- 버전
- 다운로드 41
- 파일 크기 19.10 MB
- 파일 수 1
- 생성 날짜 2024년 4월 23일
- 마지막 업데이트 2024년 5월 20일
[개인정보보호위원회] 개인정보 영향평가 수행안내서(2024.04)
개인정보보호위원회에서 발간한
개인정보 영향평가 수행 안내서입니다.
업무에 참고 바랍니다.
ㅇ 자료명 : 개인정보 영향평가 수행안내서
ㅇ 발행일 : 2024년 4월
ㅇ 주관부처 : 개인정보보호위원회
제 1절. 개인정보 영향 평가 개요
1. 개념
- 개인정보 영향평가(이하 영향형가)
- 개인정보파일을 운용하는 새로운 정보시스템의 도입 및 기존에 운영 중인 개인정보 처리시스템의 중대한 변경 시
- 시스템의 구축·운영·변경 등이 개인정보에 미치는 영향(impact)을 사전에 조사·예측·검토하여 개선방안을 도출하고 이행여부를 점검하는 체계적인 절차
2. 목적 및 필요성
- 개인정보 처리가 수반되는 사업을 추진할 때는 사업이 갱니정보에 미치는 영향을 사전에 분석하고 이에 대한 개선방안을 수립, 개인정보 침해 사고를 사전에 예방해야 한다.
3. 평가 대상
- 일정규모 이상의 개인정보를 전자적으로 처리하는 개인정보 파일을 구축 및 운영 또는 변경하는 공공기관은 <개인정보 보호법> (이하"법"이라 한다) 제33조 및 <개인정보 보호법 시행령> (이하 "영"이라 한다)
- 5만명 조건 : 5만명 이상의 정보주체의 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
- 50만명 조건 : 해당 공공기관의 내부 또는 외부의 다른 개인정보파일과 연계하려는 경우로서, 연계 결과, 정보주체의 수가 50만 명 이상인 개인정보파일
- 100만명 조건 : 100만 명 이상의 정보주체 수를 포함하고 있는 개인정보파일
- 변경 시 : 영 제35조에 근거하여 영향평가를 실시한 기관이 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우, 변경된 부분에 대해서는 영향평가를 실시
- 개인정보 영향평가를 하지 아니하고 그 결과를 보호위원회에 제출하지 아니한 자는 개인정보보호법 시행령 제75조제2항16호에 근거하여 3천만 원 이하의 과태료를 부과한다.
4. 개인정보파일 및 개인정보처리시스템의 정의
- 개인정보파일 (정의) 개인정보파일은 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.개인정보파일은 데이터베이스 등 전자적 형태뿐 아니라 수기(手記) 문서 자료도 포함한다. 영향평가 대상이 되는 개인정보파일은 전자적으로 처리할 수 있는 것에 한정되어 있기에 일반적으로 종이 등의 문서에 수기로 기록된 개인정보 문서는 대상에서 제외된다. 단 종이로 기록될 경우에는 개인정보 문서가 PDF 등의 전자적인 매체로 변환될 경우 해당 PDF 파일 등은 평가의 대상이 된다.
- 개인정보처리시스템 (정의) 개인정보처리시스템은 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다. 개인정보처리시스템은 일반적으로 데이터베이스(DB) 내의 데이터에 접근할 수 있도록 해주는 응용 시스템을 의미한다. 데이터베이스를 구축하거나 운영하는데 필요한 시스템을 말한다. 다만 개인정보처리시스템은 개인정보처리자의 개인정보처리방법·시스템 구성 및 운영 환경 등에 따라 달라질 수 있으며, 작게는 한 대의 서버에서부터 크게는 수백 대의 서버 및 DBS를 운영하는 것까지 다양한 규모를 가진다. 영향평가에서는 개인정보처리시스템 내의 개인정보파일을 안전하게 보호하기 위해 필요한 기술적·관리적 및 물리적 안전조치가 적절하게 적용된 지 여부를 비롯, 개인정보의 수집, 저장, 이용, 제공, 파기 등 생명주기 상에 관련 법규를 준수해야 한다.
5. 공공기관의 범위(법 제2조제6호 및 시행령 제2조)
- 국회·법원·헌법재판소·중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속기관, 지방자치단체
- 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관
- 「국가인권위원회법」 제3조에 따른 국가인권위원회 1의2. 「고위공직자범죄수사처 설치 및 운영에 관한 법률」 제3조제1항에 따른 고위공직자범죄수사처
- 「공공기관의 운영에 관한 법률」 제4조에 따른 공공기관
- 「지방공기업법」에 따른 지방공사 및 지방공단
- 특별법에 의하여 설립된 특수법인
4.1 시스템을 신규 구축 또는 기존 시스템을 변경하는 경우
- 개인정보처리시스템을 신규로 구축 하거나 기존 시스템을 변경하려는 기관은 사업계획 단계에서 영향평가 의무 대상 여부를 파악하여 예산을 확보해야 한다. 이후 대상 시스템의 설계 완료 전에 영향평가를 수행해야 한다.
4.2 기 구축되어 운영 중인 시스템의 경우
- 개인정보처리시스템을 기 구축·운영 중, 아래의 경우 추가적으로 영향평가 수행 가능
- 수집과 이용 및 관리상에 중대한 침해위험의 발생이 우려되는 경우
- 전반적인 개인정보 보호체계를 점검하여 개선하기 위한 경우
더 자세한 내용은 개인정보보호위원회에서 발간한 개인정보 영향평가 수행 안내서를 참고 바랍니다.