개인정보 유출 및 개인정보 유출통지와 피해구제
1. 개인정보의 유출
개인정보의 유출은 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것으로서 다음 어느 하나에 해당하는 경우를 말함 (표준 개인정보 보호지침 제25조)
- 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
- 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
- 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우
- 기타 권한이 없는 자에게 개인정보가 전달된 경우
2. 개인정보 유출 통지
(1) 지체 없이 통지
개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 서면 등의 방법으로 해당 정보주체에게 개인정보 유출에 관한 다음의 사실을 알려야 함 (개인정보 보호법 제34조 제1항 및 제4항, 개인정보 보호법 시행령 제40조제1항 본문)
- 유출된 개인정보의 항목
- 유출된 시점과 그 경위
- 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
- 개인정보처리자의 대응조치 및 피해 구제절차
- 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
(2) 긴급조치후 지체 없이 통지
다만, 유출된 개인정보의 확산 및 추가 유출을 방지하기 위하여 접속경로의 차단, 취약점 점검·보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후 지체 없이 정보주체에게 알릴 수 있음 (개인정보 보호법 제34조제1항 및 개인정보 보호법 시행령 제40조 제1항 단서)
(3) 유출사실 및 유출 확인사항 우선통지 및 추후 확인사항 추가통지
개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때나 유출 사실을 알고 긴급한 조치를 한 후에도 유출된 개인정보의 항목 및 유출된 시점과 그 경위의 구체적인 유출 내용을 확인하지 못한 경우에는 먼저 개인정보가 유출된 사실과 유출이 확인된 사항만을 서면 등의 방법으로 먼저 알리고 나중에 확인되는 사항을 추가로 알릴 수 있음 (개인정보 보호법 제34조 제1항 및 개인정보 보호법 시행령 제40조제2항)
(4) 1천면 이상의 개인정보 유출 시 인터넷 홈페이지 게재
1천명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 서면 등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 개인정보 유출에 관한 위의 사실을 7일 이상 게재하여야 함. 다만, 인터넷 홈페이지를 운영하지 않는 개인정보처리자의 경우에는 서면 등의 방법과 함께 사업장등의 보기 쉬운 장소에 7일 이상 게시해야 함 (개인정보 보호법 제34조 제4항 및 개인정보 보호법 시행령 제40조 제3항)
3. 피해구제 조치
(1) 피해 최소화 대책 마련 및 조치
개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 함 (개인정보 보호법 제34조 제2항)
(2) 개인정보 유출 신고
개인정보처리자는 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 정보주체에 대한 통지 및 피해 최소화를 위한 조치 결과를 지체 없이 개인정보보호위원회 또는 한국인터넷진흥원에 신고하여야 함 (개인정보 보호법 제34조 제3항 전단 및 개인정보 보호법 시행령 제39조)
'헌법 & 행정법' 카테고리의 다른 글
행정심판의 청구 기간 (0) | 2021.11.22 |
---|---|
행정심판법상 오고지 · 불고지의 효과 (0) | 2021.11.22 |
개인정보처리자의 개인정보 안전성 확보 조치 (0) | 2021.08.18 |
개인정보 침해에 대한 집단분쟁조정 및 단체소송 (0) | 2021.08.18 |
개인정보 침해에 대한 구제수단 (0) | 2021.08.17 |
최근댓글