개인정보보호법 제3장 개인정보의 처리(2) (21조 ~28조)

제 21조(개인정보의 파기)

- 개인정보 처리자는 보유기간 경과, 개인정보 처리 목적 달성 등 개인정보가 불필요하게 되었을 때 지체없이(개보법은 5일, 망법은 24시간) 그 개인정보 파기.

- 복구 재생 안되도록 조치

- 보존시에는  다른 개인정보파일과 분리해서 저장, 관리하여야 한다.

 

제 22조(동의받는 방법)

- 동의 받을 때에는 각각의 동의사항 구분하여 동의받아야 한다.

- 명확히 표시하여 알아보기 쉽도록 하여야 한다.(9pt)

- 동의 받을 때에는 동의 없이 처리할 수 있는 정보와 아닌정보를 구분하여야 한다.

- 홍보, 판매 권유위해 동의 받을 때는 정보주체가 이를 명확히 인지 할 수 있도록 알리고 동의를 받아야 한다.

- 동의를 하지않는다는 이유로 정보주체에게 서비스 제공을 거부하여서는 아니된다.

- 만 14세 미만 아동의 개인정보 처리를 위해서는 법정대리인의 동의를 받아야 하는데 이를위해 아동으로부터 법정대리인의 최소한의 정보를 수집할 수 있다.

 

제 2절 개인정보의 처리 제한

 

제 23조(민감정보의 처리제한)

- 민감정보 : 사상, 신념, 노동조합 및 정당 가입 탈퇴, 정치적 견해, 건강, 성생활 등의 민감정보를 처리하면 안됨

 

다음 각 호에 해당하는 경우 가능

1. 별도 동의 받은 경우

2. 법령에서 민감정보 처리 요구 or 허용

 

제 24조(고유식별정보의 처리 제한)

- 고유식별 번호(주민번호, 여권번호, 운전번호 등)을 처리하면 안됨.

 

다음 각호의 해당하는 경우 처리가능

1. 별도 동의 받은 경우

2. 법령에서 처리를 요구하거나 허용하는 경우

 

제 24조의 2 (주민등록번호 처리의 제한)

- 다음 각 호의 해당하는 경우를 제외하고 주민번호를 처리할 수 없다.

1. 법률, 대통령령, 국회규칙 등에서 구체적으로 주민등록번호의 처리를 요구한 경우

2. 정보주체 or 제3자의 급박한 생명, 신체, 재산의 이익 위해 명백히 필요하다고 인정되는 경우

3. 주민등록번호 처리가 불가피한 경우 행안부령으로 정하는 경우

 

제 25조(영상정보처리기기의 설치 및 운영 제한)

- 누구든지 다음 각 호의 경우를 제외하고 공개된 장소에 영상정보처리기기 설치 운영하면 아니 된다.

1. 법령에서 허용

2. 범죄 예방 및 수사

3. 시설안전, 화재 예방

4. 교통단속

5. 교통정보 수집 및 제공

 

- 사생활 침해가 우려되는 목욕탕 등에 설치하면 아니된다. 단 교도소, 정신보건 시설은 가능하다.

- 영상정보처리기기를 설치, 운영하는 자는 다음 각 호의 사항이 포함된 안내판을 설치하여야 한다.(군사시설, 국가 중요시설 제외)

1. 설치 목적 및 장소

2. 촬영 범위 및 시간

3. 관리책임자 성명 및 연락처

 

- 영상정보처리기기는 설치목적과 다른 목적으로 임의 조작하거나 녹음할 수 없다.

 

제 26조(업무 위탁에 따른 개인정보의 처리 제한)

- 개인정보처리자가 제 3자에게 개인정보의 처리 업무를 위탁하는 경우 다음 각 호의 내용이 포함된 문서에 의하여야 한다.

1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항

2. 개인정보의 기술적 관리적 조치에 관한 사항

 

- 개인정보처리자(위탁자)는 위탁하는 업무의 내용과 업무를 위탁받아 처리하는 수탁자를 정보주체가 언제든 쉽게 확인할 수 있도록 공개하여야 한다.

 

- 위탁자가 재화, 서비스를 홍보, 판매를 권유하는 업무 위탁시 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다.

 

- 수탁자는 위탁자로부터 위탁받은 해당 업무 범위르 초과하여 개인정보를 이용하거나 제 3자에게 제공하여서는 아니된다.

 

- 수탁자가 개인정보를 처리하는 과정에서 법위반 시 수탁사는 위탁자의 소속 직원으로 본다.

 

제 27조(영업양도 등에 따른 개인정보의 이전 제한)

- 개인정보 처리자는 영법의 전부 또는 일부의 양도, 합병등으로 개인정보를 다른 사람에게 이전시 다음 사항을 정보주체에게 알려야 한다.

1. 개인정보를 이전하려는 사실

2. 개인정보를 이전받는자 (영업양수자 등)의 성명(법인), 주소, 전화번호

3. 정보주체가 개인정보 이전 원하지 않을 때 방법 및 절차

 

- 영업양수자등은 개인정보를 이전받았을 때 지체없이(5일이내) 정보주체에게 알려야하지만 이전에 미리 알였을 때는 그렇지 아니하다.

 

- 영업양수자등은 영업의 양도, 합병등으로 개인정보를 이전받은 경우 본래복적으로만 이용 or 3자제공을 할 수 있다.

이때 영업양수자등은 개인정보처리자로 본다. 

 

제 28조(개인정보취급자에 대한 감독)

- 개인정보처리자는 개인정보처리자의 지휘, 감독을 받아 개인정보를 처리하는 개인정보취급자에 대해 적절한 관리 감독을 행하여야 한다.

 

- 개인정보처리자는 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다.