 2일

개인정보 영향평가 수행안내서(2020.12)입니다.
업무에 참고하시기 바랍니다.

[개요]

ㅁ 추진배경

본 안내서는 개인정보 처리가 수반되는 사업 추진시 해당 사업이 개인정보에 미치는 영향을 사전에 분석하고 이에 대한 개선방안을 수립하여 개인정보 침해사고를 사전에 예방하기 위해 마련되었습니다.

ㅁ 적용 대상

공공기관

(개념) 개인정보 영향평가
- 개인정보파일을 운용하는 새로운 정보시스템의 도입이나 기존에 운영 중인 개인정보처리시스템의 중대한 변경 시
- 시스템의 구축᛫운영᛫변경 등이 개인정보에 미치는 영향(impact)을 사전에 조사᛫예측᛫검토하여 개선방안을 도출하는 체계적인 절차

(평가 대상) 일정규모 이상의 개인정보를 전자적으로 처리하는 개인정보파일을 구축‧운영 또는 변경하려는 공공기관은 「개인정보 보호법」 (이하 “법”이라 한다) 제33조 및 「개인정보 보호법 시행령」(이하 “영”이라 한다) 제35조에 근거하여 영향평가를 수행

- (5만명 조건) 5만명 이상의 정보주체의 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일

- (50만명 조건) 해당 공공기관의 내부 또는 외부의 다른 개인정보파일과 연계하려는 경우로서, 연계 결과 정보주체의 수가 50만 명 이상인 개인정보파일

- (100만명 조건) 100만 명 이상의 정보주체 수를 포함하고 있는 개인정보파일

※ 현시점 기준으로 영향평가 대상은 아니나 가까운 시점(1년 이내)에 정보주체의 수가 기준을 초과할 것이 확실한 경우, 영향평가를 수행할 것을 권고

- (변경 시) 영제35조에 근거하여 영향평가를 실시한 기관이 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우, 변경된 부분에 대해서는 영향평가를 실시

※ 법령상 규정된 대상시스템이 아니더라도 대량의 개인정보나 민감한 개인정보를 수집᛫이용하는 기관은 개인정보 유출 및 오᛫남용으로 인한 사회적 피해를 막기 위해 영향평가 수행 가능

[관련 법령]

∙ 개인정보 보호법 제33조(영향평가)

∙ 개인정보 보호법 시행령 제35조(영향평가의 대상)

∙ 개인정보 보호법 시행령 제36조(영향평가 시 고려사항)

∙ 개인정보 보호법 시행령 제37조(평가기관의 지정 및 지정취소)

∙ 개인정보 보호법 시행령 제38조(영향평가의 평가기준 등)

∙ 개인정보 처리 방법에 관한 고시 제3조(개인정보 보호업무 관련 장부 및 문서 서식)

∙ 개인정보 영향평가에 관한 고시

[목차]

I. 총론

1. 개인정보 영향평가 개요
2. 용어정의 및 추진근거
3. 개인정보 영양평가 수행절차 요약

II. 영향평가 수행절차

1. 영향평가 사전준비 단계
2. 영향평가 수행단계
3. 이행단계

부록 1. 개인정보 영향평가서 양식
부록 2. 개인정보 영향평가 항목(요약)
부록 3. 개인정보 영향평가 항목(평가표)
부록 4. 개인정보 영향평가 FAQ

※ 해당 안내서는 개인정보보호위원회 홈페이지(https://www.pipc.go.kr)정책·법령 지침·가이드라인 및 KISA 한국인터넷진흥원 홈페이지(https://www.kisa.or.kr/)에서 확인할 수 있습니다.
※ 출처: https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=D010030000&nttId=7035#LINK
※ 더 많은 자료 확인하러 가기

다운로드