개인정보 처리방침 평가 제도 시행(개정 개인정보 보호법) 

2023년 9월 15일부터 시행되고 있는 개정 「개인정보 보호법」은 「개인정보 처리방침 평가 제도」를 도입하였습니다.

​

이 제도는 기업·기관이 투명하게 개인정보를 처리하도록 유도하고 개인정보 처리에 책임성​을 강화하기 위하여 도입된 것입니다.

​

​기업·기관에서 시행하고 있는 「개인정보 처리방침」을 3가지 평가 기준, 즉 법령에서 정한 사항을 적정하게 정하고 있는지(적정성), 알기 쉽게 작성하였는지(가독성), 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지(접근성) 등에 따라 평가하는 제도입니다.

​

​「개인정보 처리방침」 평가 제도는, 모든 개인정보처리자에게 적용되는 것은 아닙니다.

​

​개인정보처리자의 유형 및 매출액 규모, 처리하는 개인정보 유형 및 규모, 과거 법 위반행위 발생 여부, 아동·청소년이 주로 이용하는 서비스 등 총 5개 항목을 종합적으로 고려하여 개인정보보호위원회가 평가 대상을 직권으로 선정합니다.

​

​개인정보보호위원회는 제도 도입 후 첫 평가 대상으로 국민생활에 밀접한 7개 분야*에서 49개 기업 및 기관을 선정하였고, 「개인정보 처리방침」의 3가지 평가 기준(적정성, 가독성, 접근성)을 총 26개 항목, 42개 지표, 63개 세부지표로 나눠서 평가할 예정이라고 합니다.

​

[*선정된 7개 분야: 빅테크, 온라인 쇼핑, 온라인 플랫폼(주문/배달, 숙박/여행), 병·의료원, 온라인 동영상 서비스(OTT), 엔터테인먼트(게임, 웹툰), 인공지능 채용]

​

​중점 평가 항목은, "개인정보 처리방침에 명시해야 할 사항을 적절히 작성하였는지", "정보주체가 이해하기 쉽게 작성되었는지" 가 될 것으로 보입니다.

​

​「개인정보 처리방침」 평가 결과 우수한 등급을 받은 개인정보처리자에게 과징금/과태료 부과 시 감경 등 인센티브를 제공하고, 개선이 필요한 개인정보 처리자에게는 개선을 권고하고 개선 권고 내용 및 결과를 공표 예정입니다.

​

​개선 권고 평가는 기업의 신뢰와 평판에 영향을 줄 수 있습니다. 이에 보호위원회는 평가 결과에 이의 신청 할 수 있는 절차를 마련해 두었고, 이의 신청 결과를 종합한 평가 결과를 확정하여 개선 권고를 통보할 예정이라고 합니다.

​

[개인정보 처리방침 평가 제도 대비 : 개인정보 처리방침 개정 및 정비]

개정 개인정보 보호법은, 「개인정보 처리방침」 평가 제도를 도입하면서, 「개인정보 처리방침」 에 포함되어야 하는 항목을 추가하였습니다. 추가된 내용은 아래와 같습니다.

• ​민감정보의 공개 가능성 및 비공개를 선택하는 방법
• 가명정보의 처리 등에 관한 사항
• 제3자가 자동 수집 장치로 행태정보를 수집하도록 허용하는 경우, 그 수집/이용 거부
• 정보주체의 동의 없이 처리할 수 있는 개인정보 항목, 법적 근거
• 이동형 영상정보처리기기기 설치/운영/관리
• 개인정보 추가적 이용/제공이 지속적으로 발생할 경우 그 판단 기준
• 개인정보 국외 수집 및 이전에 관한 사항

「개인정보 처리방침」 평가 제도 시행 첫 해인 올해에는 개인정보 활용이 높은 분야의 일부 기업 및 기관을 평가 대상으로 선정한 것 같습니다. 평가 제도가 안착되면, 평가 분야 및 기업·기관은 대폭 늘어날 것으로 보입니다.

​

개인정보보호위원회는 2024. 2. 20. 평가 대상 선정 세부 기준을 담은 「개인정보 처리방침 평가에 관한 고시」 를 제정하였습니다.

​

「개인정보 처리방침」 을 운영하는 기업, 기관, 단체, 개인 사업자는 개정된 내용을 반영하여 「개인정보 처리방침」 을 정비하시기를 권유드립니다.