개인정보 영향평가 (PIA : Privacy Impact Assessment)의 개념
개인정보를 활용하는 새로운 정보시스템의 도입 및 기존 정보시스템의 중요한 변경 시, 시스템의 구축·운영이 기업의 고객은 물론 국민의 프라이버시에 미칠 영향에 대하여 미리 조사·분석·평가하는 체계적인 절차
개인정보 보호법
제33조(개인정보 영향평가)
①공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가(이하 “영향평가”라 한다)를 하고 그 결과를 보호위원회에 제출하여야 한다. 이 경우 공공기관의 장은 영향평가를 보호위원회가 지정하는 기관(이하 “평가기관”이라 한다) 중에서 의뢰하여야 한다.
② 영향평가를 하는 경우에는 다음 각 호의 사항을 고려하여야 한다.
1. 처리하는 개인정보의 수
2. 개인정보의 제3자 제공 여부
3. 정보주체의 권리를 해할 가능성 및 그 위험 정도
4. 그 밖에 대통령령으로 정한 사항
③ 보호위원회는 제1항에 따라 제출받은 영향평가 결과에 대하여 의견을 제시할 수 있다.
④ 공공기관의 장은 제1항에 따라 영향평가를 한 개인정보파일을 제32조제1항에 따라 등록할 때에는 영향평가 결과를 함께 첨부하여야 한다.
⑤ 보호위원회는 영향평가의 활성화를 위하여 관계 전문가의 육성, 영향평가 기준의 개발ㆍ보급 등 필요한 조치를 마련하여야 한다.
⑥ 제1항에 따른 평가기관의 지정기준 및 지정취소, 평가기준, 영향평가의 방법ㆍ절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
⑦ 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관을 포함한다)의 영향평가에 관한 사항은 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙으로 정하는 바에 따른다.
⑧ 공공기관 외의 개인정보처리자는 개인정보파일 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 영향평가를 하기 위하여 적극 노력하여야 한다.
개인정보 영향평가 의무 대상
개인정보보호법 제2조제6호에 따른 공공기관에서 운영하는 개인정보파일과 해당 처리시스템으로서,
개인정보파일이 개인정보보호법 시행령 제35조에 해당하는 경우 개인정보 영향평가를 의무적으로 수행하여야 합니다.
개인정보 보호법 시행령
제35조(개인정보 영향평가의 대상)
법 제33조제1항에서 “대통령령으로 정하는 기준에 해당하는 개인정보파일”이란 개인정보를 전자적으로 처리할 수 있는 개인정보파일로서 다음 각 호의 어느 하나에 해당하는 개인정보파일을 말한다.
1. 구축ㆍ운용 또는 변경하려는 개인정보파일로서 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
2. 구축ㆍ운용하고 있는 개인정보파일을 해당 공공기관 내부 또는 외부에서 구축ㆍ운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일
3. 구축ㆍ운용 또는 변경하려는 개인정보파일로서 100만명 이상의 정보주체에 관한 개인정보파일
4. 법 제33조제1항에 따른 개인정보 영향평가(이하 “영향평가”라 한다)를 받은 후에 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우 그 개인정보파일. 이 경우 영향평가 대상은 변경된 부분으로 한정한다.
→ 전자적으로 처리할 수 있는 개인정보파일 대상,
종이문서는 100만건이라 할지라도 영향평가의 대상이 아님.
처리 절차
평가 절차
준수이
"사전준비 단계, 영향평가 수행단계, 이행 단계"
영향평가 대상기관은 사업계획 단계에서 영향평가 의무대상 여부를 파악하여 예산을 확보한 후,
대상 시스템의 분석 · 설계 완료 전에 영향평가를 수행해야 한다.
기출 문제
(응용 99-3-6)
개인정보영향평가(PIA : Privacy Impact Assessment)의 목적, 평가대상, 평가단계 및 평가절차에 대하여 설명하시오.
참고 자료
제도 안내>개인정보 영향평가>지원마당>개인정보보호포털 (privacy.go.kr)
> 메인
개인정보 영향평가 안내 개인정보 영향평가(Privacy Impact Assessment)란? 개인정보를 활용하는 새로운 정보시스템의 도입 및 기존 정보시스템의 중요한 변경 시, 시스템의 구축·운영이 기업의 고객
www.privacy.go.kr
영향평가 대상여부 확인>제도 안내>개인정보 영향평가>지원마당>개인정보보호포털 (privacy.go.kr)
> 메인
영향평가 대상여부 확인 영향평가 의무 대상은? 개인정보보호법 제2조제6호에 따른 공공기관에서 운영하는 개인정보파일과 해당 처리시스템으로서, 개인정보파일이 개인정보보호법 시행령 제3
www.privacy.go.kr
개인정보 영향평가 | 개인정보보호위원회 > > 정책 · 법령>공공정책 (pipc.go.kr)
개인정보보호위원회
해당 페이지의 만족도와 소중한 의견 남겨주세요.
pipc.go.kr
'개인정보관리사(CPPG) > 개인정보 관리체계' 카테고리의 다른 글
| ISMS-P 법적 근거 -"피사칠삼이~" (1) | 2022.11.05 |
|---|---|
| ISMS-P 인증 체계 - "정인위심신" (0) | 2022.11.05 |
| ISMS-P 인증심사 종류 - "초삼후일갱" (0) | 2022.10.10 |
| ISMS-P 인증 기준 - "관보개" (1) | 2022.10.07 |
| ISMS-P 개념 및 법적 근거 (2) | 2022.10.05 |
댓글