이번 개정으로 변경된 조문 (13건)
제13조 개인정보 보호수준 평가의 대상ㆍ기준ㆍ방법ㆍ절차 등
개정 2025.9.23
제13조의2(개인정보 보호수준 평가의 대상ㆍ기준ㆍ방법ㆍ절차 등)
① 법 제11조의2제1항에서 "대통령령으로 정하는 기관"이란 다음 각 호의 기관을 말한다. <개정 2025.9.23>
② 법 제11조의2제1항에 따른 개인정보 보호수준 평가(이하 "개인정보 보호수준 평가"라 한다)의 기준은 다음 각 호와 같다.
③ 보호위원회는 개인정보 보호수준 평가를 시행하기 전에 평가대상, 평가기준ㆍ방법 및 평가지표 등을 포함한 평가계획을 마련하여 개인정보 보호수준 평가 대상 기관(이하 "평가대상기관"이라 한다)의 장에게 통보해야 한다.
④ 보호위원회는 개인정보 보호수준 평가를 효율적으로 실시하기 위해 개인정보 보호에 관한 전문적인 지식과 경험이 풍부한 전문가를 포함하여 평가단을 구성ㆍ운영할 수 있다.
⑤ 보호위원회는 법 제11조의2제2항에 따라 다음 각 호의 자료를 제출하게 할 수 있다.
⑥ 보호위원회는 제5항에 따라 평가대상기관의 장이 제출한 자료를 기준으로 평가를 진행하거나 평가대상기관을 방문하
제15조 개인정보 수집 출처 등 통지 대상ㆍ방법ㆍ절차
개정 2025.2.25
제15조의2(개인정보 수집 출처 등 통지 대상ㆍ방법ㆍ절차)
① 법 제20조제2항 본문에서 "대통령령으로 정하는 기준에 해당하는 개인정보처리자"란 다음 각 호의 어느 하나에 해당하는 개인정보처리자를 말한다. 이 경우 다음 각 호에 규정된 정보주체의 수는 전년도 말 기준 직전 3개월 간 일일평균을 기준으로 산정한다. <개정 2023.9.12>
② 제1항 각 호의 어느 하나에 해당하는 개인정보처리자는 법 제20조제1항 각 호의 사항을 다음 각 호의 어느 하나에 해당하는 방법으로 개인정보를 제공받은 날부터 3개월 이내에 정보주체에게 알려야 한다. 다만, 법 제17조제2항제1호부터 제4호까지의 사항에 대하여 같은 조 제1항제1호에 따라 정보주체의 동의를 받은 범위에서 연 2회 이상 주기적으로 개인정보를 제공받아 처리하는 경우에는 개인정보를 제공받은 날부터 3개월 이내에 정보주체에게 알리거나 그 동의를 받은 날부터 기산하여 연 1회 이상 정보주체에게 알려야 한다. <개정 2023.9.12>
③
제21조 고유식별정보의 안전성 확보 조치
개정 2024.3.12
제21조(고유식별정보의 안전성 확보 조치)
① 법 제24조제3항에 따른 고유식별정보의 안전성 확보 조치에 관하여는 제30조를 준용한다. 이 경우 "법 제29조"는 "법 제24조제3항"으로, "개인정보"는 "고유식별정보"로 본다. <개정 2020.8.4, 2023.9.12>
② 법 제24조제4항에서 "대통령령으로 정하는 기준에 해당하는 개인정보처리자"란 다음 각 호의 어느 하나에 해당하는 개인정보처리자를 말한다. <개정 2024.3.12>
③ 보호위원회는 제2항 각 호의 어느 하나에 해당하는 개인정보처리자에 대하여 법 제24조제4항에 따라 안전성 확보에 필요한 조치를 하였는지를 3년마다 1회 이상 조사해야 한다. <개정 2017.7.26, 2020.8.4, 2024.3.12>
④ 다음 각 호의 어느 하나에 해당하는 경우로서 고유식별정보의 안전성 확보 조치에 대한 점검이 이루어진 경우에는 제3항에 따른 조사를 실시한 것으로 본다. <신설 2024.3.12>
⑤ 제3항에 따른 조사는 제
제29조 결합전문기관의 지정 및 지정 취소
개정 2025.2.25
제29조의2(결합전문기관의 지정 및 지정 취소)
① 법 제28조의3제1항에 따른 전문기관(이하 "결합전문기관"이라 한다)의 지정 기준은 다음 각 호와 같다. <개정 2025.2.25>
② 법인, 단체 또는 기관이 법 제28조의3제1항에 따라 결합전문기관으로 지정을 받으려는 경우에는 보호위원회가 정하여 고시하는 결합전문기관 지정신청서에 다음 각 호의 서류(전자문서를 포함한다. 이하 같다)를 첨부하여 보호위원회 또는 관계 중앙행정기관의 장에게 제출해야 한다.
③ 보호위원회 또는 관계 중앙행정기관의 장은 제2항에 따라 지정신청서를 제출한 법인, 단체 또는 기관이 제1항에 따른 지정 기준에 적합한 경우에는 결합전문기관으로 지정할 수 있다.
④ 결합전문기관 지정의 유효기간은 지정을 받은 날부터 3년으로 하며, 보호위원회 또는 관계 중앙행정기관의 장은 결합전문기관이 유효기간의 연장을 신청하면 다음 각 호의 사항을 검토하여 결합전문기관으로 재지정할 수 있다. <개정 2025.2.25>
⑤ 보호위
제29조 결합전문기관의 관리ㆍ감독 등
개정 2025.2.25
제29조의4(결합전문기관의 관리ㆍ감독 등)
① 보호위원회 또는 관계 중앙행정기관의 장은 결합전문기관을 지정한 경우에는 해당 결합전문기관의 업무 수행능력 및 기술ㆍ시설 유지 여부 등을 관리ㆍ감독해야 한다.
② 결합전문기관은 제1항에 따른 관리ㆍ감독을 위하여 다음 각 호의 서류를 보호위원회가 정하여 고시하는 바에 따라 보호위원회 또는 관계 중앙행정기관의 장에게 제출해야 한다. <개정 2025.2.25>
③ 보호위원회는 다음 각 호의 사항을 관리ㆍ감독해야 한다.
제30조 공공시스템 운영기관 등의 개인정보 안전성 확보 조치 등
개정 2024.3.12
제30조의2(공공시스템 운영기관 등의 개인정보 안전성 확보 조치 등)
① 개인정보의 처리 규모, 접근 권한을 부여받은 개인정보취급자의 수 등 보호위원회가 고시하는 기준에 해당하는 개인정보처리시스템(이하 "공공시스템"이라 한다)을 운영하는 공공기관(이하 "공공시스템운영기관"이라 한다)은 법 제29조에 따라 이 영 제30조의 안전성 확보 조치 외에 다음 각 호의 조치를 추가로 해야 한다. <개정 2024.3.12>
② 공공시스템운영기관 및 공공시스템이용기관은 정당한 권한 없이 또는 허용된 권한을 초과하여 개인정보에 접근한 사실이 확인되는 경우에는 지체 없이 정보주체에게 해당 사실과 피해 예방 등을 위해 필요한 사항을 통지해야 한다. 이 경우 다음 각 호의 어느 하나에 해당하는 경우에는 통지를 한 것으로 본다.
③ 공공시스템운영기관(공공시스템을 개발하여 배포하는 공공기관이 따로 있는 경우에는 그 공공기관을 포함한다. 이하 이 조에서 같다)은 해당 공공시스템의 규모와 특성, 해당 공공시스템
제31조 개인정보 처리방침의 평가 대상 및 절차
개정 2024.3.12
제31조의2(개인정보 처리방침의 평가 대상 및 절차)
① 보호위원회는 법 제30조의2제1항에 따라 개인정보 처리방침을 평가하는 경우 다음 각 호의 사항을 종합적으로 고려하여 평가 대상을 선정한다. <개정 2024.3.12>
② 보호위원회는 제1항에 따라 평가 대상 개인정보 처리방침을 선정한 경우에는 평가 개시 10일 전까지 해당 개인정보처리자에게 평가 내용ㆍ일정 및 절차 등이 포함된 평가계획을 통보해야 한다.
③ 보호위원회는 법 제30조의2에 따른 개인정보 처리방침의 평가에 필요한 경우에는 해당 개인정보처리자에게 의견을 제출하도록 요청할 수 있다.
④ 보호위원회는 법 제30조의2에 따라 개인정보 처리방침을 평가한 후 그 결과를 지체 없이 해당 개인정보처리자에게 통보해야 한다.
⑤ 제1항부터 제4항까지에서 규정한 사항 외에 개인정보 처리방침 평가를 위한 세부적인 대상 선정 기준과 절차는 보호위원회가 정하여 고시한다.
제32조 개인정보 보호책임자의 업무 및 지정요건 등
개정 2024.3.12
제32조(개인정보 보호책임자의 업무 및 지정요건 등)
① 법 제31조제1항 단서에서 "종업원 수, 매출액 등이 대통령령으로 정하는 기준에 해당하는 개인정보처리자"란 「소상공인기본법」 제2조제1항에 따른 소상공인에 해당하는 개인정보처리자를 말한다. <신설 2024.3.12>
② 법 제31조제3항제7호에서 "대통령령으로 정한 업무"란 다음 각 호와 같다. <개정 2024.3.12>
③ 개인정보처리자는 법 제31조제1항에 따라 개인정보 보호책임자를 지정하려는 경우에는 다음 각 호의 구분에 따라 지정한다. <개정 2016.7.22, 2024.3.12>
④ 다음 각 호의 어느 하나에 해당하는 개인정보처리자(공공기관의 경우에는 제2조제2호부터 제5호까지에 해당하는 경우로 한정한다)는 제3항 각 호의 구분에 따른 사람 중 별표 1에서 정하는 요건을 갖춘 사람을 개인정보 보호책임자로 지정해야 한다. <개정 2024.3.12>
⑤ 보호위원회는 개인정보 보호책임자가 법 제31조제3항의 업무를 원활히
제34조 개인정보 보호 인증의 기준ㆍ방법ㆍ절차 등
개정 2024.3.12
제34조의2(개인정보 보호 인증의 기준ㆍ방법ㆍ절차 등)
① 보호위원회는 제30조제1항 각 호의 사항을 고려하여 개인정보 보호의 관리적ㆍ기술적ㆍ물리적 보호대책의 수립 등을 포함한 법 제32조의2제1항에 따른 인증의 기준을 정하여 고시한다. <개정 2017.7.26, 2020.8.4, 2023.9.12>
② 법 제32조의2제1항 따라 개인정보 보호의 인증을 받으려는 자(이하 이 조 및 제34조의3에서 "신청인"이라 한다)는 다음 각 호의 사항이 포함된 개인정보 보호 인증신청서(전자문서로 된 신청서를 포함한다)를 제34조의6에 따른 개인정보 보호 인증 전문기관(이하 "인증기관"이라 한다)에 제출하여야 한다. <개정 2024.3.12>
③ 인증기관은 제2항에 따른 인증신청서를 받은 경우에는 신청인과 인증의 범위 및 일정 등에 관하여 협의하여야 한다.
④ 법 제32조의2제1항에 따른 개인정보 보호 인증심사는 제34조의8에 따른 개인정보 보호 인증심사원이 서면심사 또는 현장심사의 방법으로 실시
제39조 개인정보 유출 등의 통지
개정 2024.3.12
제39조(개인정보 유출 등의 통지)
① 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출(이하 이 조 및 제40조에서 "유출등"이라 한다)되었음을 알게 되었을 때에는 서면등의 방법으로 72시간 이내에 법 제34조제1항 각 호의 사항을 정보주체에게 알려야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 해당 사유가 해소된 후 지체 없이 정보주체에게 알릴 수 있다.
② 제1항에도 불구하고 개인정보처리자는 같은 항에 따른 통지를 하려는 경우로서 법 제34조제1항제1호 또는 제2호의 사항에 관한 구체적인 내용을 확인하지 못한 경우에는 개인정보가 유출등이 된 사실, 그때까지 확인된 내용 및 같은 항 제3호부터 제5호까지의 사항을 서면등의 방법으로 우선 통지해야 하며, 추가로 확인되는 내용에 대해서는 확인되는 즉시 통지해야 한다. <개정 2024.3.12>
③ 제1항 및 제2항에도 불구하고 개인정보처리자는 정보주체의 연락처를 알 수 없는 경우 등 정당한 사유가 있는 경우에는 법 제34조제1
주요 조문 (전체 151건 중 일부)
제1조 목적
제1조(목적) 이 영은 「개인정보 보호법」에서 위임된 사항과 그 시행에 필요한 사항을 규정함을 목적으로 한다.
제2조 공공기관의 범위
제2조(공공기관의 범위) 「개인정보 보호법」(이하 "법"이라 한다) 제2조제6호나목에서 "대통령령으로 정하는 기관"이란 다음 각 호의 기관을 말한다. <개정 2020.7.14, 2025.9.23>
제3조 영상정보처리기기의 범위
제3조(영상정보처리기기의 범위)
① 법 제2조제7호에서 "대통령령으로 정하는 장치"란 다음 각 호의 장치를 말한다. <개정 2023.9.12>
② 법 제2조제7호의2에서 "대통령령으로 정하는 장치"란 다음 각 호의 장치를 말한다. <신설 2023.9.12>
제4조 영리업무의 금지
제4조의2(영리업무의 금지) 법 제7조제1항에 따른 개인정보 보호위원회(이하 "보호위원회"라 한다)의 위원은 법 제7조의6제1항에 따라 영리를 목적으로 다음 각 호의 어느 하나에 해당하는 업무에 종사해서는 안 된다.
제5조 전문위원회
제5조(전문위원회)
① 보호위원회는 법 제7조의9제1항에 따른 심의ㆍ의결 사항에 대하여 사전에 전문적으로 검토하기 위하여 보호위원회에 다음 각 호의 분야별 전문위원회(이하 "전문위원회"라 한다)를 둔다. <개정 2020.8.4, 2023.9.12>
② 제1항에 따라 전문위원회를 두는 경우 각 전문위원회는 위원장 1명을 포함한 20명 이내의 위원으로 성별을
제5조 개인정보 보호 정책협의회
제5조의2(개인정보 보호 정책협의회)
① 개인정보 보호 정책의 일관성 있는 추진과 개인정보 보호 관련 사안에 대한 관계 중앙행정기관 간 협의를 위하여 보호위원회에 개인정보 보호 정책협의회(이하 "정책협의회"라 한다)를 둘 수 있다.
② 정책협의회는 다음 각 호의 사항을 협의한다.
③ 정책협의회는 관계 중앙행정기관의 고위공무원단에 속하는 공무원 또는 그에 상
제5조 시ㆍ도 개인정보 보호 관계 기관 협의회
제5조의3(시ㆍ도 개인정보 보호 관계 기관 협의회)
① 개인정보 보호 정책의 효율적인 추진과 자율적인 개인정보 보호 강화를 위하여 특별시, 광역시, 특별자치시, 도, 특별자치도(이하 "시ㆍ도"라 한다)에 시ㆍ도 개인정보 보호 관계 기관 협의회(이하 "시ㆍ도협의회"라 한다)를 둘 수 있다.
② 시ㆍ도협의회는 다음 각 호의 사항을 협의한다.
③ 제1항 및 제2