개인정보 유출 처벌과 통지, 피해구제 신고 및 법적 조치

 

안녕하세요 遵法精神의 법 그리고 사람입니다. 이번에 다룰 주제는 개인정보 유출 통지와 피해구제입니다.

遵法精神

 

 개인정보의 유출이란?

개인정보의 유출은 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것으로서 다음 어느 하나에 해당하는 경우를 말합니다.

 

- 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우

- 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우

- 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우

- 기타 권한이 없는 자에게 개인정보가 전달된 경우

遵法精神

개인정보 유출 통지와 피해구제 방법

개인정보 유출 통지

개인정보처리자는 개인정보가 분실·도난·유출되었음을 알게 되었을 때에는 지체 없이 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법(이하 “서면등”이라 함)으로 72시간이내에 해당 정보주체에게 개인정보 유출에 관한 다음의 사실을 알려야 합니다(「개인정보 보호법」 제34조제1항·제4항 및 「개인정보 보호법 시행령」 제39조제1항 본문).

 

- 분실·도난·유출된 개인정보의 항목

- 분실·도난·유출된 시점과 그 경위

- 분실·도난·유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보

- 개인정보처리자의 대응조치 및 피해 구제절차

- 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

 

遵法精神

 

피해구제를 위한 조치

개인정보처리자는 개인정보가 유출등이 된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 해야 합니다(

「개인정보 보호법」 제34조제2항).

遵法精神

 

개인정보 유출에 대한 신고

개인정보처리자는 개인정보의 유출등이 있음을 알게 되었을 때에는 개인정보의 유형, 유출등의 경로 및 규모 등을 고려하여 다음에 해당하는 경우 72시간 이내에 개인정보 보호위원회 또는 한국인터넷진흥원에 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법으로 신고해야 합니다(「개인정보 보호법」 제34조제3항 전단 및 「개인정보 보호법 시행령」 제40조제1항 본문).

 

- 1천명 이상의 정보주체에 관한 개인정보가 유출등이 된 경우

- 민감정보 또는 고유식별정보가 유출등이 된 경우

- 개인정보처리시스템 또는 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대한 외부로부터의 불법적인 접근에 의해 개인정보가 유출등이 된 경우

遵法精神

개인정보 침해사고 신고 방법

 

구분	정보시스템 운영 기업·기관(개인정보처리자)		일반이용자(정보주체)
	개인정보 유출 신고	침해사고 신고	개인정보 침해 신고
근거법령	「개인정보 보호법」 제34조	「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제48조의3	「개인정보 보호법」 제62조
신고대상	공공기관 및 민간기업 (정보통신서비스 제공자 제외)	정보통신서비스 제공자, 집적정보통신시설 사업자	정보통신서비스이용자(정보주체)
신고기관	행정안전부 및 한국인터넷진흥원(KISA)	과학기술정보통신부 및 한국인터넷진흥원(KISA)	한국인터넷진흥원(KISA) 개인정보침해신고센터
신고기한	지체없이(5일 이내)	즉시
신고기준	1천명 이상 정보주체의 개인정보 유출 시		개인정보에 대한 권리 또는 이익 침해 시
과태료	3천만원 이하	1천만원 이하

 

 

 

개인정보 침해사고 신고 방법2

정보통신 서비스 제공자 직접 정보통신시설 사업자

정보통신 서비스 제공자 직접 정보통신시설 사업자의 개인정보 유출과 해킹등 침해사고는 다음과 같이 정리할 수 있습니다.
개인정보 유출은 개인정보 포털 / 해킹등 침해사고는 KISA 

아래의 버튼을 눌러보면 확인하실 수 있습니다.

 

개인정보 유출 (개인정보 포털)

 

해킹 등 침해사고(KISA)

 

 

遵法精神

과징금의 부과

개인정보 보호위원회는 개인정보처리자가 처리하는 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우 해당 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 않는 범위에서 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 매출액을 기준으로 과징금을 산정하여 과징금을 부과할 수 있습니다(「개인정보 보호법」 제64조의2제1항제9호 본문·제2항).

 개인정보 보호위원회는 위반행위에 상응하는 비례성과 침해 예방에 대한 효과성이 확보될 수 있도록 다음의 사항을 고려해야 합니다(「개인정보 보호법」 제64조의2제4항).

 

 위반행위의 내용 및 정도

 

위반행위의 기간 및 횟수

 

 위반행위로 인하여 취득한 이익의 규모

 

 암호화 등 안전성 확보 조치 이행 노력

 

 개인정보가 분실·도난·유출·위조·변조·훼손된 경우 위반행위와의 관련성 및 분실·도난·유출·위조·변조·훼손의 규모

 

 위반행위로 인한 피해의 회복 및 피해 확산 방지 조치의 이행 여부

 

 개인정보처리자의 업무 형태 및 규모

 

 개인정보처리자가 처리하는 개인정보의 유형과 정보주체에게 미치는 영향

 

 위반행위로 인한 정보주체의 피해 규모

 

 개인정보 보호 인증, 자율적인 보호 활동 등 개인정보 보호를 위한 노력

 

 개인정보 보호위원회와의 협조 등 위반행위를 시정하기 위한 조치 여부

다만, 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 개인정보처리자가 안전성 확보에 필요한 조치를 다한 경우에는 그렇지 않습니다((「개인정보 보호법」 제64조의2제1항제9호 단서).

 개인정보 보호위원회는 과징금을 부과하려는 경우에는 해당 위반행위를 조사·확인한 후 위반사실, 부과금액, 이의제기 방법 및 이의제기 기간 등을 서면으로 명시하여 과징금 부과대상자에게 통지해야 합니다(「개인정보 보호법 시행령」 제60조의3제1항).

遵法精神

 

가산금 징수

 개인정보 보호위원회는 과징금을 내야 할 자가 납부기한까지 내지 않으면 납부기한의 다음 날부터 내지 않은 과징금의 연 100분의 6에 해당하는 가산금을 징수합니다. 이 경우 가산금을 징수하는 기간은 60개월을 초과하지 못합니다(「개인정보 보호법」 제64조의2제7항).

遵法精神

독촉 등

개인정보 보호위원회는 과징금을 내야 할 자가 납부기한까지 내지 않으면 기간을 정하여 독촉을 하고, 그 지정한 기간 내에 과징금 및 가산금을 내지 않으면 국세 체납처분의 예에 따라 징수합니다(「개인정보 보호법」 제64조의2제8항).

遵法精神

과태료에 관한 특례

과징금을 부과한 행위에 대해서는 과태료를 부과할 수 없습니다(「개인정보 보호법」 제76조).

 

遵法精神

마치며

이번 포스팅에서는 개인정보 유출 통지와 피해구제 신고 및 법적 조치에 대해 알아보았습니다.

 

개인정보 유출이 발생하였을 경우, 최대한 빨리 조치를 취하는 것이 중요합니다. 또한 법적 조치도 함께 고려하면 전문가의 도움이 꼭 필요합니다. 따라서 전문가의 도움을 받아 신중하게 결정하는 것이 좋습니다

---

참고 : 찾기쉬운 생활법령정보