가명정보의 처리와 관련한 안전조치 의무 및 가명정보 처리시 금지의무

 

1. 가명정보의 개념

 

가명정보란 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 또는 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보(이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 함)를 가명처리 함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보(이하가명정보”라 함)를 말함 (개인정보 보호법 제2조제1)

 

가명처리란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말함 (개인정보 보호법 제2조제1호의2)

 

2. 가명정보의 처리

 

개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있음 (개인정보 보호법 제28조의2 1)

 

개인정보처리자는 위에 따라 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 안 됨 (개인정보 보호법 제28조의2 2)

 

3. 가명정보의 결합 및 반출

 

통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합은 개인정보보호위원회(이하보호위원회라 함) 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행함 (개인정보 보호법 제28조의3 1)

 

결합을 수행한 기관 외부로 결합된 정보를 반출하려는 개인정보처리자는 가명정보 또는 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보로 처리한 뒤 전문기관의 장의 승인을 받아야 함 (개인정보 보호법 제28조의3 2항 및 제58조의2)

 

4. 가명정보에 대한 안전조치의무 등

 

(1) 개인정보처리자는 가명정보를 처리하는 경우에는 원래의 상태로 복원하기 위한 추가 정보를 별도로 분리하여 보관·관리하는 등 해당 정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 다음에서 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 함 (개인정보 보호법 제28조의4 1항 및 개인정보 보호법 시행령 제29조의5 1)

- 안전성 확보 조치

- 가명정보와 추가정보의 분리 보관. 다만, 추가정보가 불필요한 경우에는 추가정보를 파기해야 함

- 가명정보와 추가정보에 대한 접근 권한의 분리. 다만, 「소상공인기본법」 제2조에 따른 소상공인으로서 가명정보를 취급할 자를 추가로 둘 여력이 없는 경우 등 접근 권한의 분리가 어려운 정당한 사유가 있는 경우에는 업무 수행에 필요한 최소한의 접근 권한만 부여하고 접근 권한의 보유 현황을 기록으로 보관하는 등 접근 권한을 관리·통제해야 함

 

(2) 개인정보처리자는 가명정보를 처리하고자 하는 경우에는 가명정보의 처리 목적, 3자 제공 시 제공받는 자 등 가명정보의 처리 내용을 관리하기 위하여 다음의 사항에 대한 관련 기록을 작성하여 보관하여야 함 (개인정보 보호법 제28조의42항 및 개인정보 보호법 시행령 제29조의52)

- 가명정보 처리의 목적

- 가명처리한 개인정보의 항목

- 가명정보의 이용내역

- 3자 제공 시 제공받는 자

- 그 밖에 가명정보의 처리 내용을 관리하기 위하여 보호위원회가 필요하다고 인정하여 고시하는 사항

 

5. 가명정보 처리 시 금지의무 등

 

누구든지 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 안 됨 (개인정보 보호법 제28조의51)

 

개인정보처리자는 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리를 중지하고, 지체 없이 회수·파기해야 함 (개인정보 보호법 제28조의5 2)

 

6. 가명정보 처리에 대한 과징금 부과 등

 

보호위원회는 개인정보처리자가 특정 개인을 알아보기 위한 목적으로 정보를 처리한 경우 전체 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있음 (개인정보 보호법 제28조의6 1항 본문)

 

위에 따른 매출액은 해당 개인정보처리자의 직전 3개 사업연도의 연평균 매출액으로 함. 다만, 해당 사업연도 첫날 현재 사업을 개시한지 3년이 되지 않은 경우에는 그 사업개시일부터 직전 사업연도 말일까지의 매출액을 연평균 매출액으로 환산한 금액으로 하며, 해당 사업연도에 사업을 개시한 경우에는 사업개시일부터 위반행위일까지의 매출액을 연매출액으로 환산한 금액으로 함 (개인정보 보호법 시행령 제29조의61)

 

다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 다음의 어느 하나에 해당하는 경우에는 4억원 또는 자본금의 100분의 3 중 큰 금액 이하로 과징금을 부과할 수 있음 (개인정보 보호법 제28조의61항 단서 및 개인정보 보호법 시행령 제29조의6 2)

- 영업을 개시하지 않았거나 영업을 중단하는 등의 사유로 영업실적이 없는 경우

- 재해 등으로 인하여 매출액 산정자료가 소멸되거나 훼손되는 등 객관적인 매출액의 산정이 곤란한 경우

반응형
  • 네이버 블러그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 카카오스토리 공유하기

Law News에서 제공하는 모든 정보는 국내외의 법률과 판례에 기초한 일반적인 법률정보 입니다.

 

본 블로그에서 제공한 정보는 학술적 목적 또는 일반 정보제공 목적이므로 구체적인 법률적 판단에 그대로 적용되지 않을 수도 있습니다.

 

따라서 본 블로그의 글은 단순 참고용으로만 활용하시고 구체적인 법률 판단 및 조치를 위해서는 반드시 사전에 법률전문가의 자문을 받으시기 바랍니다.

 

공지사항 확인