개인정보보호위원회(위원장 송경희)가 개인정보 유출 사고 예방·대응을 강화하고 국민 권리 보호를 두텁게 하기 위해 ‘개인정보 보호법 시행령’ 일부개정령안을 마련해 6월 2일부터 7월 13일까지 입법예고한다.
◆CPO 독립성 강화…이사회 의결·신고 의무 명문화
이번 개정안은 3월 10일 공포된 개정 ‘개인정보 보호법’(9월 11일 시행)의 후속 조치로 추진됐다.
개정법은 개인정보 보호책임자(CPO)의 권한과 독립성 강화, ISMS-P 인증 의무화, 유출 가능성 단계에서의 신속 통지 등을 골자로 하며, 이번 시행령은 그 세부 기준을 구체화하는 데 초점을 맞췄다.
CPO를 지정·변경·해제하는 경우 이사회 의결을 거쳐 개인정보위에 신고해야 하는 의무 대상 기준이 마련됐다. 대상 범위는 현행법상 전문 CPO 지정 의무 대상과 동일하게 규정됐다.
▲연 매출액·수입 1,800억 원 이상이면서 5만 명 이상 민감·고유식별정보 또는 100만 명 이상 개인정보처리자 ▲재학생 수 2만 명 이상인 대학 ▲상급종합병원 ▲공공시스템운영기관이 해당된다.
신고 의무 발생일로부터 1개월 이내(부득이한 사유 시 1개월 연장 가능) 신고서를 제출해야 한다.
◆ISMS-P 인증 의무 대상 구체화…2028년 말까지 인증 취득
공공·민간 분야 주요 개인정보처리자에 대한 ISMS-P 인증 의무 대상 범위도 구체화됐다.
▲공공시스템운영기관 중 개인정보위가 고시하는 자 ▲ 이동통신사업자 ▲ 본인확인기관이 의무 대상에 포함된다.
민간 부문은 전년도 매출액 1조 원 이상이면서 정보통신서비스 부문 전년도 매출액이 100억 원 이상이고, 전년도 말 기준 직전 3개월간 개인정보가 저장·관리되는 국내 정보주체 수가 일일평균 3,000만 명 이상인 사업자가 대상이다.
해당 사업자는 2028년 12월 31일까지 인증을 받아야 한다.
◆유출 가능성 단계부터 72시간 내 통지…위조·변조도 신고 의무
개인정보 유출 관련 통지·신고 기준도 강화됐다.
개인정보 처리 시스템에 대한 불법적 접근을 알게 됐거나, 개인정보가 불법적으로 거래·유통되고 있음을 알게 된 때에는 72시간 이내 정보주체에 통지해야 한다.
기존 분실·도난·유출에 한정됐던 통지·신고 의무가 위조·변조·훼손의 경우로도 확대됐다.
◆과태료 부과기준 정비…경고도 위반 이력으로 산정
제재 실효성을 높이기 위한 과태료 부과기준 개선도 이뤄졌다.
경미한 위반행위에 대해 과태료를 면제하고 경고를 부과한 경우, 이후 동일한 위반행위 재발 시 경고를 1회 위반 이력으로 산정해 2회차 기준을 적용한다.
또한 위반 횟수별 과태료 부과금액을 법제처 지침에 맞게 정비했다.
한편 개정안 전문은 (개인정보위 홈페이지) 공지사항에서 확인 가능하다.
[메디컬월드뉴스]
Copyright ⓒ 메디컬월드뉴스 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.