개인정보보호위원회가 개인정보 보호법 개정에 따라 도입된 개인정보 처리방침 평가제의 본격 시행을 위해 '개인정보 처리방침 평가에 관한 고시'를 마련했다.
평가제는 공공기관과 민가기업 등의 개인정보 처리방침에 대해 법령에 따라 포함해야 할 사항을 △적정하게 정하고 있는지 △알기 쉽게 작성했는지 △정보주체 누구나 쉽게 확인할 수 있는 방법으로 공개하고 있는지 평가하고, 개선을 권고할 수 있도록 하는 제도다.
먼저 처리방침 평가 대상 선정 시 고려기준을 구체화했다. △전년 매출액이 1500억원 이상이면서, 전년 말 기준으로 직전 3개월간 개인정보가 저장·관리하고 있는 정보 주체의 수가 일평균 100만명 이상이거나 △인공지능(AI) 등 완전 자동화 시스템으로 개인정보를 처리하는 경우 △19세 미만 아동이나 청소년을 주 이용자로 한 정보통신 서비스를 운영하거나 △최근 3년간 개인정보 유출 등이 2회 이상 발생 또는 위원회로부터 과징금 또는 과태료 처분을 받는 등에 해당하면 처리 방침 평가 대상 선정 시 고려 기준이 된다.
절차도 명확히 규정했다. 개인정보위는 평가 시작 14일 전까지 평가 대상, 기준, 일정 등을 정한 평가 계획을 수립해 홈페이지에 공개하도록 했다. 평가 결과에 이의가 있으면, 통보일로부터 20일 이내에 이의신청할 수 있도록 했다.
또 평가위원회 구성·운영과 결과에 따른 포상이나 개선권고를 할 수 있는 근거도 마련했다.
개인정보위는 내달 안에 '개인정보 처리 방침 작성 지침' 개정본을 발간하고, 상반기 안에 처리 방침 평가 대상을 선정해 평가 계획을 수립할 예정이다.
양청삼 개인정보위 개인정보정책국장은 “올해 처음 시행되는 개인정보 처리방침 평가를 통해서 기업이 스스로 개인정보 처리에 대한 책임성과 투명성을 높이고, 정보주체의 권리 향상에 기여할 수 있도록 잘 준비하겠다”고 밝혔다.
조재학 기자 2jh@etnews.com
-
조재학 기자기사 더보기