바로가기

메인메뉴 바로가기 서브메뉴 바로가기 본문 바로가기

전체메뉴

SMART 생활법률

qr코드 모바일
앱 다운로드

분야별 개인정보보호

목차

하위 메뉴

현재위치 및 공유하기

생활법령 내 검색

생활법령 내 검색

본문 영역

 피해구제조치, 파기 등 의무
정보통신 사업자는 개인정보 유출 등의 신고와 피해구제 조치의무 등이 있습니다. 주소복사 즐겨찾기에추가
개인정보 유출 통지 등 의무
개인정보처리자인 정보통신서비스 제공자와 그로부터 이용자의 개인정보를 제공받은 자(이하 "정보통신서비스 제공자등"이라 함)는 개인정보가 분실·도난·유출되었음을 안 때에는 지체 없이 해당 정보주체에게 다음의 사항을 알려야 합니다. (규제「개인정보 보호법」 제34조제1항 본문).
1. 분실·도난·유출이 된 개인정보 항목
2. 분실·도난·유출이 발생한 시점과 그 경위
3. 분실·도난·유출으로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
다만, 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 자신의 인터넷 홈페이지에 30일 이상 게시하는 것으로 통지를 갈음할 수 있습니다. 인터넷 홈페이지를 운영하지 않을 경우에는 사업장등의 보기 쉬운 장소에 30일 이상 게시하는 방법으로 통지할 수 있습니다.(규제「개인정보 보호법」 제34조제1항 단서, 규제「개인정보 보호법 시행령」 제39조제3항 및 제40조제3항).
개인정보처리자는 개인정보의 분실·도난·유출(이하 "유출등"이라 함)이 있음을 알게 되었을 때에는 개인정보의 유형, 유출등의 경로 및 규모 등을 고려하여 다음에 해당하는 경우 72시간 이내에 개인정보보호위원회 또는 한국인터넷진흥원에 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법으로 신고해야 합니다(규제「개인정보 보호법」 제34조제3항 전단 및 규제「개인정보 보호법 시행령」 제40조제1항 본문).
1천명 이상의 정보주체에 관한 개인정보가 유출등이 된 경우
민감정보 또는 고유식별정보가 유출등이 된 경우
개인정보처리시스템 또는 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대한 외부로부터의 불법적인 접근에 의해 개인정보가 유출등이 된 경우
※ 이를위반하여 이용자·보호위원회 및 한국인터넷진흥원에 통지 또는 신고하지 않은 자는 3천만원 이하의 과태료를 부과받습니다(「개인정보 보호법」 제75조제2항제17호·제18호).
개인정보 유출 통지 방법 및 절차
개인정보처리자는 개인정보가 유출등이 되었음을 알게 되었을 때에는 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법(이하 “서면등”이라 함)으로 72시간 이내에 위의 1.~5.의 사항을 정보주체에게 알려야 합니다(규제「개인정보 보호법 시행령」 제39조제1항 본문).
다만, 유출된 개인정보의 확산 및 추가 유출을 방지하기 위해 접속경로의 차단, 취약점 점검·보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우와 천재지변이나 그 밖에 부득이한 사유로 통지하기 곤란한 경우엔 그 조치를 하거나 사유가 해소된 후 지체 없이 알릴 수 있습니다(규제「개인정보 보호법 시행령」 제39조제1항 단서).
위에도 불구하고 개인정보처리자는 개인정보가 유출등이 되었음을 알게 되었을 때나 유출등의 사실을 알고 긴급한 조치를 한 후에도 구체적인 유출등이 된 개인정보의 항목, 시점과 그 경위 내용을 확인하지 못한 경우에는 먼저 개인정보가 유출등이 된 사실과 유출등이 확인된 사항만을 서면등의 방법으로 먼저 알리고 나중에 확인되는 사항을 추가로 알릴 수 있습니다(규제「개인정보 보호법 시행령」 제39조제2항).
피해에 대한 대책 수립 및 조치 등 의무
개인정보처리자는 개인정보가 유출등이 된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 해야 합니다(규제「개인정보 보호법」 제34조제2항).
개인정보처리자는 고유식별정보, 계좌정보, 신용카드정보 등 개인정보가 정보통신망을 통해 사회의 대부분의 사람들에게 노출되지 않도록 해야 합니다. 노출된 개인정보에 대해서 보호위원회 또는 한국인터넷진흥원의 요청이 있는 경우에는 해당 정보를 삭제하거나 차단하는 등 필요한 조치를 해야 합니다(「개인정보 보호법」 제34조의2제1항·제2항 및 「개인정보 보호법 시행령」 제40조의2).
개인정보 파기의무 및 파기방법
개인정보처리자인 정보통신서비스 제공자등은 보유기간의 경과, 개인정보의 처리 목적 달성, 가명정보의 처리 기간 경과 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기해야 합니다(「개인정보 보호법」 제21조제1항 본문).
다만, 다른 법령에 따라 개인정보를 파기하지 아니하고 보존해야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리해서 저장·관리해야 합니다(「개인정보 보호법」 제21조제1항 단서·제3항).
위에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 않도록 조치해야 합니다.(「개인정보 보호법」 제21조제2항).
개인정보의 파기는 다음의 구분에 따른 방법으로 해야 합니다(「개인정보 보호법 시행령」 제16조제1항 및 「개인정보의 안전성 확보조치 기준」(개인정보보호위원회고시 제2023-6호, 2023. 9. 22. 발령·시행) 제13조제1항).
전자적 파일 형태인 경우: 전용 소자장비 이용, 데이터가 복원되지 않는 초기화 또는 덮어쓰기 등 복원이 불가능한 방법으로 영구 삭제(다만, 기술적 특성으로 영구 삭제가 현저히 곤란한 경우에는 다른 정보를 사용해도 더 이상 개인을 알아볼 수 없는 정보로 처리하여 복원이 불가능하도록 조치)
전자적 파일 형태 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우: 파쇄 또는 소각(완전 파기가 어려울 경우 해당 부분을 마스킹, 구멍 뚫기 등으로 삭제)
※ 이를 위반하여 개인정보의 파기 등 필요한 조치를 하지 않은 자는 3천만원 이하의 과태료를 부과받습니다(「개인정보 보호법」 제75조제2항제4호).
비밀유지 의무
다음의 어느 하나에 해당하는 업무에 종사하는 자 또는 종사하였던 자는 다른 법률에 특별한 규정이 있는 경우를 제외하고 그 직무상 알게 된 비밀을 타인에게 누설하거나 직무 외의 목적으로 사용해서는 안 됩니다(규제「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제66조).
정보보호 관리체계 인증 업무
정보보호시스템의 평가 업무
명예훼손 분쟁조정부의 분쟁조정 업무
이를 위반하여 직무상 알게 된 비밀을 타인에게 누설하거나 직무 외의 목적으로 사용한 자는 3년 이하의 징역 또는 3천만원 이하의 벌금에 처해집니다(규제「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제72조제1항제5호).
법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 위의 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인도 3천만원 이하의 벌금에 처해집니다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 않은 경우에는 그렇지 않습니다(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제75조).
이 정보는 2024년 8월 15일 기준으로 작성된 것입니다.
  • 생활법령정보는 법적 효력을 갖는 유권해석(결정, 판단)의 근거가 되지 않고, 각종 신고, 불복 청구 등의 증거자료로서의 효력은 없습니다.
  • 구체적인 법령에 대한 질의는 담당기관이나 국민신문고에 문의하시기 바랍니다.
  • 위 내용에 대한 홈페이지 개선의견은 홈페이지 개선의견을 이용해 주시기 바랍니다.

하단 영역

팝업 배경