개인정보 영향평가 수행 안내서
(2018. 04)
◈ 개인정보 영향평가 개요
1. 개념
○ 개인정보 영향평가 (이하 영향평가 )
- 개인정보파일을 운용하는 새로운 정보시스템의 도입이나 기존에 운영 중인 개인정보 처리시스템의 중대한 변경 시
- 시스템의 구축?운영?변경 등이 개인정보에 미치는 영향(impact)을 사전에 조사/예측/검토하여 개선방안을 도출하는 체계적인 절차
2. 목적 및 필요성
개인정보 처리가 수반되는 사업 추진시 해당 사업이 개인정보에 미치는 영향을 사전에 분석하고 이에 대한 개선방안을 수립하여 개인정보 침해사고를 사전에 예방
3. 평가 대상
일정규모 이상의 개인정보를 전자적으로 처리하는 개인정보파일을 구축운영 또는 변경하려는 공공기관은 개인정보 보호법 이하 ( “법”이라 한다 제33조 및 ?개인정보 보호법 시행령? (이하 “영”이라 한다) 제35조에 근거하여 영향평가를 수행
- (5만명 조건) 5만명 이상의 정보주체의 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
- (50만명 조건)해당 공공기관의 내부 또는 외부의 다른 개인정보파일과 연계하려는 경우로서, 연계 결과 정보주체의 수가 50만 명 이상인 개인정보파일
- (100만명 조건) 100만 명 이상의 정보주체 수를 포함하고 있는 개인정보파일
※ 현시점 기준으로 영향평가 대상은 아니나 가까운 시점(1년 이내)에 정보주체의 수가 기준을 초과할 것이 확실한 경우 영향평가를 수행할 것을 권고
- (변경 시) 영제35조에 근거하여 영향평가를 실시한 기관이 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우, 변경된 부분에 대해서는 영향평가를 실시
※ 법령상 규정된 대상시스템이 아니더라도 대량의 개인정보나 민감한 개인정보를 수집 이용하는 기관은 개인정보 유출 및 오 남용으로 인한 사회적 피해를 막기 위해 영향평가 수행 가능
4. 영향평가 평가 시기
1) 시스템을 신규 구축 또는 기존 시스템을 변경하는 경우
개인정보처리시스템을 신규로 구축 하거나 기존 시스템을 변경하려는 기관은 사업계획 단계에서 영향평가 의무대상 여부를 파악하여 예산을 확보한 후 대상 시스템의 설계 완료 전에 영향평가를 수행해야 함.
또한 영향평가 결과는 시스템 설계개발 시 반영해야 함(「개인정보 영향평가에 관한 고시」 제9조의2)
2) 기 구축되어 운영 중인 시스템의 경우
○ 영향평가 유예기간은 ’16 9 , 년 월에 종료되었으므로 영향평가 의무 대상임에도 아직까지 영향평가를 수행하지 않은 경우 빠른 시일 내에 영향평가 수행 필요
○ 개인정보처리시스템을 기 구축 운영 중 아래의 경우 추가적으로 영향평가 수행 가능
- 수집 이용 및 관리상에 중대한 침해위험의 발생이 우려되는 경우
- 전반적인 개인정보 보호체계를 점검하여 개선하기 위한 경우
5. 평가 수행 주체
공공기관은 행정안전부장관이 지정한 영향평가기관에 평가를 의뢰하여 수행
※ 영향평가기관에 대한 정보는 개인정보보호 종합포털( www.privacy.go.kr )에서 확인 가능
6. 평가 수행 체계
영향평가는 행정안전부장관이 지정한 영향평가기관에 의뢰하여 영향평가를 수행하고 그 결과를 사업 완료 후 개월 이내에 행정안전부장관에게 제출 2 *
- 행정안전부장관은 개인정보보호위원회의 심의 의결을 거쳐 해당 사업에 대한 의견 제시 가능 ᛫
* 개인정보보호 종합지원시스템( http://intra.privacy.go.kr )에 등록
댓글 없음:
댓글 쓰기