개인정보유출시 대처방안 및 관리방법

1. 개인정보의 열람·정정·삭제 요구

 

(1) 개인정보의 열람 요구

 

정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있습니다(규제「개인정보 보호법」 제35조제1항).

 

※"개인정보"란 살아 있는 개인에 관한 정보로서 다음의 어느 하나에 해당하는 정보를 말합니다(「개인정보 보호법」 제2조제1호).

1. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
2. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보(이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 함)
3. 위 1. 또는 2. 에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보

 

※ "가명처리"란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말합니다(「개인정보 보호법」 제2조제1호의2).

 

※ “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말합니다(「개인정보 보호법」 제2조제3호).

 

※ “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말합니다(「개인정보 보호법」 제2조제5호).

 

정보주체가 자신의 개인정보에 대한 열람을 공공기관에 요구하고자 할 때에는 공공기관에 직접 열람을 요구하거나 개인정보보호 위원회를 통하여 열람을 요구할 수 있습니다(규제「개인정보 보호법」 제35조제2항).

 

정보주체가 개인정보보호 위원회를 통하여 자신의 개인정보에 대한 열람을 요구하려는 경우에는 열람하려는 사항을 표시한 개인정보 열람요구서를 개인정보보호 위원회에 제출해야 합니다[규제「개인정보 보호법」 제35조제2항, 규제「개인정보 보호법 시행령」 제41조제3항, 「개인정보 처리 방법에 관한 고시」(개인정보보호위원회고시 제2023-12호, 2023. 10. 16. 발령·시행) 제3조제3항 및 별지 제8호서식].

 

정보주체는 자신의 개인정보에 대한 열람을 요구하려면 다음의 사항 중 열람하려는 사항을 개인정보처리자가 마련한 방법과 절차에 따라 요구해야 합니다(규제「개인정보 보호법」 제35조제5항 및 규제「개인정보 보호법 시행령」 제41조제1항).

• 개인정보의 항목 및 내용
• 개인정보의 수집·이용의 목적
• 개인정보 보유 및 이용 기간
• 개인정보의 제3자 제공 현황
• 개인정보 처리에 동의한 사실 및 내용

 

 

(2) 개인정보의 정정·삭제 요구

 

자신의 개인정보를 열람한 정보주체는 개인정보처리자가 마련한 방법과 절차에 따라 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있습니다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에 정보주체는 그 개인정보의 삭제를 요구할 수 없습니다(규제「개인정보 보호법」 제36조제1항 및 규제「개인정보 보호법 시행령」 제43조제1항).

 

이 경우 개인정보처리자는 개인정보 정정·삭제 요구를 받은 날부터 10일 이내에 개인정보의 정정·삭제 등의 조치를 한 경우에는 그 조치를 한 사실을, 개인정보 정정·삭제 요구에 따르지 않은 경우에는 그 사실 및 이유와 이의제기방법을 개인정보 정정·삭제 결과 통지서로 해당 정보주체에게 알려야 합니다(규제「개인정보 보호법」 제36조제2항, 규제「개인정보 보호법 시행령」 제43조제3항, 「개인정보 처리 방법에 관한 고시」 제3조제5항 및 별지 제10호서식).

 

※ 이를 위반하여 정보주체에게 알려야 할 사항을 알리지 않은 자는 1천만원 이하의 과태료를 부과받습니다(「개인정보 보호법」 제75조제4항제10호).

 

정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구하려면 개인정보처리자가 마련한 방법과 절차에 따라 요구해야 합니다(규제「개인정보 보호법」 제36조제6항 및 규제「개인정보 보호법 시행령」 제43조제1항).

 

 

(3) 개인정보처리의 정지·동의 철회 요구

 

정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있습니다. 이 경우 공공기관에 대해서는 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있습니다(규제「개인정보 보호법」 제37조제1항).

 

정보주체는 개인정보처리자에게 자신의 개인정보 처리의 정지를 요구하려면 개인정보처리자가 마련한 방법과 절차에 따라 요구해야 합니다(규제「개인정보 보호법」 제37조제6항 및 규제「개인정보 보호법 시행령」 제44조제1항).

 

 

 

 

 

2. 개인정보 열람신청 등에 대한 개인정보처리자의 조치

 

(1) 개인정보의 열람절차와 열람 연기

 

개인정보처리자는 규제「개인정보 보호법」 제35조제1항부터 제4항까지에 따른 열람 요구 방법과 절차를 마련하는 경우 해당 개인정보의 수집 방법과 절차에 비하여 어렵지 않도록 다음의 사항을 준수해야 합니다(「개인정보 보호법」 제35조제5항 및 규제「개인정보 보호법 시행령」 제41조제2항).

• 서면, 전화, 전자우편, 인터넷 등 정보주체가 쉽게 활용할 수 있는 방법으로 제공할 것
• 개인정보를 수집한 창구의 지속적 운영이 곤란한 경우 등 정당한 사유가 있는 경우를 제외하고는 최소한 개인정보를 수집한 창구 또는 방법과 동일하게 개인정보의 열람을 요구할 수 있도록 할 것
• 인터넷 홈페이지를 운영하는 개인정보처리자는 홈페이지에 열람 요구 방법과 절차를 공개할 것

 

※"개인정보"란 살아 있는 개인에 관한 정보로서 다음의 어느 하나에 해당하는 정보를 말합니다(「개인정보 보호법」 제2조제1호).

1. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
2. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보(이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 함)
3. 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보

 

※"가명처리"란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말합니다((「개인정보 보호법」 제2조제1호의2).

 

※ “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말합니다(「개인정보 보호법」 제2조제3호).

 

※ “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말합니다(「개인정보 보호법」 제2조제5호).

개인정보처리자가 정보주체로부터 자신의 개인정보의 열람을 요구받았을 때에는 10일 이내에 정보주체가 해당 개인정보를 열람할 수 있도록 해야 합니다(규제「개인정보 보호법」 제35조제3항 전단 및 규제「개인정보 보호법 시행령」 제41조제4항).

 

이 경우 개인정보처리자는 열람할 개인정보와 열람이 가능한 날짜·시간 및 장소 등을 열람통지서로 해당 정보주체에게 알려야 합니다. 다만, 즉시 열람하게 하는 경우에는 열람통지서 발급을 생략할 수 있습니다[규제「개인정보 보호법」 제35조제5항, 규제「개인정보 보호법 시행령」 제41조제5항, 「개인정보 처리 방법에 관한 고시」(개인정보보호위원회고시 제2023-12호, 2023. 10. 16. 발령·시행) 제3조제4항 및 별지 제9호서식].

 

개인정보처리자가 정보주체의 열람을 연기하려는 경우에는 열람 요구를 받은 날부터 10일 이내에 연기 또는 거절의 사유 및 이의제기방법을 열람의 연기·거절 통지서로 해당 정보주체에게 알려야 하며, 그 사유가 소멸하면 지체 없이 열람하게 해야 합니다(규제「개인정보 보호법」 제35조제3항 후단·제5항, 규제「개인정보 보호법 시행령」 제41조제4항, 제42조제2항, 「개인정보 처리 방법에 관한 고시」 제3조제4항 및 별지 제9호서식).

 

이를 위반하여 열람을 제한하거나 거절한 자는 3천만원 이하의 과태료를 부과받고, 정보주체에게 알려야 할 사항을 알리지 않은 자는 1천만원 이하의 과태료를 부과받습니다(「개인정보 보호법」 제75조제2항제10호·제4항제10호).

 

 

(2) 개인정보 열람 제한 및 거절

 

개인정보처리자는 다음의 어느 하나에 해당하는 경우에는 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있습니다(규제「개인정보 보호법」 제35조제4항).

1. 법률에 따라 열람이 금지되거나 제한되는 경우
2. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
3. 공공기관이 다음의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우

• 조세의 부과·징수 또는 환급에 관한 업무
• 「초·중등교육법」 및 「고등교육법」에 따른 각급 학교, 「평생교육법」에 따른 평생교육시설, 그 밖의 다른 법률에 따라 설치된 고등교육기관에서의 성적 평가 또는 입학자 선발에 관한 업무
• 학력·기능 및 채용에 관한 시험, 자격 심사에 관한 업무
• 보상금·급부금 산정 등에 대하여 진행 중인 평가 또는 판단에 관한 업무
• 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무

 

※ 이를 위반하여 정보주체에게 알려야 할 사항을 알리지 않은 자는 1천만원 이하의 과태료를 부과받습니다(「개인정보 보호법」 제75조제4항제10호).

 

개인정보처리자는 열람 요구 사항 중 일부가 열람 제한 및 거절 사유 중 어느 하나에 해당하는 경우에는 그 일부에 대하여 열람을 제한할 수 있으며, 열람이 제한되는 사항을 제외한 부분은 열람할 수 있도록 해야 합니다(규제「개인정보 보호법」 제35조제5항 및 규제「개인정보 보호법 시행령」 제42조제1항).

 

이 경우 개인정보처리자는 개인정보 열람 요구를 받은 날부터 10일 이내에 열람을 제한하는 경우에는 열람할 개인정보와 열람이 가능한 날짜·시간 및 장소 등(일부 열람을 하게 하는 사유와 이의제기방법을 포함함)을 일부열람 통지서로, 열람을 연기하거나 거절하려는 경우에는 연기 또는 거절의 사유 및 이의제기방법을 열람의 연기·거절 통지서로 해당 정보주체에게 알려야 합니다(규제「개인정보 보호법」 제35조제5항, 규제「개인정보 보호법 시행령」 제41조제5항, 제42조제2항, 「개인정보 처리 방법에 관한 고시」 제3조제4항 및 별지 제9호서식).

 

 

(3) 개인정보의 정정·삭제 요구에 대한 개인정보처리자의 조치

 

개인정보처리자는 정보주체의 개인정보의 정정 또는 삭제를 요구받았을 때에는 개인정보의 정정 또는 삭제에 관하여 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체 없이 그 개인정보를 조사하여 정보주체의 요구에 따라 정정·삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 합니다(규제「개인정보 보호법」 제36조제2항).

 

이를 위반하여 정정·삭제 등 필요한 조치를 하지 않은 자는 3천만원 이하의 과태료를 부과받으며, 정정·삭제 등 필요한 조치를 하지 않고 개인정보를 계속 이용하거나 이를 제3자에게 제공한 자는 2년 이하의 징역 또는 2천만원 이하의 벌금에 처해집니다(「개인정보 보호법」 제73조제1항제1호 및 제75조제2항제22호).

 

위 죄를 지은 자가 해당 위반행위와 관련하여 취득한 금품이나 그 밖의 이익은 몰수할 수 있으며, 이를 몰수할 수 없을 때에는 그 가액을 추징할 수 있습니다. 이 경우 몰수 또는 추징은 다른 벌칙에 부가될 수 있습니다(「개인정보 보호법」 제74조의2).

 

개인정보처리자는 조사를 할 때 필요하면 해당 정보주체에게 정정·삭제 요구사항의 확인에 필요한 증거자료를 제출하게 할 수 있습니다(규제「개인정보 보호법」 제36조제5항).

 

다른 개인정보처리자로부터 개인정보를 제공받아 개인정보파일을 처리하는 개인정보처리자는 개인정보의 정정 또는 삭제 요구를 받으면 그 요구에 따라 해당 개인정보를 정정·삭제하거나 그 개인정보 정정·삭제에 관한 요구사항을 해당 개인정보를 제공한 기관의 장에게 지체 없이 알리고 그 처리 결과에 따라 필요한 조치를 해야 합니다(규제「개인정보 보호법」 제36조제6항 및 규제「개인정보 보호법 시행령」 제43조제2항).

 

개인정보처리자가 개인정보를 삭제할 때에는 복구 또는 재생되지 않도록 조치해야 합니다(규제「개인정보 보호법」 제36조제3항).

 

개인정보처리자는 해당 개인정보의 정정·삭제 등의 조치를 한 경우에 개인정보 정정·삭제 요구를 받은 날부터 10일 이내에 그 조치를 한 사실을 개인정보 정정·삭제 결과 통지서로 해당 정보주체에게 알려야 합니다(규제「개인정보 보호법」 제36조제2항·제6항, 규제「개인정보 보호법 시행령」 제43조제3항, 「개인정보 처리 방법에 관한 고시」 제3조제5항 및 별지 제10호서식).

 

 

(4) 개인정보처리 정지·동의 철회 요구에 대한 개인정보처리자의 조치

 

개인정보처리자는 처리정지 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지해야 합니다(규제「개인정보 보호법」 제37조제2항 본문).

 

이를 위반하여 개인정보의 처리를 정지하지 않고 계속 이용하거나 제3자에게 제공한 자는 2년 이하의 징역 또는 2천만원 이하의 벌금에 처해집니다(「개인정보 보호법」 제73조제1항제2호).

 

위 죄를 지은 자가 해당 위반행위와 관련하여 취득한 금품이나 그 밖의 이익은 몰수할 수 있으며, 이를 몰수할 수 없을 때에는 그 가액을 추징할 수 있습니다. 이 경우 몰수 또는 추징은 다른 벌칙에 부가될 수 있습니다(「개인정보 보호법」 제74조의2).

 

개인정보처리자는 정보주체가 동의를 철회한 때에는 지체 없이 수집된 개인정보를 복구·재생할 수 없도록 파기하는 등 필요한 조치를 해야 합니다(규제「개인정보 보호법」 제37조제3항 본문).

 

이를 위반하여 처리가 정지된 개인정보에 대하여 파기 등 필요한 조치를 하지 않은 자는 3천만원 이하의 과태료를 부과받습니다(「개인정보 보호법」 제75조제2항제23호).

 

개인정보처리자는 해당 개인정보의 처리 정지 조치를 한 경우에는 개인정보 처리정지 요구를 받은 날부터 10일 이내에 그 조치를 한 사실을 개인정보 처리정지 요구에 대한 결과 통지서로 해당 정보주체에게 알려야 합니다(규제「개인정보 보호법」 제37조제6항, 규제「개인정보 보호법 시행령」 제44조제2항, 「개인정보 처리 방법에 관한 고시」 제3조제5항 및 별지 제10호서식).

 

개인정보처리자는 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여 지체 없이 해당 개인정보의 파기 등 필요한 조치를 해야 합니다(규제「개인정보 보호법」 제37조제5항).

 

이를 위반하여 처리가 정지된 개인정보에 대하여 파기 등 필요한 조치를 하지 않은 자는 3천만원 이하의 과태료를 부과받습니다(「개인정보 보호법」 제75조제2항제23호).

 

개인정보처리자는 다음의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절하거나 동의 철회에 따른 조치를 하지 않을 수 있습니다(규제「개인정보 보호법」 제37조제2항 단서 및 제3항 단서).

• 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
• 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
• 공공기관이 개인정보를 처리하지 않으면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우
• 개인정보를 처리하지 않으면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 않은 경우

 

※ 이를 위반하여 개인정보의 처리를 정지하지 않고 계속 이용하거나 제3자에게 제공한 자는 2년 이하의 징역 또는 2천만원 이하의 벌금에 처해집니다(「개인정보 보호법」 제73조제1항제2호).

 

※ 위 죄를 지은 자가 해당 위반행위와 관련하여 취득한 금품이나 그 밖의 이익은 몰수할 수 있으며, 이를 몰수할 수 없을 때에는 그 가액을 추징할 수 있습니다. 이 경우 몰수 또는 추징은 다른 벌칙에 부가될 수 있습니다(「개인정보 보호법」 제74조의2).

 

개인정보처리자는 위에 따라 처리정지 요구를 거절한 경우에는 개인정보 처리정지 요구를 받은 날부터 10일 이내에 그 사실, 이유 및 이의제기방법을 개인정보 처리정지 요구에 대한 결과 통지서로 해당 정보주체에게 알려야 합니다(규제「개인정보 보호법」 제37조제4항·제6항, 규제「개인정보 보호법 시행령」 제44조제2항, 「개인정보 처리 방법에 관한 고시」 제3조제5항 및 별지 제10호서식).

 

이를 위반하여 정보주체에게 알려야 할 사항을 알리지 않은 자는 1천만원 이하의 과태료를 부과받습니다(「개인정보 보호법」 제75조제4항제10호).

 

 

 

3. 개인정보 열람 등의 거부에 대한 정보주체의 대처방안

 

(1) 개인정보처리자에 대한 이의 제기

 

개인정보처리자는 정보주체가 열람 등 요구에 대한 거절 등 조치에 대하여 불복이 있는 경우 이의를 제기할 수 있도록 필요한 절차를 마련하고 안내해야 합니다(「개인정보 보호법」 제38조제5항).

 

 

(2) 손해배상의 청구

 

정보주체는 개인정보처리자가 「개인정보 보호법」을 위반하여 정보주체에게 손해를 입히면 개인정보처리자에게 손해배상을 청구할 수 있습니다(「개인정보 보호법」 제39조제1항 전단).

이 경우 개인정보처리자는 고의 또는 과실이 없음을 입증하지 않으면 책임을 면할 수 없습니다(「개인정보 보호법」 제39조제1항 후단).

 

정보주체는 개인정보처리자의 고의 또는 과실로 인해 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우에는 300만원 이하의 범위에서 합당한 금액을 손해액으로 하여 배상을 청구할 수 있습니다. 이 경우 해당 개인정보처리자는 고의 또는 과실이 없음을 입증하지 않으면 책임을 면할 수 없습니다(「개인정보 보호법」 제39조의2제1항).

 

법원은 법정손해배상의 청구가 있는 경우에 변론 전체의 취지와 증거조사의 결과를 고려해 300만원 이하의 범위에서 상당한 손해배상액을 인정할 수 있습니다(「개인정보 보호법」 제39조의2제2항).

 

손해배상을 청구한 정보주체는 사실심(事實審)의 변론이 종결되기 전까지 그 청구를 법정손해배상의 청구로 변경할 수 있습니다(「개인정보 보호법」 제39조의2제3항).

 

개인정보처리자의 고의 또는 중대한 과실로 인해 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 5배를 넘지 않는 범위에서 손해배상액을 정할 수 있습니다. 다만, 개인정보처리자가 고의 또는 중대한 과실이 없음을 증명한 경우에는 그렇지 않습니다(「개인정보 보호법」 제39조제3항).

 

 

(3) 행정심판 청구

 

개인정보의 열람 거부 등 행정청의 위법 또는 부당한 처분(處分)이나 부작위(不作爲)로 인하여 권리 또는 이익의 침해를 받은 자는「행정심판법」에 따라 행정심판을 청구할 수 있습니다(「행정심판법」 제3조 참조).

 

 

(4) 행정소송 제기

 

열람 및 정정·삭제 청구에 대한 공공기관의 장의 처분 등 또는 부작위로 인하여 권리 또는 이익의 침해를 받은 자는「행정소송법」에 따라 행정소송을 제기할 수 있습니다(「행정소송법」 제3조 참조).

 

 

 

4. 개인정보의 파기

 

 

(1) 개인정보의 파기방법

 

개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성, 가명정보의 처리 기간 경과 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기해야 합니다(「개인정보 보호법」 제21조제1항 본문).

이를 위반하여 개인정보를 파기하지 않은 자는 3천만원 이하의 과태료를 부과받습니다(「개인정보 보호법」 제75조제2항제4호).

 

※ “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함함)를 말합니다(「개인정보 보호법」 제2조제1호).

1. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
2. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보(이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 함)
3. 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보

 

※ "가명처리"란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말합니다((「개인정보 보호법」 제2조제1호의2).

 

※ “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말합니다(「개인정보 보호법」 제2조제5호).

개인정보처리자가 개인정보를 파기할 때에는 복구 또는 재생되지 않도록 조치해야 합니다(「개인정보 보호법」 제21조제2항).

 

개인정보의 파기는 다음의 구분에 따른 방법으로 해야 합니다(「개인정보 보호법 시행령」 제16조제1항 및 「개인정보의 안전성 확보조치 기준」(개인정보보호위원회고시 제2023-6호, 2023. 9. 22. 발령·시행) 제13조제1항).

 

전자적 파일 형태인 경우: 전용 소자장비 이용, 데이터가 복원되지 않는 초기화 또는 덮어쓰기 등 복원이 불가능한 방법으로 영구 삭제(다만, 기술적 특성으로 영구 삭제가 현저히 곤란한 경우에는 다른 정보를 사용해도 더 이상 개인을 알아볼 수 없는 정보로 처리하여 복원이 불가능하도록 조치)

 

전자적 파일 형태 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우: 파쇄 또는 소각(완전 파기가 어려울 경우 해당 부분을 마스킹, 구멍 뚫기 등으로 삭제)

 

 

 

5. 개인정보의 보존

 

(1) 개인정보의 분리 저장·관리

 

개인정보가 불필요하게 된 경우라도 다른 법령에 따라 개인정보를 파기하지 않고 보존해야 하는 경우에 개인정보처리자는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여 저장·관리해야 합니다(「개인정보 보호법」 제21조제1항 단서·제3항).

 

이를 위반하여 개인정보를 분리하여 저장·관리하지 않은 자는 1천만원 이하의 과태료를 부과받습니다(「개인정보 보호법」 제75조제4항제2호).