다음 내용이 궁금하다면?
불편하시다면 뒤로 가기를 눌러주세요
CPO 인사때 이사회 의결 거쳐야…개인정보 '불법접근' 72시간내 통지해야
개보위, 개인정보보호법 시행령 입법예고
[개인정보보호위원회 제공]
(서울=연합뉴스) 차민지 기자 = 현행 전문 개인정보 보호책임자(CPO) 지정 의무 대상 사업자는 앞으로 CPO를 지정·변경·해제할 때 이사회의 의결을 거쳐야 한다.
또 통신사와 네이버·카카오 같은 대규모 플랫폼 사업자는 2028년 말까지 개인정보 보호 인증(ISMS-P)을 의무적으로 받아야 한다.
개인정보보호위원회는 이러한 내용을 담은 개인정보 보호법 시행령 일부개정령안을 마련해 7월 13일까지 입법예고한다고 2일 밝혔다.
이번 시행령 개정안은 지난 3월 개정된 개인정보 보호법의 후속 조치다.
개정 보호법은 일정 규모 이상의 개인정보처리자에 대해 CPO 지정·변경·해제 시 이사회 의결과 개인정보위 신고를 의무화하고, 주요 개인정보처리자에 대한 ISMS-P 인증 의무화와 개인정보 유출 가능성 통지 제도를 도입했다.
우선 CPO를 지정하거나 변경·해제할 때 이사회 의결을 거치고 개인정보위에 신고해야 하는 대상은 현행 전문 CPO 지정 의무 대상과 동일하게 정했다.
대상은 연 매출액 또는 수입이 1천800억원 이상이면서 5만명 이상 민감정보·고유 식별정보 또는 100만명 이상 개인정보를 처리하는 사업자와 재학생 수 2만명 이상 대학, 상급종합병원, 공공 시스템 운영기관 등이다.
신고 의무 대상 기관은 CPO 지정·변경·해제 사유가 발생한 날부터 1개월 이내에 개인정보위에 신고해야 하며, 부득이한 경우에는 1개월 범위에서 신고 기한을 연장할 수 있다.
[E1 제공. DB 및 재판매 금지]
정보보호·개인정보보호 관리체계(ISMS-P) 인증 의무 대상도 구체화했다.
공공시스템운영기관 가운데 개인정보위가 고시하는 기관과 이동통신사업자, 본인확인기관, 전년도 매출액 1조원 이상이면서 정보통신서비스 부문 매출액 100억원 이상이고 직전 3개월간 개인정보가 저장·관리되는 국내 정보주체 수가 일일 평균 3천만명 이상인 사업자는 2028년 12월 31일까지 ISMS-P 인증을 받아야 한다.
개인정보 유출 가능성 통지 제도와 관련한 세부 기준도 마련했다.
개인정보처리자가 개인정보처리시스템에 대한 불법 접근 사실을 알게 되거나 개인정보가 불법적으로 거래·유통되고 있음을 인지한 경우에는 72시간 이내에 정보주체에게 통지해야 한다.
또 기존의 분실·도난·유출뿐 아니라 개인정보 위조·변조·훼손이 발생한 경우에도 통지·신고 의무를 부과했다.
아울러 경미한 위반행위로 경고 처분을 받은 경우에도 동일한 위반행위가 재발하면 경고 이력을 과태료 가중 산정에 반영하도록 했다. 경고를 1회 위반으로 간주해 재위반 시 2회차 기준 과태료를 적용하는 방식이다.
위반 횟수별 과태료 부과금액도 법제처 지침에 맞춰 정비했다.
이번 시행령 개정안에 대해 의견이 있는 기관·단체 또는 개인은 7월 13일까지 국민참여입법센터와 개인정보위 전자우편, 일반우편 등을 통해 의견을 제출할 수 있다.
chacha@yna.co.kr
Copyright 연합뉴스 All rights reserved. 무단 전재 및 재배포 금지.
인기상품 확인하고 계속 읽어보세요!
원치 않을 경우 뒤로가기를 눌러주세요.